パスワードを忘れた? アカウント作成
9758712 story
プライバシ

じゃらん.netとGREEでも外部サービスから流出したパスワードを使用したとみられる不正ログイン 32

ストーリー by headless
共用 部門より
リクルートライフスタイルが運営する旅行予約サイト「じゃらん.net」と、グリーが運営するSNS「GREE」が不正ログインの被害にあっていたことを、両社がそれぞれ8月8日に発表した。

じゃらん.netの不正ログインは外部から取得したIDとパスワードを使用したものとみられ、2月と6月に計27,620IDが被害にあっていたという。閲覧された可能性があるのは、ユーザーの氏名、住所、電話番号、メールアドレス、予約履歴。複数のユーザーから自分のIDとパスワードでログインできないという問い合わせがあり、調査の結果不正ログインが8月5日に判明したとのこと。同社では該当するユーザーに対して個別に連絡し、パスワードの変更を依頼している(じゃらん.netからの重要なお知らせINTERNET Watchの記事NHKニュースの記事)。

GREEでは8月5日にログイン失敗件数の急増を確認し、調査の結果7月25日から大量の不正ログイン試行が行われていてことが判明したという。不正ログインの件数は39,590件で、ユーザーの氏名、ニックネーム、携帯メールアドレス、都道府県、生年月日、性別などのプロフィール情報に加え、コイン履歴情報が閲覧された可能性があるとのこと。同社では該当するアカウントの利用を一時停止し、ユーザーにメールで連絡している。こちらも他社のサービスから流出したメールアドレスとパスワードを利用したものとみられるとのことだ(プレスリリースINTERNET Watchの記事NHKニュースの記事)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by flied onion (36971) on 2013年08月10日 11時36分 (#2438472) 日記
    そろそろログイン画面を表示するためのCAPCHAが必要になるんでしょうか・・・。
    --
    # yes, fly. no, fry.
    • by Anonymous Coward

      ヤフーメール(PCブラウザ版)は、不正ログイン騒動の前から、そうでしたよ。
      IDとPW入力画面 → ひらがなCAPCHA画面 → IDとPW入力画面(ようやくログインできる)
      普通はIDとPW入力と同一画面にCAPCHA入力もあるのでしょうが、CAPCHAを下手にあとづけしたせいで、2回もIDとPWを入力させられるというクソ仕様となっております。

      • by Anonymous Coward
        たったいまログインしてきたけどそんなのありませんでした。

        ログインシールを設定するとなるの?
        • by Anonymous Coward

          IPアドレスや試行回数等から怪しいと判断したアクセスに対してのみ表示するとかよくあるからなんとも言えない

    • by Anonymous Coward
      Captchaね。
      普通はパスワードがわかってなくて総当たり攻撃するから、それの対策としては有効。
      今回のものはパスワードはすでにわかってるから、あとはそれが正しいか(他のサービスで使えるか)確認するだけのもの。
      人間の手でやっても十分得るものは大きい。
      Captcha導入した方がそりゃセキュリティは向上するけど、代わりに通常ログインに手間がかかる。
      Captchaあるだけでもけっこうな障壁になるからなぁ。
  • by Anonymous Coward on 2013年08月10日 11時44分 (#2438476)

    もう、いっそのこと公開鍵認証に移行するとか、は難しいんだろうなぁ。
    例えば、どこかが認証サービスを行って、他のサイトは Twitter の OAuth みたいなかたちで認証するみたいな。

    • by Anonymous Coward on 2013年08月10日 11時50分 (#2438477)

      OpenIDみたいなシステムで同じユーザーIDとメールアドレスとパスワードを使い回す理由がわからん
      覚えることが1つで便利だろうけど、1つ流失したら全部おしまい

      親コメント
      • 逆に、同じパスワード入力したら
        ブラウザがサイト毎に、個別のパスワードを
        自動生成、送信してくれる規格とか出来ればいいと思う。
        元パスワードが同じなら、同じサイトには
        必ず同じパスワードが生成されて、
        元パスワードの逆算は不可で。
        各サイトは生成されたパスワードしかわからないから、
        漏れても被害がそのサイトのみに限定される。

        ワイタイムならぬ、ワンサイトパスワー

        親コメント
        • それに近いのは Mozilla Persona ?

