楽天のID/パスワード情報などが流出? 「身に覚えのないダウンロード購入」などが報告される 49
ストーリー by hylom
どこから流出したのか 部門より
どこから流出したのか 部門より
あるAnonymous Coward 曰く、
楽天のダウンロード販売サービス「楽天ダウンロード」で身に覚えのないゲームソフトなどの購入が行われていたという報告がネット上で挙がっている模様。
『身に覚えがないのに、「【楽天ダウンロード】購入確認のご確認」などのメールが届く』といったものだが、ITmediaが伝えるところによると、楽天に対し昨年秋頃から被害に関する問い合わせがあったといい、楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
ハムスター速報に載っていた記事かな? (スコア:4, 参考になる)
楽天を使っている人は定期的にログイン履歴で身に覚えがないIPアドレスがあるかを確認したほうがいいですよ。
https://api.id.rakuten.co.jp/history/ [rakuten.co.jp]
Re: (スコア:0)
普通にインターネット使ってて自分のIPなんか気にしないから、
覚えのあるIPアドレスの方が少ないですよね~
モバイルや公衆無線LANとかだとなおさら
皆さん気にしてますか?
Re:ハムスター速報に載っていた記事かな? (スコア:1)
ではこれからは気にするようにしてください。
Re: (スコア:0)
とはいえ海外からのアクセスだったらおかしいとわかるべ。
Re: (スコア:0)
IPアドレスの数字羅列だけじゃ厳しいよ...
プロバイダによっては、接続するたびに1オクテット目から違うし。
せめて逆引きして表示してくれれば、一目で判断付くんだが...
Re:ハムスター速報に載っていた記事かな? (スコア:1)
IPアドレスの逆引きは詐称し放題なので…
むしろ、逆引きだけ表示されたら全然役に立たないぐらいですよ。
Re: (スコア:0)
IPひろばなどIPアドレスから国やプロバイダを判別してくれるサイトでチェックすれば一発ですよ。
Re: (スコア:0)
whoisしろよ、ふつうに。
Re: (スコア:0)
Re: (スコア:0)
するだろ、ふつう。
Re: (スコア:0)
Re: (スコア:0)
じゃ、不正利用に長いこと気づかないでいればいいんじゃない?
Re: (スコア:0)
それ以前の話として、サービスとして本人が設定しない限りは海外接続は全部不可をデフォルト化して欲しい。
最近メールサービスでだってやっているのだし、直接金の問題にも成るのだから。
海外赴任なんかになった時に初めて有効化すれば済むだろ。
それどころか、個人で接続プロバイダ登録してそれ以外排除でも良い様な。
Re: (スコア:0)
その場合、海外にいって初めてログインできないことに気づいて困ることになりそうな…
Gmail(オフトピ) (スコア:0)
海外旅行中にGmailにアクセスしたら、その理由でアクセス禁止されたのを思い出した。
ブラウザからだと警告が出るのでパスワード再入力か何かでログインできるんだけど、
雷鳥からだと単にエラーが出るだけだったかな。
雷鳥からアクセスしてたので、最初原因が分からなくてちょっとだけ困った。
新生銀行も国内ATMと海外ATMで、一日の利用可能枠が別設定だね。
#新生銀行のキャッシュカードは国際キャッシュカード機能内蔵なので。
なんだハム速か (スコア:0)
悪質捏造ブログ「ハムスター速報」が楽天個人情報流出というデマ記事を作成、批判されるとこっそり記事を改変する
http://nvmzaq.blog.fc2.com/blog-entry-364.html [fc2.com]
Re: (スコア:0)
Re: (スコア:0)
そんなものよりログインアラート [nanapi.jp]のほうかリアルタイムで判りやすいよ。
ログインの都度、PCやケータイにメールが届く。
ログインしっぱなしを改めてからは頻繁にメールが来るようになった。
これ、メールで告知があったと思うが、迷惑メールに紛れて読んでない人多いのかもね
言うだけタダ (スコア:2, おもしろおかしい)
>楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない楽天らしい対応で安心。
Re:言うだけタダ (スコア:1)
そっくりそのまま返してやりたいメッセージですな。
楽天が本当に調査して漏洩の形跡なしってんなら、どこからなんだろうねぇ。そもそも、まともなパスワードだったのだろうか...
