パスワードを忘れた? アカウント作成
11048452 story
SNS

mixi、約4万件のアカウントが不正ログインされた可能性 67

ストーリー by headless
継続 部門より
mixiで5月31日から第三者による不正なログイン試行が行われており、不正ログインされた可能性のあるアカウントが約4万件におよぶそうだ(CNET Japanの記事ガジェット通信の記事)。

CNET Japanの記事によれば不正なログイン試行は6月6日時点でも続いているが、金銭的な被害やアカウント情報の変更といった被害は報告されていないという。mixi運営事務局では今後mixiトップページでも注意喚起する予定だが、現在のところ不正ログインが行われたユーザーに対してのみ、mixi内のメッセージ機能を使用して登録メールアドレスやパスワードの変更を呼び掛けているとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 二段階認証でもなきゃ簡単にログインされてしまう。
    二段階認証でも突破する方法が有るみたいですし。
    ログイン機能を開発するコストが跳ね上がりますな。

    • by Anonymous Coward on 2014年06月07日 12時02分 (#2616905)

      ログイン機能を無くせばコストもかからないし、
      不正ログインも撲滅できますよ :-p

      親コメント
      • by Anonymous Coward on 2014年06月07日 12時50分 (#2616924)

        ジョークみたいだけど実際ログイン機能はFacebookかTwitterに丸投げしたほうが泡沫サービスよりよほど信用できる。
        だいたいみんなクレジットカードは決済会社丸投げを当然(むしろそのほうが得体のしれない会社にカード番号を預けずに済む)と思ってるでしょ? ログインも同じこと。

        親コメント
        • > FacebookかTwitterに丸投げしたほうが

          これってそこが攻撃されたら異存サービス全滅みたいで怖くない?
          確かに信用できる相手に鍵の管理を任すのは妥当な判断だけど、FacebookやTwitterってそこまで信用していいの?

          親コメント
          • by Anonymous Coward

            ジョークみたいだけど実際ログイン機能はFacebookかTwitterに丸投げしたほうが泡沫サービスよりよほど信用できる。

            #強調は私による

            mixiが泡沫サービスかどうかはともかくとして。

            • by Anonymous Coward on 2014年06月07日 17時55分 (#2617052)

              少なくとも、OpenID/Authによる
              認証/認可を提供しているのであれば、
              ここでいう泡沫サービスには当たらないと思いたいのですが。

              SNSとして、認証/認可を他所に丸投げするのって自殺行為以外の何者でもありませんし。
              mixiにログインするのにFacebookへのログインを求められるのなら、
              最初からmixiなんか使わずFacebookを使いますよ。

              SNS廃業してスマホゲーム屋に商売替えするのなら話は別ですが。

              親コメント
      • by Anonymous Coward
        サービスによるけどなしに出来るならなしにしたほうがいいよね。めんどくさくないし。
    • by Anonymous Coward

      だいだいねaaaa1234にaaaa1234のパスワードつける奴を
      守る方法なんてありません

      • by Anonymous Coward

        そのパターンだけなら同じだったり少し変更した文字列なら弾くで簡単に防げるけど、他にも色々とやりそうですよねえ

  • by Anonymous Coward on 2014年06月07日 11時32分 (#2616895)

    パスワードを変えてくれって喚起するのはいいんだけど
    ログイン履歴が用意されいないってどういうことなんだろう?
    不正なログインがあったかどうか、パスワードを変える前に履歴を確認すべきだと思うけど、履歴表示の機能はないみたいね。

    • Re:ログイン履歴がない (スコア:4, すばらしい洞察)

      by Anonymous Coward on 2014年06月07日 11時37分 (#2616898)

      ログイン履歴が用意されいないってどういうことなんだろう?

      本当は不正ログインされまくりなのが履歴からわかっちゃうんじゃないでしょうか。

      親コメント
      • Re:ログイン履歴がない (スコア:2, すばらしい洞察)

        by Anonymous Coward on 2014年06月07日 11時43分 (#2616901)

        不正ログインは mixi の伝統だからな、地底湖行方不明事件とか。

        親コメント
        • by Anonymous Coward

          事件に関わる不正アクセスなのに、関係者一同、警察もスルーって感じで、
          不正アクセスがああも堂々と放置されたってのは、いったいどういうことだったんだろうな

          • by Anonymous Coward

            > 警察もスルー
            > 不正アクセスがああも堂々と放置された

            ソースあんの?

