パスワードリスト攻撃によるdocomo IDへの不正ログインが6,072件発生 13
ストーリー by hylom
ドコモやられる 部門より
ドコモやられる 部門より
headless 曰く、
NTTドコモは9月30日、同社が提供するdocomo IDへの不正ログインが発生していたことを発表した(ドコモからのお知らせ)。
不正なログイン試行が確認されたのは9月29日。9月27日23時30分から29日20時25分までに特定のIPアドレスから6,072件の不正ログインが行われていたという。調査の結果、利用者のIDとパスワードを不正に入手した第三者によるパスワードリスト攻撃であることが判明したとのこと。
不正ログインにより閲覧された可能性のある情報は、携帯電話番号、氏名、自宅住所、自宅電話番号、生年月日、口座情報、DCMXカードの利用履歴のほか、料金プランや付加サービスの契約状況などの契約内容。ドコモでは該当IPアドレスからのログインを遮断するなどの措置をとり、不正ログインが確認されたIDについては、パスワードを変更するまで利用できないように対策を行ったとのこと。対象となる利用者に対しては個別に連絡を行うとしている。
「電話番号」のIDを利用不可にして、より脆弱にした docomo (スコア:3)
2013年の警視庁による調査結果 [nikkeibp.co.jp]によると、他サービスから流出したと思われるIDとパスワードのリストを使った不正アクセスの成功率は 5%強 と極めて高いのが現状です。
昔は、docomo ID の ID をデフォルトの電話番号のままにしていた人が多かったようですが、 docomo ID [docomo.ne.jp] によると、「2013年11月13日より電話番号形式は設定いただけなくなりました」とあり、代わりに「メールアドレス」や「好きな文字列」を設定する形式となったようです。
強制的に「メールアドレス」を ID とするシステムではなく、「好きな文字列」を ID にできるシステムとしたのは良いことだとは思いますが、多くの人は ID を暗記もしくはメモするのが面倒なことから、メールアドレスの ID を選んだと思われます。
確かに電話番号は数億通りしかないので、強度として十分ではありませんが、電話番号をブルートフォースアタック、パスワード(8~20桁の半角英数記号)を辞書攻撃するとすると、両方が一致する確率は相当低くなります。少なくとも、あちこちで使いまわされ、性質上インターネット上で不特定多数に公開されることも多い、メールアドレスのIDよりはマシです。
リスト型攻撃の成功率の高さを考えると、電話番号形式の ID を利用不可とした結果、かえって脆弱な状態になったのではないでしょうか。
Re:「電話番号」のIDを利用不可にして、より脆弱にした docomo (スコア:2)
> 昔は、docomo ID の ID をデフォルトの電話番号のままにしていた人が多かったようですが、
> docomo ID [docomo.ne.jp] によると、「2013年11月13日より電話番号形式は設定いただけ
> なくなりました」とあり、代わりに「メールアドレス」や「好きな文字列」を設定する形式となったようです。
過去に電話番号形式だった人は電話番号形式のままですよ。
> 強制的に「メールアドレス」を ID とするシステムではなく、「好きな文字列」を ID にできる
> システムとしたのは良いことだとは思いますが、
https://id.smt.docomo.ne.jp/cgi8/id/register [docomo.ne.jp]
「docomo IDお手持ちのメールアドレス(半角英数字・記号)必須」
メールアドレスを入れてしまうよね。
Re: (スコア:0)
docomo IDの総数ってどのくらいでしょうか?
数千万の加入契約のうち、約6000の被害は、ご指摘の5%強と比べるとかなり低いように思います。
顕在化してない被害があるのか、犯人が持っていたパスワードリストが一致するような人が少なかったのか・・・
Re: (スコア:0)
まだIDが電話番号のままの人の方が多いんじゃないかなと
私も3回線持ってますが全部そうですし
Re: (スコア:0)
犯人の「手持ちのパスワードリスト(≒アタック回数)の5%強」が約6000って考えるべきかと。
連絡来ました。 (スコア:1)
情報があれこれ漏れてる可能性ありますがメインしようでは無い家族通話専用のFOMA端末だしDCMXカードは持って無いし過去の事故歴のおかげで不正にクレジットカード取得も無理だし(今春申し込み試してもダメって通知来た)。
1年くらい前にAdobeの情報漏れからミルパス導入で各所ユニークな10桁数字英大小混じりのパスワードに変えたけど、
ほとんど使わずにまだ変更してないサービスが他にもありそうだなぁ。 週末に再度チェックしよう。
他でも発生 (スコア:0)
ヤマト運輸、佐川急便でも同様の被害が発生していて、そっちのほうが被害数は多いですね。
おそらく、他のWebサービスでも発生していると思います。
ただ発表されていないだけか、あるいは気づいてすらいないのかもしれません。
ヤマト運輸からお知らせが来ていましたが、「不正ログイン対象外」のユーザ宛てのお知らせでした。
不正ログインされたユーザには個別に知らせているとのこと。
不正ログインされた人だけじゃなくて、不正ログインを試みられた人にも、ちゃんと危なかったとわかるように知らせて欲しいと思います。
自分がパスワードリスト攻撃のリストに載っていて、そのままだと他で使っているアカウントもやられちゃうかもしれないということが認識できますから。
そろそろリスト型攻撃の被害を問題視するのやめよーよ (スコア:0)
ユーザーの責任だろ?
他社から漏れたパスワードでのリスト攻撃を受けたサービス業者には同情する。 (スコア:0)
どこも大変だな。
Re: (スコア:0)
ユーザーの責任って流れにしないと、無駄に縛りがキツくなって
今のルールを適切に活用してる人があおりを食いそうだよね。
最近何度もロックされてたのはこのせいか (スコア:0)
ロックされるたびに解除するためのパスワード変更が必要になるのでだるかった
Re: (スコア:0)
http://id.smt.docomo.ne.jp/src/utility/pc/faq1.html#p08 [docomo.ne.jp]
これでは? クラウド同期を、パスワード変更後もログインしなおさないとこのような目にあいます。
Re: (スコア:0)
それかも。