          個人的には、ちゃんとOpen ID connectしてくれれば、それでいいんだけどな。

          # というかIDプロバイダを固定はしたくない。いざってときがあるし、より安全なのに切り替えがきかないとな
          # いまだと、Google/Microsoftで2要素有効がかなりマシかな...

          ## VeriSignのVIPはもうちょっとがんばって

          --
          M-FalconSky (暑いか寒い)
          親コメント
        • 私は手作業(自作スクリプト) [srad.jp]でそれをやってます。

          アルゴリズムは、
          ・サービス名と、パスフレーズを連結した文字列を生成する(パスフレーズ自体は秘密で全サービス共通)
          ・md5 を取って、base64で可視化する。パスワードに使える文字によっては、+/=は取り除く
          というもの。

          サービス名slashdot.jp、パスフレーズpasswordなら、
          MD5 ("slashdot.jppassword") = 056f4e7e19e041883212ed3708b2d435
          なので、これをbase64化して、パスワードは BW9OfhngQYgyEu03CLLUNQ になります。

          実際には、「slashdot.jppassword」って文字列を与えたら、それに対応するパスワードを表示するperlスクリプトを使ってます。
          1linerで「perl -e 'use Digest::MD5; print Digest::MD5->new->add("slashdot.jppassword")->b64digest;'」って感じ。

          っていうものです。

          既存のアルゴリズムを使ってるので、Perlの動く環境さえあればどこでもパスワードを再生でき、「プログラムがないからパスワードを再生できない」なんてことにハマらないのが強み。

          文字種が限られた場合にどうするかというのが最大の難点ですかね。
          上述slashdot.jppasswordの場合、「数字だけ4桁のサイト」に使おうとしたら、「BW9OfhngQYgyEu03CLLUNQ」から数字だけを抜き出すと「903」で一桁足りない。
          今は「桁数が足りない場合は繰り返す」というルールで「9039」を使うという統一ルールで運用してますが、運悪く数字が一文字も含まれないパスワードが生成されたらどうしよう、という感じ。
          あと、逆に「数字、アルファベット、記号それぞれ1文字以上使うこと」みたいなパスワード文字種に制限をかけてる場合にも使えないのも困ったり。

          親コメント
        • by Anonymous Coward

          たしか、ドメイン名のハッシュをとって、そのハッシュとパスワードから、ドメインごとに違うパスワードをを生成してくれる拡張機能があったはず。

          しかし、攻撃者がパスワードとドメイン名を知っていた場合、元のパスワードが復元できないようにするには、いろいろテクニックが要りそうなもんだけど。

        • by Anonymous Coward

          それだと結局パスワード管理ツールを入れる方がいいな。
          サイトとパスワードを関連させてしまうのは脆弱性になるので、
          パスワード管理ツールでパスワードをランダムに生成させて、
          親パスワードで一括管理した方が手間は同じでより安全。

          • > サイトとパスワードを関連させてしまうのは脆弱性になるので、

            そもそもパスワードを分けてる人は、今のままで問題無い。
            パスワードを分けろと言っても聞かない人の場合の話です。

            "同じパスワード"というのは最悪の場合の話で、実際は違うパスワード使います。
            動作のイメージは、メールのAPOPが一番近いかな。
            (ハッシュに使う値はサーバ毎に固定。
            認証時だけでなく、パスワード登録時も同様にハッシュ値のみ送るのが異なる)

