パスワードを忘れた? アカウント作成
11030933 story
情報漏洩

楽天のID/パスワード情報などが流出? 「身に覚えのないダウンロード購入」などが報告される 49

ストーリー by hylom
どこから流出したのか 部門より
あるAnonymous Coward 曰く、

楽天のダウンロード販売サービス「楽天ダウンロード」で身に覚えのないゲームソフトなどの購入が行われていたという報告がネット上で挙がっている模様。

『身に覚えがないのに、「【楽天ダウンロード】購入確認のご確認」などのメールが届く』といったものだが、ITmediaが伝えるところによると、楽天に対し昨年秋頃から被害に関する問い合わせがあったといい、楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年06月03日 12時08分 (#2614088)

    楽天を使っている人は定期的にログイン履歴で身に覚えがないIPアドレスがあるかを確認したほうがいいですよ。
    https://api.id.rakuten.co.jp/history/ [rakuten.co.jp]

    • by Anonymous Coward

      普通にインターネット使ってて自分のIPなんか気にしないから、
      覚えのあるIPアドレスの方が少ないですよね~
      モバイルや公衆無線LANとかだとなおさら

      皆さん気にしてますか?

      • by Anonymous Coward on 2014年06月03日 12時29分 (#2614110)

        ではこれからは気にするようにしてください。

        親コメント
      • by Anonymous Coward

        とはいえ海外からのアクセスだったらおかしいとわかるべ。

        • by Anonymous Coward

          IPアドレスの数字羅列だけじゃ厳しいよ...
          プロバイダによっては、接続するたびに1オクテット目から違うし。
          せめて逆引きして表示してくれれば、一目で判断付くんだが...

          • IPアドレスの逆引きは詐称し放題なので…
            むしろ、逆引きだけ表示されたら全然役に立たないぐらいですよ。

            親コメント
          • by Anonymous Coward

            IPひろばなどIPアドレスから国やプロバイダを判別してくれるサイトでチェックすれば一発ですよ。

            • by Anonymous Coward

              whoisしろよ、ふつうに。

              • by Anonymous Coward
                んなもんイチイチ確認してますのん?ふつうに?
              • by Anonymous Coward

                するだろ、ふつう。

              • by Anonymous Coward
                しないだろ、ふつう
              • by Anonymous Coward

                じゃ、不正利用に長いこと気づかないでいればいいんじゃない?

          • by Anonymous Coward

            それ以前の話として、サービスとして本人が設定しない限りは海外接続は全部不可をデフォルト化して欲しい。
            最近メールサービスでだってやっているのだし、直接金の問題にも成るのだから。
            海外赴任なんかになった時に初めて有効化すれば済むだろ。

            それどころか、個人で接続プロバイダ登録してそれ以外排除でも良い様な。

            • by Anonymous Coward

              その場合、海外にいって初めてログインできないことに気づいて困ることになりそうな…

        • by Anonymous Coward

          海外旅行中にGmailにアクセスしたら、その理由でアクセス禁止されたのを思い出した。

          ブラウザからだと警告が出るのでパスワード再入力か何かでログインできるんだけど、
          雷鳥からだと単にエラーが出るだけだったかな。
          雷鳥からアクセスしてたので、最初原因が分からなくてちょっとだけ困った。

          新生銀行も国内ATMと海外ATMで、一日の利用可能枠が別設定だね。
          #新生銀行のキャッシュカードは国際キャッシュカード機能内蔵なので。

    • by Anonymous Coward

      悪質捏造ブログ「ハムスター速報」が楽天個人情報流出というデマ記事を作成、批判されるとこっそり記事を改変する
      http://nvmzaq.blog.fc2.com/blog-entry-364.html [fc2.com]

      • by Anonymous Coward
        そこってやり放題の運営に見えて、実はなかなか興味深い単語がNGワードになってたりするんだよね。
    • by Anonymous Coward

      そんなものよりログインアラート [nanapi.jp]のほうかリアルタイムで判りやすいよ。
      ログインの都度、PCやケータイにメールが届く。
      ログインしっぱなしを改めてからは頻繁にメールが来るようになった。

      これ、メールで告知があったと思うが、迷惑メールに紛れて読んでない人多いのかもね

  • 言うだけタダ (スコア:2, おもしろおかしい)

    by nemui4 (20313) on 2014年06月03日 11時43分 (#2614073) 日記

    >楽天は同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。

    商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない楽天らしい対応で安心。

    • そっくりそのまま返してやりたいメッセージですな。
      楽天が本当に調査して漏洩の形跡なしってんなら、どこからなんだろうねぇ。そもそも、まともなパスワードだったのだろうか...

