パスワードを忘れた? アカウント作成
10934531 story
Sony

ソニーポイントサービスに不正ログイン発生 31

ストーリー by headless
交換 部門より
hig のタレこみより。ソニーマーケティングは2日、ソニーポイントサービスで不正ログインによる被害が発生していたことを発表した(ソニーポイントサービス不正ログインに関するお知らせとパスワード変更のお願い)。

発表によると、第三者のメールアドレスとパスワードを用いた不正アクセス試行が4月19日~29日に発生。ソニーポイントをプレイステーション ストアチケットやmora music card IDに交換される被害が発生したとのこと。不正な交換に使われた可能性のあるメールアドレスは273件。753,000ポイント(753,000円相当)が不正に交換された可能性があるという。同社では不正なアクセスを遮断し、監視体制を強化したほか、不正に利用された可能性のあるメールアドレスによるログインを遮断して会員にパスワードの変更を依頼しているとのこと。不正に交換されたポイントは後日返却される。なお、メールアドレスとパスワードを含め、同社からの個人情報漏洩は確認されていないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by NOBAX (21937) on 2014年05月03日 11時27分 (#2593634)
    それはない。
  • by Anonymous Coward on 2014年05月03日 11時43分 (#2593642)

    こういう問題が起こるとすぐ「ID使い回す奴が悪い」って意見が出るけど、それは匿名文化に浸りきったネットジャンキーの発想であって、一般人が本名ベースのID使っちゃうのはどうしようもない。
    で、いくら自サイトで対策打っても、漏洩したリストのほうに平文でパスワードが載ってたらこれまたどうしようもない。
    これはもう、ユーザーが選んだIDの他に、サイト側から強制的にもうひとつユーザーが自由選択不可なID的なものを割り付けるしかないね。3桁程度でもリスト攻撃には十分対処できるはず。

    • by Anonymous Coward

      ネットリテラシー教育が行われてないからだな

    • by Anonymous Coward

      「ID使い回す奴が悪い」

      IDを使いまわす奴が悪い、なんて誰も言ってないでしょ。
      そもそもメールアドレスをそのままIDとして使うサイトも珍しくない。

      • by Anonymous Coward

        うん、使いまわすと悪いのはパスワードであって断固としてIDではない。
        つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。

        そんな面倒なことをする必要はなく、たぶん一番確実で手っ取り早いのは、キーチェーン的なソフトがブラウザ or OSに標準搭載されて、各サイトがそれでログインできるようになること。
        そうすれば、PCがクラックされない限り全サイトがリスト型攻撃に安全になる。
        欠点はPCがクラックされると、全サイトが同時に攻略されること…まあ今だってロガーとか仕込まれたらそうなんだけど。

        • by Anonymous Coward on 2014年05月03日 14時17分 (#2593703)

          キーチェーン的なソフトがブラウザ or OSに標準搭載されて、

          今時標準搭載されてない環境があるだろうか?
          って思ったけどスマホがそうなんだっけ。
          あと、欲しいのは標準でのパスワード生成機能な気がする。

          それと、今回のも第三者サイトからの流出なのだろうか。
          メールアドレスのリストを使ったリバースブルートフォースアタックの可能性とか、ロガーなどマルウェアにより収集されたリストが流通してる可能性とか。

          親コメント
          • Windows 環境に Mac OS X の Keychain 的なソフトって標準搭載されていましたっけ?

