パスワードを忘れた? アカウント作成
11620726 story
情報漏洩

パスワードリスト攻撃によるdocomo IDへの不正ログインが6,072件発生 13

ストーリー by hylom
ドコモやられる 部門より
headless 曰く、

NTTドコモは9月30日、同社が提供するdocomo IDへの不正ログインが発生していたことを発表した(ドコモからのお知らせ)。

不正なログイン試行が確認されたのは9月29日。9月27日23時30分から29日20時25分までに特定のIPアドレスから6,072件の不正ログインが行われていたという。調査の結果、利用者のIDとパスワードを不正に入手した第三者によるパスワードリスト攻撃であることが判明したとのこと。

不正ログインにより閲覧された可能性のある情報は、携帯電話番号、氏名、自宅住所、自宅電話番号、生年月日、口座情報、DCMXカードの利用履歴のほか、料金プランや付加サービスの契約状況などの契約内容。ドコモでは該当IPアドレスからのログインを遮断するなどの措置をとり、不正ログインが確認されたIDについては、パスワードを変更するまで利用できないように対策を行ったとのこと。対象となる利用者に対しては個別に連絡を行うとしている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  •  2013年の警視庁による調査結果 [nikkeibp.co.jp]によると、他サービスから流出したと思われるIDとパスワードのリストを使った不正アクセスの成功率は 5%強 と極めて高いのが現状です。

     昔は、docomo ID の ID をデフォルトの電話番号のままにしていた人が多かったようですが、 docomo ID [docomo.ne.jp] によると、「2013年11月13日より電話番号形式は設定いただけなくなりました」とあり、代わりに「メールアドレス」や「好きな文字列」を設定する形式となったようです。

     強制的に「メールアドレス」を ID とするシステムではなく、「好きな文字列」を ID にできるシステムとしたのは良いことだとは思いますが、多くの人は ID を暗記もしくはメモするのが面倒なことから、メールアドレスの ID を選んだと思われます。

     確かに電話番号は数億通りしかないので、強度として十分ではありませんが、電話番号をブルートフォースアタック、パスワード(8~20桁の半角英数記号)を辞書攻撃するとすると、両方が一致する確率は相当低くなります。少なくとも、あちこちで使いまわされ、性質上インターネット上で不特定多数に公開されることも多い、メールアドレスのIDよりはマシです。

     リスト型攻撃の成功率の高さを考えると、電話番号形式の ID を利用不可とした結果、かえって脆弱な状態になったのではないでしょうか。

    • > 昔は、docomo ID の ID をデフォルトの電話番号のままにしていた人が多かったようですが、
      > docomo ID [docomo.ne.jp] によると、「2013年11月13日より電話番号形式は設定いただけ
      > なくなりました」とあり、代わりに「メールアドレス」や「好きな文字列」を設定する形式となったようです。

      過去に電話番号形式だった人は電話番号形式のままですよ。

      > 強制的に「メールアドレス」を ID とするシステムではなく、「好きな文字列」を ID にできる
      > システムとしたのは良いことだとは思いますが、

      https://id.smt.docomo.ne.jp/cgi8/id/register [docomo.ne.jp]
      「docomo IDお手持ちのメールアドレス(半角英数字・記号)必須」

      メールアドレスを入れてしまうよね。

      親コメント
    • by Anonymous Coward

      docomo IDの総数ってどのくらいでしょうか?

      数千万の加入契約のうち、約6000の被害は、ご指摘の5%強と比べるとかなり低いように思います。

      顕在化してない被害があるのか、犯人が持っていたパスワードリストが一致するような人が少なかったのか・・・

      • by Anonymous Coward

        まだIDが電話番号のままの人の方が多いんじゃないかなと
        私も3回線持ってますが全部そうですし

      • by Anonymous Coward

        犯人の「手持ちのパスワードリスト(≒アタック回数)の5%強」が約6000って考えるべきかと。

  • by Anonymous Coward on 2014年10月03日 15時45分 (#2687491)
    ロックされてたので案内された手順に従って操作、ミルパスで10桁パスワード生成して登録。
    情報があれこれ漏れてる可能性ありますがメインしようでは無い家族通話専用のFOMA端末だしDCMXカードは持って無いし過去の事故歴のおかげで不正にクレジットカード取得も無理だし(今春申し込み試してもダメって通知来た)。

    1年くらい前にAdobeの情報漏れからミルパス導入で各所ユニークな10桁数字英大小混じりのパスワードに変えたけど、
    ほとんど使わずにまだ変更してないサービスが他にもありそうだなぁ。 週末に再度チェックしよう。
  • by Anonymous Coward on 2014年10月03日 15時14分 (#2687469)

    ヤマト運輸、佐川急便でも同様の被害が発生していて、そっちのほうが被害数は多いですね。

    おそらく、他のWebサービスでも発生していると思います。
    ただ発表されていないだけか、あるいは気づいてすらいないのかもしれません。

    ヤマト運輸からお知らせが来ていましたが、「不正ログイン対象外」のユーザ宛てのお知らせでした。
    不正ログインされたユーザには個別に知らせているとのこと。

    不正ログインされた人だけじゃなくて、不正ログインを試みられた人にも、ちゃんと危なかったとわかるように知らせて欲しいと思います。
    自分がパスワードリスト攻撃のリストに載っていて、そのままだと他で使っているアカウントもやられちゃうかもしれないということが認識できますから。

  • ユーザーの責任だろ?

  • by Anonymous Coward on 2014年10月03日 22時14分 (#2687731)

    ロックされるたびに解除するためのパスワード変更が必要になるのでだるかった

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...