mixi、約4万件のアカウントが不正ログインされた可能性 67
ストーリー by headless
継続 部門より
継続 部門より
mixiで5月31日から第三者による不正なログイン試行が行われており、不正ログインされた可能性のあるアカウントが約4万件におよぶそうだ(CNET Japanの記事、
ガジェット通信の記事)。
CNET Japanの記事によれば不正なログイン試行は6月6日時点でも続いているが、金銭的な被害やアカウント情報の変更といった被害は報告されていないという。mixi運営事務局では今後mixiトップページでも注意喚起する予定だが、現在のところ不正ログインが行われたユーザーに対してのみ、mixi内のメッセージ機能を使用して登録メールアドレスやパスワードの変更を呼び掛けているとのことだ。
CNET Japanの記事によれば不正なログイン試行は6月6日時点でも続いているが、金銭的な被害やアカウント情報の変更といった被害は報告されていないという。mixi運営事務局では今後mixiトップページでも注意喚起する予定だが、現在のところ不正ログインが行われたユーザーに対してのみ、mixi内のメッセージ機能を使用して登録メールアドレスやパスワードの変更を呼び掛けているとのことだ。
ログイン機能の開発コスト (スコア:2)
二段階認証でもなきゃ簡単にログインされてしまう。
二段階認証でも突破する方法が有るみたいですし。
ログイン機能を開発するコストが跳ね上がりますな。
Re:ログイン機能の開発コスト (スコア:2, すばらしい洞察)
ログイン機能を無くせばコストもかからないし、
不正ログインも撲滅できますよ :-p
Re:ログイン機能の開発コスト (スコア:2, 興味深い)
ジョークみたいだけど実際ログイン機能はFacebookかTwitterに丸投げしたほうが泡沫サービスよりよほど信用できる。
だいたいみんなクレジットカードは決済会社丸投げを当然(むしろそのほうが得体のしれない会社にカード番号を預けずに済む)と思ってるでしょ? ログインも同じこと。
Re:ログイン機能の開発コスト (スコア:3)
> FacebookかTwitterに丸投げしたほうが
これってそこが攻撃されたら異存サービス全滅みたいで怖くない?
確かに信用できる相手に鍵の管理を任すのは妥当な判断だけど、FacebookやTwitterってそこまで信用していいの?
Re: (スコア:0)
#強調は私による
mixiが泡沫サービスかどうかはともかくとして。
Re:ログイン機能の開発コスト (スコア:1)
少なくとも、OpenID/Authによる
認証/認可を提供しているのであれば、
ここでいう泡沫サービスには当たらないと思いたいのですが。
SNSとして、認証/認可を他所に丸投げするのって自殺行為以外の何者でもありませんし。
mixiにログインするのにFacebookへのログインを求められるのなら、
最初からmixiなんか使わずFacebookを使いますよ。
SNS廃業してスマホゲーム屋に商売替えするのなら話は別ですが。
Re: (スコア:0)
Re: (スコア:0)
だいだいねaaaa1234にaaaa1234のパスワードつける奴を
守る方法なんてありません
Re: (スコア:0)
そのパターンだけなら同じだったり少し変更した文字列なら弾くで簡単に防げるけど、他にも色々とやりそうですよねえ
Re:ログイン機能の開発コスト (スコア:3)
いらない対応だからね。
SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど、よくよく検討すれば穴があったりSSLとか関係なかったりする。
Re:ログイン機能の開発コスト (スコア:2)
では、/.Jがコストをかけてまで新しいログイン機能を開発する理由を挙げてみてくれ。
当然、無理やりなものなど穴の有る理由はダメだよ。
Re: (スコア:0)
別人だけど、
* 成りすましによる議論の混乱を避ける
* メールアドレスなど、公開していない個人情報の流出を防ぐ
いくらでもあるだろう。私はIDの時はメールアドレスを公開しているので、どうでもいいが、一般的にみて、これはわりと脆弱なシステムだ。上の主張は、ちょっと何を言っているのか良くわからないな。
Re:ログイン機能の開発コスト (スコア:4, 参考になる)
コストをかけてまで新しいログイン機能を開発する理由について
> 成りすましによる議論の混乱を避ける
> メールアドレスなど、公開していない個人情報の流出を防ぐ
それって理由になっている?