            実は、その謎の結論は出たんだけど全然面白くなかったという可能性は?

    • by Anonymous Coward on 2014年06月07日 12時25分 (#2616915)

      ログイン履歴が見られるサービスってそんなに多いの?
      Hotmail使ってるけど、履歴なんて見られないし、Twitterもそんな機能ないし。
      Facebookはやってないから知らん。
      逆に見られるのはYahooぐらいだなあ。

      履歴見られるのって最強の機能だと思うけど、やってる所の方が少なくね?

      親コメント
    • by GrayArm (38363) on 2014年06月08日 21時31分 (#2617537)
      最近、ちょくちょくmixiから
      何月何日、何時何分に普段と異なるIPアドレスからログインされました。
      というメールが届く。

      そしてその悉くが自分がモバイルルータでアクセスしたもの。

      おそらくモバイルルータでアクセスする毎にIPが変わっているために警告が発せられているんだろう。

      正直ウザいメールとしか思っていなかったが上のコメントを言ってくる人はきっとこういうメールをもらったことのない幸せな人なんだろう。

      以下mixiからのメールのコピペ

      GrayArmさん

      mixi運営事務局です。
      いつもと違うパソコンやスマートフォン、場所から mixi へのログインがありました。

      アクセスがあった日時: 2014/06/03 22:32:22
      IPアドレス: 106.152.55.100
      利用環境:

      もし自分でログインした心当りがない場合は、パスワードを変更する等の対策をお願いいたします。
      おそらく、このメールで指摘されているアクセスもトピックにある不正アクセスの中に入っているはずです。

      #本当は無断掲載禁止なんだけど、あえてさらしておきます。
      親コメント
    • by Anonymous Coward

      ログインの履歴を取ってなかったからでは?

      #取ってるけど表示してないって根拠はどこにあるんだろう。

      • 私は「普段ログインに使ってないPCですよ」的な表示を
        されたことがあります。
        履歴はなく、その場だけ表示するだけかよ!とか思いましたが、
        銀行サイトでもFacebookでもなくmixiで表示されたのでビックリしました。

        ある程度、履歴を持ってるんではないですかね。
        単純に、ブラウザのクッキーをみてるだけかもしれませんが。

        親コメント
      • by Anonymous Coward

        すくなくとも最終ログインの日時はわかるようですよ。
        プロフィール画面に(最終ログインは3日以上)とか表示がある。

      • by Anonymous Coward
        少なくとも、友達からは最終ログインが1時間以内か1日以内かわかるのだから、取っていないはずがない。

        #そうか、もうひとつアカウント取得して友達にすればいいのか(←違反)
        • 最終ログイン日時だけだと、Users.last_login_date とかを持つだけで実装できるので、ログイン「履歴」を持っているとは限りません。こういう実装であれば、直近でいつログインしたかしか調べることはできません。

          もちろん、Apacheやらのアクセスログを全部洗い出せば後からでも確認できるでしょうが。
          Mixi規模のサイトでそれって結構大変そう。

          • by Anonymous Coward
            mixiでは、今までにアクセスした事のないと思われる端末からログインすると、登録したメールアドレスに「いつもと違うパソコンやスマートフォン、場所からmixiへのログインがありました」というメールが届きます。

            という事は、過去のログイン時に、ログインした際の環境の情報を保存しているという事ですよね。
            もちろん複数の環境からログインしてもメールが届くのは最初だけなので、保存しているのは最終ログインの情報だけではない、という事になります。
            まぁ、こういう事を保存するなら、同時にログインの日時も保存するのが普通と考えられるのではないでしょうか?
  • by Anonymous Coward on 2014年06月07日 16時58分 (#2617016)

    メールアドレス宛に送付すれば良いのに、なぜしないんだろう。

    心配を利用してカムバックログインさせて、ユーザ数稼ぎとかだったりしたらやだなぁ。

    • by Anonymous Coward

      あそこも老舗だけに、メールアドレスが生きてる率が少ないのでは。

      • by Anonymous Coward
        大した騒ぎでもないのに、そんな面倒なことやるかってことですね。
  • by Anonymous Coward on 2014年06月07日 18時49分 (#2617078)

    サービスを提供している会社じゃなく
    ホスティングしている会社だったりするからねぇ

typodupeerror

あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall

読み込み中...