Re:言うだけタダ (スコア:4, 参考になる)
今の楽天のシステムがどうかわかりませんが。私がうっすら覚えている限りですと。
認証まわりって、フロント各サービスと完全に分離された専用サーバーで行われていて、
フロントサービスとしては、アクセストークンとサービストークンを利用して、
専用部署から提供されるライブラリ経由で必要最低限の情報を取得しているんですよね。
完全分離型のクレジットカード決済を想像して欲しいのですが。
決済会社が提供する画面が開かれて、そこにクレジットカード情報を入力する。
販売側がカード情報を一切受け取らない。
この仕組みに近いものがあります。 他にもキャリアd社とかも似たような処理ですね。
企業がこういうアナウンスする時の「どこまで調査してのことか」というのは、
「調査内容が適切か」じゃなくて「そもそも本当に調査した?(大丈夫だろハハーンとかしていない?)」
という感じがしますが。 そいつぁ、まったくわかりませんなw
特に楽天みたいな超絶縦割社会だと。そこで何しているのかは、当事者以外まったくわからないです故。
# 内容が少し危ないのでA.C.
Re: (スコア:0)
そういう話って、ここに書いても貴方は訴えられないのですか?
Re:言うだけタダ (スコア:1)
前も似たような事言われた気がしなくもありませんが。
少なくともピンピンしていますね。
画面遷移(フロント繊維)から判断できる範囲でもありますし。
他社他業種でも使われている一般的な方式の話ですから問題ないでしょう。
(一応。考えた上で書いてます)
強いて訴えられる可能性があれば「超絶縦割社会」と言う部分が
名誉毀損か侮辱として扱われるぐらいですかね。
Re: (スコア:0)
仕組みとしては画期的ではないし割と一般的です。
また具体的に詳細処理フローを出しているわけでは
ないので問題ない。
Re: (スコア:0)
そこらへんが繋がってだだ漏れの方が怖いわ
Re:言うだけタダ (スコア:3, 参考になる)
本当に調査した結果かどうかは置いといて、存在しないアカウントへのログインの率が高ければ外部、低ければ内部とおおざっぱには判断できると思うけど。
先のOpenSSLの件で大量に漏らしたところがないとも言い切れないでしょ。
メールアドレスをアカウントに使うシステムでは、もはや避けられなくなってきてると思うなぁ。
Re:言うだけタダ (スコア:1)
こんなのもありましたね
「楽天は当時、店舗の独断で行ったこととして、不当表示が確認された17店舗について出店停止措置を発表した」
楽天、二重価格表示問題で謝罪会見~従業員18人が店舗に不当価格表示を提案
http://internet.watch.impress.co.jp/docs/news/20140425_646239.html [impress.co.jp]
Re:言うだけタダ (スコア:1)
流石楽天立派な商売ですね(棒
Re: (スコア:0)
最近は、サービス運営会社のサービスが不正利用されたら「他社サービスから漏洩した」って適当なことを言っておけば許されるご時世になったのだなぁ。
他社サービスで発生した不正利用の原因が楽天だったって言う逆の可能性は考えないんだろうか。
他社サービスと同じID/Passwordを使えないように対策をするというものも、楽天くらいになると必要なんじゃないのかな。
いろいろ方法はあるけれど。
Re:言うだけタダ (スコア:1)
厳密には有意ではないけど、戯れにぐぐってみたら楽天はまだ少ない方だった
とみるか同じ程度と見るかはあなた次第。
検索ワードと検索件数
Re: (スコア:0)
>他社サービスと同じID/Passwordを使えないように対策をする
どうやって?
他社と同じID/Passwordを使ってないかと問い合わせる?
他社と同じID/Passwordを使っているか試してみる?
※後者は不正アクセスで逮捕だなw
前者を業界的にやっていいという同意ないでしょ?
※わざと楽天のID/Passwordをヌルくしているのに、ちっともログインメール来なくてつまんなーい!
Re:言うだけタダ (スコア:1)
>他社と同じID/Passwordを使っているか試してみる?
ユーザから新規に申請されたID/PW使ってランダムに選んだいくつかの他サイトにアタック
->成功->このID/PWは有効ではないので申請し直してください。
->失敗->このID/PWは有効なので登録されました。
Re:言うだけタダ (スコア:1)
> 他社と同じID/Passwordを使ってないかと問い合わせる?
こちらについては、とりあえず、楽天のログイン画面では
というメッセージが出ていますね。
っで、これ読んで気づいたんですけど、楽天はメールアドレスじゃないIDを使うこともできるし、会員情報管理でIDをいつでも変更できるようですね。。
これは、「IDはメールアドレス固定」「IDはメールアドレスじゃないけどシステム側から機械的に割り当て」「IDは最初の登録時にのみ設定し変更不可」といったシステムよりは、よく出来てると思います。
まあ、「メールアドレスをユーザIDとして使用」がデフォルトみたいなので、他とパスワードを共通化するような方々はいちいちユーザーIDを独自設定なんてしない可能性が高そうですが…
Re: (スコア:0)
>>商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない
当たり前じゃないですか?