私はなっていないと判断します。
あなたの挙げた理由はID/PWの漏洩があった場合の話です、SSLの話はあまり関係ないでしょう。
今回のmixiの件もアカウント数に対する攻撃件数から見て他の理由と見るのが正しいと判断します。アカウントの使い回しとかの。
つまり、SSLが有ろうが無かろうが発生する事象です。SSLを使えば有意に差が出るというデータでもあれば話は別です。
> いくらでもあるだろう。
「いくらでもあるだろう」は何も考えていないで全て危険だと言っているに等しいです。
そんな状況設定に対し防御を固めるにはどれだけコストが掛かるか考えてください。
ここは無料です。コストを払っていない人などどうでも良いのです(あくまでも本音)。
あと攻撃者側の立場も忘れずに考えてください。SSLの有無が有効なのは盗聴など回線の途中に対する攻撃です。/.Jってそこまでして攻撃する対象ですか?
> これはわりと脆弱なシステムだ。
脆弱でいけないのですか? または、用途に対して脆弱といえるのですか?
Re: (スコア:0)
勝利宣言キター
Re: (スコア:0)
当然、用途に対して十分脆弱でしょう。スラッシュドットにアクセスしている人は、自分のメールアドレスを振り撒きたいとは思っておらず、だからこそ「隠す」というオプションがあるのです。
しかし、httpsでないばっかりに、無線LANとかで、MiMをやられると、その人のID/パスワードは流出します。まだ流出した例がないのは、利用者が有意にすくないからで、スラッシュドットが目的に対して十分堅牢だからではありません。
Re:ログイン機能の開発コスト (スコア:1)
勝ち負けはどうでも良いが、なぜ
> 脆弱であることを認めたね
と思ってしまったのかを教えてくれ。
少なくとも私は脆弱であると認めたつもりは無い。実際にどこにもそんなことは書いていない。
たぶん一部だけ切り取ることでそういう印象操作をしたいのだろうが、1行中だけでも後ろに「用途に対して脆弱といえるのですか?」と書き加えているように脆弱という判断に疑問を出している。
もしかして必要性の判断を無視して「脆弱」という事象に全て対処しないといけないと思っているのかな?
脆弱に対する疑問を提示されただけで(脆弱と判断を出していないのに)敗北が見えてしまうとはそういうことと推測できますが。
Re:ログイン機能の開発コスト (スコア:1)
> 無線LANとかで、MiM
それはそっちの問題でしょう。
無線LANで乗っ取りやられたらHTTPS以前の問題ですよ。
被害者の立場では /.JのID/PW漏洩なんて簡単なレベルでなく、/.J 側としてはさほど問題ではないです。
> 用途に対して十分脆弱でしょう。
> スラッシュドットが目的に対して十分堅牢だからではありません。
目的って何ですか? あなたの勝手な思い込みでは?
メールアドレスをばら撒きたくないなら先ずメールアドレスを登録しなければいいのですよ。
/.Jは登録を強制していないでしょう。
利用者がコントロールできるのだからそれでよい。
/.Jでは、せいぜい発言者がある程度特定できれば良い程度の目的でIDを発行しています。
勘違いしないように。
このIDで金銭のやり取りや、強制的に収集された登録情報が漏れるわけでは有りません。
> まだ流出した例がないのは、
たぶん既に流出していますよ。流出していない前提を立てる思考が怖いです。
これまでID/PWの流出事故についてどれだけ調べましたか? HTTPS無しが原因として何がありましたか?
適切な判断材料無しに盲目的にSSLガーーとかHTTPSガーーとか言っているのでは?
> スラッシュドットが目的に対して十分堅牢だからではありません。
ですからその「十分」の基準がおかしいといっているのです。
目的って何ですか? それは開発コストをかけるに見合うものなのですか?
セキュリティって収支がマイナスでよいものなのですか?
Re: (スコア:0)
「脆弱でいけないのですか」と開き直り、指摘されると前に言った内容を否定するそのネジ曲がった根性からして腐った人間だな(嘲)
コストコストって、SSLで暗号化するコストなんてたかが知れているぞ。
mtdraのようなド素人はいったい幾らコストが掛かると妄想しているのか?
Re:ログイン機能の開発コスト (スコア:1)
> 開き直り、指摘されると前に言った内容を否定する
どこをどう読み違えたのでしょう。最初からSSLがいらない対応と言っていますが。
最初から言っていることを言っているのに開き直り?