            • ディスク上にはマスターパスワードで暗号化されて保存される。マスターパスワードは OS の認証機能と連動している
            • フォルダのコピーなどで簡単にバックアップ可能
            • アプリケーションからアクセスする API が確立されている
            • パスワードだけでなく、(クライアント)SSL 証明書なども管理できる

            Web については、Firefox でなんとかなりますが。

            親コメント
          • by Anonymous Coward

            サーセン、自動でサイトごとに別々のパスワード生成してアカウント登録→ログインまでしてくれる機能ね。
            と書いてから思ったけど、それって最近流行りのTwitterやらFacebookやら使ったOAuth認証でいい気がしてきた。

        • by Anonymous Coward

          よし、それじゃあ複数サイトで同じパスワードを付けられないように
          パスワード横断管理システムみたいなのを作ろう

          サイトAでパスワード「hoge」を設定→メアドとパスワードのハッシュを裏でパスワード横断管理システムに登録
          サイトBでパスワード「hoge」を設定→パスワード横断管理システムに同じのがあるから不可
          みたいな

          #そしてそこが流出するというオチ

        • by Anonymous Coward

          つーか、元米がつけろと言っているのは機能的に補助パスワードであってIDではない。

          この笑い話のオチは、メインパスワードと補助パスワードのペアが全サイト共通というので良いの?

  • by Anonymous Coward on 2014年05月03日 11時14分 (#2593626)

    他所で漏洩したIDとパスワードか?
    使い回しはやめましょう。

  • by Anonymous Coward on 2014年05月03日 11時53分 (#2593651)

    ソフトバンクでもあったみたいだし、
    どこのサイトのが抜かれたんだろう?

    • by Anonymous Coward

      >ソフトバンクでもあったみたいだし、
      >どこのサイトのが抜かれたんだろう

      たぶんそこから

      • by Anonymous Coward

        正直、ソフトバンク自身が漏らしてそうってのは、思っちゃうよね。

  • by Anonymous Coward on 2014年05月03日 15時22分 (#2593730)

    以前、Vectorの購入リストが漏れたときは焦った。エロゲ購入履歴がばれてしまうではないか。
    それ以降、Vectorは利用していないが、DMMやAmazonの購入履歴が漏れたら同様にヤバい。

    ソニーやパナ製品の購入履歴はとりあえず問題ない。
    パナのハンディマッサージャーは日立のそれと同様にその筋で有名だそうだが、そっちは興味ないし。

  • by Anonymous Coward on 2014年05月03日 15時43分 (#2593737)

    これに関して「定期的にパスワードを変更して下さい」というメールが来たんだけど
    ソニーにはパスワードの有効期間がすぎると使えなくなるタイマーでもあるのだろうか?

    • by Anonymous Coward

      定期的に不正アクセスされるってことだよ言わせんな恥ずかしい

    • by Anonymous Coward

      ソニー銀行のログインパスワードは8桁以内となってるので、三カ月毎に「パスワードを変更してください」ってでるよ。
      まあ主要な操作には合言葉やら5桁の取引暗証番号を入力する手間がかかるのでダダ甘という訳じゃないけど、パスワードの桁数を増やせよと思う。

      最近になってトークンによるワンタイムパスワードが導入されたが、ネット銀行、証券ごとにトークンが配られる未来を考えたら憂鬱になる。

  • by Anonymous Coward on 2014年05月03日 19時03分 (#2593822)

    パスワードを平文で保存していた、一次流出元が有るはず。
    それがどこだったのか、関係者の間では判明してるんでしょ?

    • by Anonymous Coward

      OpenSSLの脆弱性を付けば、どんな形式、方法で保存していようと無意味。

  • by Anonymous Coward on 2014年05月04日 2時15分 (#2593943)

    つか、MyVAIOの存在を忘れてた

  • 数に関してはポイント交換された数しか公開されてないのが気になるな
    バスワードリスト攻撃ならポイント持ってないやつだって不正ログインに成功しているだろう

    不正ログイン試行回数、成功回数などパナに比べて情報公開がなさすぎないか?
    わかってて公開してないのは、かなりひどい状態なんじゃないかと。
  • by Anonymous Coward on 2014年05月04日 20時45分 (#2594245)

    5/2のtwitterにこんなのが流れてたけど。

    https://twitter.com/TOSHI_OVERTONE/status/462828728024698880 [twitter.com]

typodupeerror

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

読み込み中...