      親コメント
      • Re:言うだけタダ (スコア:4, 参考になる)

        by Anonymous Coward on 2014年06月03日 12時22分 (#2614097)

        今の楽天のシステムがどうかわかりませんが。私がうっすら覚えている限りですと。
        認証まわりって、フロント各サービスと完全に分離された専用サーバーで行われていて、
        フロントサービスとしては、アクセストークンとサービストークンを利用して、
        専用部署から提供されるライブラリ経由で必要最低限の情報を取得しているんですよね。

        完全分離型のクレジットカード決済を想像して欲しいのですが。
        決済会社が提供する画面が開かれて、そこにクレジットカード情報を入力する。
        販売側がカード情報を一切受け取らない。
        この仕組みに近いものがあります。 他にもキャリアd社とかも似たような処理ですね。

        企業がこういうアナウンスする時の「どこまで調査してのことか」というのは、
        「調査内容が適切か」じゃなくて「そもそも本当に調査した?(大丈夫だろハハーンとかしていない?)」
        という感じがしますが。 そいつぁ、まったくわかりませんなw
        特に楽天みたいな超絶縦割社会だと。そこで何しているのかは、当事者以外まったくわからないです故。

        # 内容が少し危ないのでA.C.

        親コメント
        • by Anonymous Coward

          そういう話って、ここに書いても貴方は訴えられないのですか?

          • by Anonymous Coward on 2014年06月03日 13時20分 (#2614152)

            前も似たような事言われた気がしなくもありませんが。
            少なくともピンピンしていますね。

            画面遷移(フロント繊維)から判断できる範囲でもありますし。
            他社他業種でも使われている一般的な方式の話ですから問題ないでしょう。
            (一応。考えた上で書いてます)

            強いて訴えられる可能性があれば「超絶縦割社会」と言う部分が
            名誉毀損か侮辱として扱われるぐらいですかね。

            親コメント
          • by Anonymous Coward

            仕組みとしては画期的ではないし割と一般的です。
            また具体的に詳細処理フローを出しているわけでは
            ないので問題ない。

        • by Anonymous Coward

          そこらへんが繋がってだだ漏れの方が怖いわ

      • Re:言うだけタダ (スコア:3, 参考になる)

        by Anonymous Coward on 2014年06月03日 12時05分 (#2614083)

        本当に調査した結果かどうかは置いといて、存在しないアカウントへのログインの率が高ければ外部、低ければ内部とおおざっぱには判断できると思うけど。
        先のOpenSSLの件で大量に漏らしたところがないとも言い切れないでしょ。

        メールアドレスをアカウントに使うシステムでは、もはや避けられなくなってきてると思うなぁ。

        親コメント
    • by Anonymous Coward on 2014年06月03日 12時07分 (#2614085)

      こんなのもありましたね

      「楽天は当時、店舗の独断で行ったこととして、不当表示が確認された17店舗について出店停止措置を発表した」

      楽天、二重価格表示問題で謝罪会見~従業員18人が店舗に不当価格表示を提案
      http://internet.watch.impress.co.jp/docs/news/20140425_646239.html [impress.co.jp]

      親コメント
    • by Anonymous Coward

      最近は、サービス運営会社のサービスが不正利用されたら「他社サービスから漏洩した」って適当なことを言っておけば許されるご時世になったのだなぁ。

      他社サービスで発生した不正利用の原因が楽天だったって言う逆の可能性は考えないんだろうか。

      他社サービスと同じID/Passwordを使えないように対策をするというものも、楽天くらいになると必要なんじゃないのかな。
      いろいろ方法はあるけれど。

      • by nemui4 (20313) on 2014年06月03日 14時11分 (#2614196) 日記

        厳密には有意ではないけど、戯れにぐぐってみたら楽天はまだ少ない方だった
        とみるか同じ程度と見るかはあなた次第。

        検索ワードと検索件数

        楽天 流出 : 約 2,930,000 件
        ソフトバンク 流出 : 約 4,940,000 件
        Yahoo 流出 : 約 5,510,000 件

        親コメント
      • by Anonymous Coward

        >他社サービスと同じID/Passwordを使えないように対策をする

        どうやって?

        他社と同じID/Passwordを使ってないかと問い合わせる?
        他社と同じID/Passwordを使っているか試してみる?

        ※後者は不正アクセスで逮捕だなw

        前者を業界的にやっていいという同意ないでしょ?

        ※わざと楽天のID/Passwordをヌルくしているのに、ちっともログインメール来なくてつまんなーい!

        • by nemui4 (20313) on 2014年06月04日 9時37分 (#2614773) 日記

          >他社と同じID/Passwordを使っているか試してみる?

          ユーザから新規に申請されたID/PW使ってランダムに選んだいくつかの他サイトにアタック
          ->成功->このID/PWは有効ではないので申請し直してください。
          ->失敗->このID/PWは有効なので登録されました。

          親コメント
        • > 他社と同じID/Passwordを使ってないかと問い合わせる?