> コストコストって、SSLで暗号化するコストなんてたかが知れているぞ。
あなたには見積もりできないと予言します。つまり、「たかが」に根拠が無い。
金額も重要ですが、それによって得られる利益との比較も重要ですよ。
> 開き直り
> ネジ曲がった根性からして腐った人間だな(嘲)
> ド素人
まあ、そういう方向の発言はこちらが正しいことを示すだけですし。
Re:ログイン機能の開発コスト (スコア:1)
> セキュリティは一番低レベルのところから崩れていきます。
だから、それはSSLの話とは違う問題でしょう。
それはID/PWの使い回しとかメールアドレスの管理不徹底のほうで発生する問題。
私が最初にいった「SSLがいる理由を無理やり考えろといわれたらいくらでも出せるけど」ですよ。
> ひとり(ひとつ)でも成功したら儲けもん。
だからそれは被害者側の問題でしょ。
何度言っても理解できないようだけどサービス側が新しい機能を追加するコストなので、ユーザー側の問題なんて関係ないのですよ。
当然ユーザー側の被害が直接経営危機につながる銀行などは問題ですよ。
でも/.Jにはそんな条件関係ない。
たとえ、/.Jとの通信パケットでID/PW MailAdressがもれてそれで銀行のお金を取られても、
それはその個人と、銀行のセキュリティレベルが低いとの問題で/.J は(ポーズとして)謝罪する程度。
SSLは数多ある手段の一つ。自分のサービスレベルに合わせてチョイスするもの。
妄信的に何でも必要という考えはコスト的な破綻を招くだけ。
> 外部サービス提供サーバはセキュリティ高いけど
だからさあ、漏洩は、特にサービス提供側の被害になる漏洩はどこで起きているか考えた?
SSLの先、つま復号化された後の場所だよ。
Re:ログイン機能の開発コスト (スコア:1)
> それを誰も確認できない。
だいたいにおいて確認する必要ないし。
表面上誰とも特定できないA.C.と形だけとしても議論が進行しているでしょ。
また、前にも言ったけど不用意に個人を特定されてまずい情報は最初から/.Jには登録していません。攻撃により信用が無くなったらIDを取り直せばよいだけです。
がちがちにセキュリティを固めるほどの防御はいらない世界です。
> それを誰も確認できない。
そうとはいえやろうと思えば確認できるよ。もしかしてインターネットは匿名とか信じている人?
あと、予想するに確認とか証明をあなたの中じゃ現実離れした基準で言っているでしょう。
無茶なセキュリティ要件や現実離れした基準で。
Re:ログイン機能の開発コスト (スコア:1)
> 他人が貴方になりすまして投稿したとしても平気?
平気。
セキュリティの方策の一つに攻撃を食らっても平気にするという手法があります。
Re:ログイン機能の開発コスト (スコア:2)
mtdraって本当に日本語が残念な人なんだね(嘲)
えっ
ちゃんとお前の見積もって
Re:ログイン機能の開発コスト (スコア:1)
ああ、何が何でも秘匿しろって意見や場所が有るのは知っているよ。
でも、そんな人がHTTPSがあるから無線LANの漏洩も安全だみたいな話を始めたらバランス感覚最悪と評価するだけ。
#というか昨日あたりからは私に反論している人ね。
そういう条件ならHTTPSなんか関係ない世界へ行かないとダメだよね。
で、/.Jはそんな世界で無いという主張。
VPN Gate (スコア:2)
[HowTo]中国のグレートファイアウォールを突破する方法 学術的アプローチで自由なインターネットに挑む「VPN Gate」 [impress.co.jp]
最近はこういうサービスもあるらしいけど、ログ取られてるから、ちゃんと https で通信しとかないとセッションハイジャックされ放題って事ね。
/. って本当に駄目な子だな
uxi
ログイン履歴がない (スコア:1)
パスワードを変えてくれって喚起するのはいいんだけど
ログイン履歴が用意されいないってどういうことなんだろう?
不正なログインがあったかどうか、パスワードを変える前に履歴を確認すべきだと思うけど、履歴表示の機能はないみたいね。
Re:ログイン履歴がない (スコア:4, すばらしい洞察)
ログイン履歴が用意されいないってどういうことなんだろう?
本当は不正ログインされまくりなのが履歴からわかっちゃうんじゃないでしょうか。
Re:ログイン履歴がない (スコア:2, すばらしい洞察)
不正ログインは mixi の伝統だからな、地底湖行方不明事件とか。
Re: (スコア:0)
事件に関わる不正アクセスなのに、関係者一同、警察もスルーって感じで、
不正アクセスがああも堂々と放置されたってのは、いったいどういうことだったんだろうな
Re: (スコア:0)
> 警察もスルー
> 不正アクセスがああも堂々と放置された
ソースあんの?
実は、その謎の結論は出たんだけど全然面白くなかったという可能性は?
Re:ログイン履歴がない (スコア:1)
ログイン履歴が見られるサービスってそんなに多いの?
Hotmail使ってるけど、履歴なんて見られないし、Twitterもそんな機能ないし。
Facebookはやってないから知らん。
逆に見られるのはYahooぐらいだなあ。
履歴見られるのって最強の機能だと思うけど、やってる所の方が少なくね?