            規格化できてブラウザが対応すれば、ユーザの手間は0。
            パスワード管理ツールとはレイヤーが違うので併用も可能。

            親コメント
      • by Anonymous Coward

        ×流失
        ○流出

        # 「~せざろうえない」と同じくらい気になる

      • by Anonymous Coward
        誤解があるようですが、OpenIDはパスワードを使わない/使い回さないための仕組みです。
        何か不味い事が起きたときには、そのサイト・アプリ・デバイスを切り離せばおしまい。
        • by Anonymous Coward
          元コメントの1行目と2行目で言ってるがなんか違うのでよくわからん文章になってるが、
          ようはパスワードを使い回すのもOpenIDでどこでもログインできるようにするのも、
          使い回しのパスワード または OpenIDのパスワード が漏れたら全部漏れることに変わりないってことかと。
          何かまずいこと、っていうのに気づければいいですけどね・・・気づいた時にはOpenIDで連携してるすべてのサービスがやられてるわけですから・・・
    • 「それすごくいい!」と、思った。
      だけど今度は、「秘密鍵のパスフレーズを空文字列にする馬鹿が、マルウェアで秘密鍵ファイルを盗まれる」というストーリーが見えてしまった。
      秘密鍵は複数のサイトで共通にしておいてもセキュリティ上直ぐに問題じゃないからいいんだけど、空パスフレーズの秘密鍵を盗まれて全部やられるという。
      秘密鍵盗まれちゃ駄目だろ。

      公開鍵方式暗号って、興味のない人には複雑すぎる仕組みの気がする。
      親コメント
    • by Anonymous Coward

      otpauthってのがあるからそれが普及すればよくなるかも。
      Google認証システムみたいなやつね。

  • by Anonymous Coward on 2013年08月10日 11時35分 (#2438471)

    いろんなサービスで同じ、またはほとんど同じパスワードを使いまわしている人たちが、被害に合っているのだとしたら、
    ほっといてもいいんじゃない?自業自得/自己責任でしょ。

    • by nmaeda (5111) on 2013年08月10日 14時53分 (#2438532)

      > いろんなサービスで同じ、またはほとんど同じパスワードを使いまわしている人たちが、被害に合っているのだとしたら、
      > ほっといてもいいんじゃない?自業自得/自己責任でしょ。

      視点に拠る。

      これだけ多くのサービスが社会一般に普及している現状を鑑みると、IDとパスワードの組み合わせを把握しきれなくなるのは当然のこと。それなのにパスワードを紙に書くな、定期的にパスワードを変えろと一般消費者に要求したりする。適切なログイン方法を提供できないサービス運営側なり、コンピュータサイエンスに責任がないとはいえないだろう。

      親コメント
      • by Anonymous Coward

        使い回せば芋づる式、ブラウザに保存すれば平文保存で丸見えですしね

    • > いろんなサービスで同じ、またはほとんど同じパスワード

      利用者の使いまわしは「いろんなサービス」ではなく 2か所でもだめでしょう。
      「いろんなサービス」は攻撃者が試しているので、1度でも同じパスワードを使ってしまったことがある人が対象になりえますね。

      欲しい情報にもよりますが、すべてのサービスでログイン可能な人を探しているわけではないと思うので。

      1度くらいならあるって人であれば対象人数は結構増えるかもしれません。
      登録したことすら忘れちゃったサービスなども。
      --
      # yes, fly. no, fry.
      親コメント
  • by Anonymous Coward on 2013年08月10日 15時06分 (#2438539)

    まず一発目に平文でパスワードを流出させたところがあるとおもうんだけど、
    それはどこなんだろう?結局はそこから芋づるみたいな。

    今回のじゃらんにせよGREEにせよ、平文で流出させたアホのとばっちりを
    受けてしまった感は否めないなあ。

    • by Anonymous Coward

      平文だったとは限らないと思いますけど

      • by taruwo (14239) on 2013年08月10日 18時30分 (#2438615)
        平文で漏れなければ、他のサイトで使えないだろう…
        親コメント
        • by Anonymous Coward

          そりゃハッシュ関数通ってたりしたらそのままじゃ使えないけど、辞書攻撃だとかレインボーテーブルだとか幾らでも平文を得る方法はあるわけで…
          どちらにせよ、最初にお漏らししたアホが悪い事には変わりありませんが

    • by Anonymous Coward

      Yahooが有力で、次いでNAVER、OCNって感じかな

  • 忘れないように紙に書いてディスプレイに貼ってあるから少々パスが増えても無問題さ。
  • by Anonymous Coward on 2013年08月12日 8時00分 (#2439139)

    これだけ各社が同じように不正ログインされてるんだから、各社が協力して情報交換し、不正ログインされたユーザーの共通点を調べれば流出元の業者がどこか特定できるんじゃないの?
    流出したアカウントで、ほとんど全部に共通なサービスがあったらそこが流出元だ。
    そこを塞がないと問題は解決しないよ。

    あとは全部のサービスでパスワードを変えるかだな。

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...