Re:言うだけタダ (スコア:1, 荒らし)
店舗に問い合わせても応答なくて、どうやって連絡取ればいいのかわからないけど当たり前ならしょうがないね。
結局店のページ自体消滅してしまいうやむやで終わりという「楽天的」で幸せな結末。
#文末に「?」と書いている文章だと相変わらずアレ
Re: (スコア:0)
君が何で店舗とのトラブルに楽天が責任を取るべきと思い込んでいるかがわからん。
Re:言うだけタダ (スコア:1)
とある質問サイトでも何件も見かけたけど、楽天では偽物を販売する業者が多くて、安さに目をくらんだ愚かな客がそれを購入したり。
あるいはモノが届かなかったりで店舗に連絡するも、応答が無く。
そのうち店舗自体が楽天上から消滅するというケース。
この場合楽天に問い合わせても「店舗と直接連絡してださい」としか言わず、店舗消滅後は「残念でした(意訳)」で終わるという昔話です。
楽天的な楽天市場自体に出店業者の厳格な審査や管理を求めるのは酷だろうから、まぁそういうこと。
最初に利用したときに、一週間たってもなんの音沙汰も無し、連絡しても返事なしで楽天に問い合わせても「店舗と直接・・・」とコピペ帰ってくるだけ。
三回目だったか店舗に連絡したらようやく返事があったけど「最近メールを全然見てなかったわ」と自慢されて恐れ入った。
西の方の海沿いにある地方の個人商店でした。
Re: (スコア:0)
あなたと店子とのトラブルは、不動産屋にしてみりゃ「知らんがな」ですわな。
Re:言うだけタダ (スコア:1)
不動産屋ってドメイン管理してる会社の事かな、それだったら知らん罠。
総合ショッピングモールをうたい文句にしててもサイト店舗の審査管理できないんだからそんな認識ですね。
Re: (スコア:0)
サイト店舗の審査管理とあなたと店舗のトラブルに何の関係が?
Re: (スコア:0)
あと10年もしたら、若い世代は「楽天的」をネットスラング発祥だと思い込むんでしょうね…。
Re: (スコア:0)
本当にパスワードが漏えいしていたら、ネットの隅で騒がれる程度では収まらない、、つまりパスワードは漏れていない、と結論づけても良いと思う。
IDとなるメールアドレスはどうせ使い回しているだろうし、今更漏えいと言われてもね。
楽天利用者のITリテラシィの低さをなめちゃいかんよ。
Re:言うだけタダ (スコア:1)
>楽天利用者のITリテラシィの低さをなめちゃいかんよ。
楽天利用者(出店者、主催者、管理者、客)は皆一様に低きに流れて行ってるみたいですね。
楽天と他のサイトは別ユーザ名 (スコア:0)
楽天と他のサイトのユーザ名は全然別のものにしてるからか、全然怪しいことは起きてないですね
他のサイトから漏れたのでアクセスされてるんじゃないの?としか
本当に3Dセキュア必須なの? (スコア:0)
楽天のITmediaの回答では3Dセキュアでやっているから楽天のID/パスワードだけでは買い物できない旨に見えるんだけど、現在3Dセキュアに対応していないクレジットカード会社があるし、対応していても3Dセキュア利用にしていない人もいる。
それに以前、セキュリティコードだけで買える [hatena.ne.jp]スクリーンショットを出している人がいた。
3Dセキュアがイマイチ普及しない理由として、過去の決済店舗に必須化することができないというのがあるので………ある程度キツク言うべきなのかもしれない>カード会社
あいかわらず (スコア:0)
悪いのはみんな楽天w
自分がわるいのにね
Re: (スコア:0)
使った事が無いから、どんな商売しているかすら知らないんだけど、漏洩しても自分からは言わないだろうなっていう、先入観というか固定観念があるんだよな。
それは、ここの影響なのか、はたまたニュースを賑わすあの人の影響か。
同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。 (スコア:0)
>>同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
漏えいした経緯が詳細に確認できない段階で
企業として正式なコメントをする場合
大方、事態を把握できていないことがおおいい。
個人的にはあぶない
Re: (スコア:0)
おおいい