Re:ログイン履歴がない (スコア:3, 参考になる)
アカウント設定から最近のアクティビティへ到達出来ればこのコメントを書き込まなかったんだろうなぁ・・・
Re: (スコア:0)
(おれ#2616915じゃないけど)
ふうん、じゃあ「やってるサイト」にスラドも追加、と。。。
でも、やっぱり、やってる所の方が少なくね?
Re:ログイン履歴がない (スコア:1)
勘違いをさせて申し訳ないのでありますが、先の手順はホットメール(MSN)の件であります。
Re: (スコア:0)
砂山のパラドックス
Re:ログイン履歴がない (スコア:1)
銀行系はだいたい見れるね
Re: (スコア:0)
Hotmailは手順がめんどくさいけど一応照会可能だよ。
掲示板でサポートとのプライベート返信のやりとりという
なんかよくわからないやり方。
Re: (スコア:0)
Facebookも見られるよ
つまり挙げたサービスのうち、本当に見られないのは1つだけ?
Re:ログイン履歴がない (スコア:1)
何月何日、何時何分に普段と異なるIPアドレスからログインされました。
というメールが届く。
そしてその悉くが自分がモバイルルータでアクセスしたもの。
おそらくモバイルルータでアクセスする毎にIPが変わっているために警告が発せられているんだろう。
正直ウザいメールとしか思っていなかったが上のコメントを言ってくる人はきっとこういうメールをもらったことのない幸せな人なんだろう。
以下mixiからのメールのコピペ
GrayArmさん
mixi運営事務局です。
いつもと違うパソコンやスマートフォン、場所から mixi へのログインがありました。
アクセスがあった日時: 2014/06/03 22:32:22
IPアドレス: 106.152.55.100
利用環境:
もし自分でログインした心当りがない場合は、パスワードを変更する等の対策をお願いいたします。
おそらく、このメールで指摘されているアクセスもトピックにある不正アクセスの中に入っているはずです。
#本当は無断掲載禁止なんだけど、あえてさらしておきます。
Re: (スコア:0)
ログインの履歴を取ってなかったからでは?
#取ってるけど表示してないって根拠はどこにあるんだろう。
Re:ログイン履歴がない (スコア:1)
私は「普段ログインに使ってないPCですよ」的な表示を
されたことがあります。
履歴はなく、その場だけ表示するだけかよ!とか思いましたが、
銀行サイトでもFacebookでもなくmixiで表示されたのでビックリしました。
ある程度、履歴を持ってるんではないですかね。
単純に、ブラウザのクッキーをみてるだけかもしれませんが。
Re: (スコア:0)
すくなくとも最終ログインの日時はわかるようですよ。
プロフィール画面に(最終ログインは3日以上)とか表示がある。
Re: (スコア:0)
#そうか、もうひとつアカウント取得して友達にすればいいのか(←違反)
最終ログイン日時なんて (スコア:0)
最終ログイン日時だけだと、Users.last_login_date とかを持つだけで実装できるので、ログイン「履歴」を持っているとは限りません。こういう実装であれば、直近でいつログインしたかしか調べることはできません。
もちろん、Apacheやらのアクセスログを全部洗い出せば後からでも確認できるでしょうが。
Mixi規模のサイトでそれって結構大変そう。
Re: (スコア:0)
という事は、過去のログイン時に、ログインした際の環境の情報を保存しているという事ですよね。
もちろん複数の環境からログインしてもメールが届くのは最初だけなので、保存しているのは最終ログインの情報だけではない、という事になります。
まぁ、こういう事を保存するなら、同時にログインの日時も保存するのが普通と考えられるのではないでしょうか?
mixi内メッセージでの通知? (スコア:0)
メールアドレス宛に送付すれば良いのに、なぜしないんだろう。
心配を利用してカムバックログインさせて、ユーザ数稼ぎとかだったりしたらやだなぁ。
Re: (スコア:0)
あそこも老舗だけに、メールアドレスが生きてる率が少ないのでは。
Re: (スコア:0)
Re:mixi内メッセージでの通知? (スコア:2)
内部じゃそんな感じかもしれませんね。
この状況下で平然とプロ(課金制)への変更を勧めてくるタフさを備えてますし。
なお、プロへの変更後、対価に見合わず無料版へ戻すとプロ化前の日記等すべてのコンテンツを白紙にされる演出があります(?)
実際個人情報の管理は (スコア:0)
サービスを提供している会社じゃなく
ホスティングしている会社だったりするからねぇ