          こちらについては、とりあえず、楽天のログイン画面では

          他のサイトと同じID/パスワードを設定していたら、その他のID/パスワードを設定しましょう。

          というメッセージが出ていますね。

          っで、これ読んで気づいたんですけど、楽天はメールアドレスじゃないIDを使うこともできるし、会員情報管理でIDをいつでも変更できるようですね。。
          これは、「IDはメールアドレス固定」「IDはメールアドレスじゃないけどシステム側から機械的に割り当て」「IDは最初の登録時にのみ設定し変更不可」といったシステムよりは、よく出来てると思います。

          まあ、「メールアドレスをユーザIDとして使用」がデフォルトみたいなので、他とパスワードを共通化するような方々はいちいちユーザーIDを独自設定なんてしない可能性が高そうですが…

          親コメント
    • by Anonymous Coward

      >>商品購入でトラブって問い合わせても「店舗と直接話してください」とか言わない

      当たり前じゃないですか?

      • by nemui4 (20313) on 2014年06月03日 15時52分 (#2614284) 日記

        店舗に問い合わせても応答なくて、どうやって連絡取ればいいのかわからないけど当たり前ならしょうがないね。

        結局店のページ自体消滅してしまいうやむやで終わりという「楽天的」で幸せな結末。

        #文末に「?」と書いている文章だと相変わらずアレ

        親コメント
        • by Anonymous Coward

          君が何で店舗とのトラブルに楽天が責任を取るべきと思い込んでいるかがわからん。

          • by nemui4 (20313) on 2014年06月03日 16時40分 (#2614323) 日記

            とある質問サイトでも何件も見かけたけど、楽天では偽物を販売する業者が多くて、安さに目をくらんだ愚かな客がそれを購入したり。
            あるいはモノが届かなかったりで店舗に連絡するも、応答が無く。
            そのうち店舗自体が楽天上から消滅するというケース。
            この場合楽天に問い合わせても「店舗と直接連絡してださい」としか言わず、店舗消滅後は「残念でした(意訳)」で終わるという昔話です。

            楽天的な楽天市場自体に出店業者の厳格な審査や管理を求めるのは酷だろうから、まぁそういうこと。

            最初に利用したときに、一週間たってもなんの音沙汰も無し、連絡しても返事なしで楽天に問い合わせても「店舗と直接・・・」とコピペ帰ってくるだけ。
            三回目だったか店舗に連絡したらようやく返事があったけど「最近メールを全然見てなかったわ」と自慢されて恐れ入った。
            西の方の海沿いにある地方の個人商店でした。

            親コメント
            • by Anonymous Coward

              あなたと店子とのトラブルは、不動産屋にしてみりゃ「知らんがな」ですわな。

              • by nemui4 (20313) on 2014年06月04日 9時43分 (#2614778) 日記

                不動産屋ってドメイン管理してる会社の事かな、それだったら知らん罠。
                総合ショッピングモールをうたい文句にしててもサイト店舗の審査管理できないんだからそんな認識ですね。

                親コメント
              • by Anonymous Coward

                サイト店舗の審査管理とあなたと店舗のトラブルに何の関係が?

    • by Anonymous Coward

      あと10年もしたら、若い世代は「楽天的」をネットスラング発祥だと思い込むんでしょうね…。

    • by Anonymous Coward

      本当にパスワードが漏えいしていたら、ネットの隅で騒がれる程度では収まらない、、つまりパスワードは漏れていない、と結論づけても良いと思う。
      IDとなるメールアドレスはどうせ使い回しているだろうし、今更漏えいと言われてもね。
      楽天利用者のITリテラシィの低さをなめちゃいかんよ。

  • by Anonymous Coward on 2014年06月03日 12時20分 (#2614095)

    楽天と他のサイトのユーザ名は全然別のものにしてるからか、全然怪しいことは起きてないですね

    他のサイトから漏れたのでアクセスされてるんじゃないの?としか

  • by Anonymous Coward on 2014年06月03日 13時26分 (#2614154)

    楽天のITmediaの回答では3Dセキュアでやっているから楽天のID/パスワードだけでは買い物できない旨に見えるんだけど、現在3Dセキュアに対応していないクレジットカード会社があるし、対応していても3Dセキュア利用にしていない人もいる。

    それに以前、セキュリティコードだけで買える [hatena.ne.jp]スクリーンショットを出している人がいた。

    3Dセキュアがイマイチ普及しない理由として、過去の決済店舗に必須化することができないというのがあるので………ある程度キツク言うべきなのかもしれない>カード会社

  • by Anonymous Coward on 2014年06月03日 17時11分 (#2614348)

    悪いのはみんな楽天w
    自分がわるいのにね

    • by Anonymous Coward

      使った事が無いから、どんな商売しているかすら知らないんだけど、漏洩しても自分からは言わないだろうなっていう、先入観というか固定観念があるんだよな。
      それは、ここの影響なのか、はたまたニュースを賑わすあの人の影響か。

  • >>同社からのIDやパスワード漏洩はなく、他社から流出した情報が悪用されているとしているようだ。
    漏えいした経緯が詳細に確認できない段階で
    企業として正式なコメントをする場合

    大方、事態を把握できていないことがおおいい。

    個人的にはあぶない

typodupeerror

アレゲはアレゲを呼ぶ -- ある傍観者

読み込み中...