「CLUB Panasonic」への大規模な不正アクセスが明らかに 28
ストーリー by hylom
パスワードはサービスごとに変えましょう 部門より
パスワードはサービスごとに変えましょう 部門より
usagito 曰く、
パナソニックの会員サイト「CLUB Panasonic」に不正アクセスがあり、一部の会員情報が不正に閲覧された可能性があることが4月23日に発表された。
日経コンピュータの記事によると、3月23日~4月21日に合計460万件を超える試行があり、7万8361件のアカウントで不正ログインされた可能性がある。運営は4月18日に不正アクセスの形跡に気付き、調査を開始。当該アカウントのログインを停止し、会員向けに状況説明のメールを送信したところ。
『不正なログインの試行に使われたIDの中には、「CLUB Panasonic」では使用を認めていないものが多数含まれている』(INTERNET Watch)とのことで、ほかのサービスで流出したID/パスワードを使用した攻撃であることが推測される。また、不正に閲覧された可能性のある個人情報は「氏名、住所、電話番号、性別、生年月日、ログインID、メールアドレス、ニックネーム、携帯電話用メールアドレス、職業、居住状態、家族構成、共稼ぎ状況、興味のあるカテゴリー」だそうだ。
Panasonic製品登録中 (スコア:2)
CLUBPanasonicには購入したパナ製家電のシリアル番号を登録しするサービスもあって、10件くらい登録してます。
これも個人情報になるのかな?
昨日の昼に(不正ログインされていない人向けの)メールがありました。簡易ログインを一端全員解除したとのこと。
先ほど行くと簡易ログインがoffになっていて、CAPTCHA認証を要求されました。
認証通ったあとは簡易ログイン可能になってます。
通るのですか? (スコア:0)
そのIDは、CLUB Panasonicで使用が認められているのですか?
#というそーしゃるえんじにありんぐ(嘘)
パナ糞マジ嫌い。 (スコア:1)
大量のアクセスがあったら、それが正しいメールアドレスとパスワードの組み合わせであれ
遮断するのが当たり前じゃないの?
不正アクセスがあったアカウントと、そうではないアカウントを区別して謝罪文
送ってきてるってことは、海外IPだったとか同一IPだったとかで判断できてるんだろ?
CMばっかり金かけてまともなものは作らずして、
こんな不祥事を起こしてまでまだ平気な顔でDM送ってきやがんの。
パナ糞マジ嫌い。
Capture [imgur.com]
Re:パナ糞マジ嫌い。 (スコア:1)
モバイルや公衆無線LANなど、現在では同じIPアドレスを多くの人で共有する場合が多いから、IPアドレスでブロックするのは、通常のユーザーもブロックしかねず容易ではない。
ひとつのアカウント(ID)に対して多数のパスワードを試行する(ブルートフォース攻撃)、という場合、そのアカウントをロックすることで守る、ということをやってるとこはある。
だが、パスワードリスト攻撃やリバースブルートフォース攻撃(パスワードは1つでIDを変えて試す)の場合、基本1アカウント1回の攻撃となるのでロックはかからない。
なかなか簡単にはいかない問題だ。
まぁ、毎秒膨大な数の認証があるGoogleと違ってPanasonic程度ならIPアドレスでブロックしたってもいいかもしれんな。
Re: (スコア:0)
不正ログインされていない人向けのメールすら嘘かと思って調べてしまった。
こういう情報を電子署名も無しに送ってくる神経が、こういう事態を招いたんじゃないかと。。。
なにより、1年以上使ってない休眠アカウントの情報を後生大事に持っていて
DMを送りつけたりこういう事件が起こったときに連絡してくると言う。。。
今回の件で、アカウントなんかは3ヶ月ログインしなければ自動削除しといて欲しいと思ったね。
そこに情報がなければ、盗まれるモノもないんだからさ。
Re:パナ糞マジ嫌い。 (スコア:2, すばらしい洞察)
購入機種などの登録情報を3ヶ月で消去するサポートサイトか。
それなんかの役に立つの?
Re: (スコア:0)
3ヶ月毎にパナ製家電を買えということだよ
Re: (スコア:0)
うちは月2-3通しかメール来ないな。
はずれや、IDは合ってるけどパスワードが違う例が多々あったから判別できたんだろ。
国内に数多あるbotからアクセスされたら、海外IPやら同一IPで判断できる保証はない。
海外IPやら同一IP程度で判別できるほど低レベルな攻撃するやつが居るのかすら怪しいし。
ナビCafeは大丈夫なの? (スコア:0)
ナビCafe(クラブストラーダ)はクラブパナソニックのIDも使用できるので、同じシステムならこちらにも不正ログインがなければいいのですが・・・
そろそろ、メールアドレスをIDにするのやめて... (スコア:0)
やるなら、OpenIDにでもしてくれ。
Re: (スコア:0)
メールアドレスをIDにするのがなんの問題に?
OpenIDならなぜ安全だと思ったの?
OpenID側が攻撃されて認証突破されたら、関連してる全サービスが漏れるリスク考えたことある?
Re: (スコア:0)
>メールアドレスをIDにするのがなんの問題に?
その理由がわかれば、わかるようになるよ。
Re:そろそろ、メールアドレスをIDにするのやめて... (スコア:1)
質問は「どのような状態になればわかるようになりますか?」ではないですよ。
「他サイトと共通になりがちだから」かなと思ったけど、分からんので自分も理由を聞きたいです。
LIVE-GON(リベゴン)
Re: (スコア:0)
説明できないならまずゴメンナサイですよ
Re: (スコア:0)
無い知恵を振り絞ってみましたが
考えられるのは知人にIDばれにくいとか、迷惑メール送って反応があったメールアドレスは該当サービスを使っている可能性が高いとばれやすいとか。
仮にどのサイトでも FB,Twitter,google ログインできるとして、メールアドレスがばれても 2/3はハズレだからとか。
そんなところなんですかね。サイトの数だけやるだけだと思うけど。
Re:そろそろ、メールアドレスをIDにするのやめて... (スコア:1)
認証元が2段階認証とかログイン通知とかの機能があるところは多いし、それだけで充分セキュリティの強化に繋がるんじゃないですかね。
Re: (スコア:0)
メールアドレスは公開情報だし。
パスワードを共通にしている人とかだとかなり困る。
サイトAでパスワードが漏れたら、それと同じメールアドレスとパスワードで別のサイトにもログインできるかもしれない。
とはいえパスワードを共通にするような人ならメールアドレスであろうとなかろうとIDの方も共通にしちゃうから、
結局あんまり意味ないかもしれないけどね。
自分は可能な場合はIDとパスワードが全部異なるのにしてるので、
どちらかというと「ID = メールアドレス」という仕様はやめてほしいと思ってる口。
あとYouTubeの仕様が最近変わってGoogle+と強制的に連携させられたりして、
なんかいろいろウザくなったからYouTube用にアカウントを一個作ったんだけど、
この場合はYouTubeのアカウントだけでなく結局メールアドレスから一個追加する
羽目になった。
結局どういう侵入方法を取られたんだろ? (スコア:0)
openssl? sqli?
Re:結局どういう侵入方法を取られたんだろ? (スコア:1)
ということで、ID/パスワードリストに基づくアタックですね。
100年侵入されない組織 (スコア:0)
しかし「100年侵入されない組織」ってのは可能なんだろうか?
人間、誰でも必ず誤りを犯すし
何人がレビューをしても、誤りのない確率は99.9999...%と9が増えていくだけだし。
とすると、最初から、侵入されても「ごめん、パスワード変えてw」で済むような情報しかサーバに残さない
って戦略が最強なんだろうか。
クレカ番号が必要でもサーバには置いておらず、都度ユーザに入力してもらうとか。
そして俺は誤りを犯す:「ユーザが入力した情報全部ログに残してました。てへっ」
Re:100年侵入されない組織 (スコア:1)
だから、侵入されることを前提として、対策を施す。
漏れて困る情報は、暗号化する。
侵入されて、何をされたのかできるだけ解る仕掛けをする。
どこから、どうやって侵入されたのか、推測しやすい仕掛けをする。
侵入された後、できるだけ早くアラートが上げられるようにする。
でも、これだけ全部やるのは、並大抵の労力では無い。
一番大変なのは、一度やったらそれでおしまい、では無い所。
一定の品質を保って、運用し続けることが一番大変。
Re: (スコア:0)
こうやってどんどん漏らしておけば、そのうち気にしなくなるんじゃないでしょうか。
影響もないのに騒ぐのは頭が悪い! そんなことにコストをかけたら国際競争に勝てない!!
とゆーわけです。
Re: (スコア:0)
最初から隠さなければいいんだ。
ありとあらゆる情報を収集し、それを全て公開しちゃえばいい。
野崎まどの「know」後の世界では、個人情報の漏洩やクレジットカードの不正使用のような問題は起こらない。
Re: (スコア:0)
企業は、侵入されてることだけで消費者からは批判にあってるわけで、
侵入された後、わかるようになってても、
今回の報道や消費者の反応から見ると、
企業にとっては消費者悲観からの回避、という意味では意味がないと思います。
Re: (スコア:0)
●とかアットなんとかみたいに流出しても「大した情報じゃない」と開き直るとか
自前のクラウド… (スコア:0)
組織が違うと言われても信用できないね。