OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に? 47
ストーリー by hylom
SSLの設定ってそんな難しかったっけ 部門より
SSLの設定ってそんな難しかったっけ 部門より
OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。
問題点について詳しくはTogetterまとめを参照してほしいが、パスワードを暗号化してやり取りするAPOPを廃止するいっぽうで、利用者にはその代替策となるはずのSSLを使った暗号化通信を「上級者向け」として説明しないどころか、あえてSSLを使用しない設定例を明示しているという点が指摘されている。
SSLを利用せず、POPでの接続を行った場合、パスワードが平文でネットワーク上を流れることになり、たとえば公衆無線LANなどからOCNメールを利用した場合、そのID/パスワードを第三者が傍受できてしまう可能性がある。
パスワード保存 (スコア:4, すばらしい洞察)
サーバ側のパスワード保存を、平文でおいておくことがバレると、APOPやCHAPを知らないシッタカさんが騒ぎ出すので、サーバ側をハッシュ化したのかな?
まあ、STARTTLSやimap on SSLを強制させるようにすべきなんだけど、ほとんどクライアントは、設定が必要だからなぁ。
クライアント側もCAPABILITYにSTARTTLSがあれば、必ずやるようにする実装にすればいいのに。
Re:パスワード保存 (スコア:2)
OCNは定期的にパスワードが漏れるサービスなんで、ユーザーにはパスワードの定期更新を強制した。
また、抜本的にパスワードが自分たちのところから漏れないようにパスワードを平文で保存しないようにしたってことでないの?
Re:パスワード保存 (スコア:1)
#間抜け加減はもうなんとも言わない。
Re: (スコア:0)
設定マニュアルを、SSL使うことが普通として直せばいいのに、
SSLを使わない方法で設定するよう記載されているのが問題。
使えるんだから積極的に使うようアナウンスすればいいはずなのに。
Re:パスワード保存 (スコア:4, 興味深い)
いや、設定マニュアルでは多分ダメ。
問題は、設定サービスとかでやってくる、電気屋だと思うな。
親が使ったことあるんだけど(私に頼むのを遠慮した)無線LANのパスワードをクリアしていくは、プロバイダのマニュアルなんか読まずに設定していったものだから、いろんなところがグダグダ、ほんとに接続確認したか?ってレベル。当然SSLなんか無視。結局全部私がやり直し。
#ちょうど、1週間以内に私が行くことになって「新しいマシンにしたら、なんか調子悪い」とか言うもんだから見直したら、ひどい状態。大体70過ぎのジジババに11inchiを売るバカ。
#私が行って、「お前はア〜ホ〜か〜」といって15inchに変更。
多分、今、パスワードが平文になってしまった人たちも、そういう連中に設定してもらっている人が少なくないはず。
はっきり言って、それで漏洩したら、損害賠償ものだよ。
Re:パスワード保存 (スコア:1)
一般的にはパスワードの設定の必要のある内容を含む場合、パスワード自体をどうやって決めてまた設定してるのかな
パスワードの設定が必要になったら、見ないで済むようにユーザを呼んで入力させて、続きの作業をする…
という感じなんでしょうかね?
で、パスワードの初期値も入力も設定業者がやるのだとしたら、
業者はそのパスワードを知っている外部の人物となってしまい、
後に設定した所で事件があった時容疑をかけられてしまうことになるような。
パスワード無しならこの問題は発生しないので、そんな理由があるのかもと妄想しました
Re:パスワード保存 (スコア:2)
PPPの接続やメイルのパスワードはプロバイダ契約の時に送られてきますよね。
ちなみに親の家の無線LANのパスワードは、それ以前に私が設定してなったものを、「わざわざ」クリアしてありました。
親はよく覚えていないようでしたが、どうも、聞きもしなかった模様。古い方のマシンもおいてあるわけで、探せばすぐに出てくる。ほんとクズ。
Re: (スコア:0)
>ほんとクズ。
新聞の求人チラシでこの種の業者の求人見たことあるけど、正直この待遇じゃちゃんとネットやセキュリティーの教育受けた技術力のある人は雇えないだろうなぁと思う内容だった。
だいたいアルバイトか契約社員で給料も計算してみたら最低賃金スレスレ、未経験でもOK即実戦投入って感じだったし。
Re:パスワード保存 (スコア:2)
テレビの設置(2000円以下)なんかより、いい値段(基本設定で1万円前後)をとるというイメージなんだが、それで、まともな給料を払わないって、電気屋悪ど過ぎですね。
Re: (スコア:0)
かといって電気屋がウハウハな訳でもなく、むしろジリ貧なところからすると、そういう値段設定をせざるを得ないんだろうなーという気はします
Re: (スコア:0)
そうでしょうなぁ。工事にそれなりに複雑な設定となると、1〜2時間以上かかるでしょうから、最低賃金レベルの給料ですら作業員本人に1300〜1800円ぐらい払わないといけないし、それに部材関連コストや人件費以外の会社側の経費(設備や工具類とか燃料代、電気代、管理事務コストとか税金社会保険とか)を考えると、1万円でもかなり叩かれている感じですね。
本気でまともなネットワーク教育受けて技術力もそこそこある人を1〜2時間工事させてとなると、たぶん基本設定でも数万円〜10万円以上取らないと採算合わないのではないかと。
Re: (スコア:0)
奥さんの実家がそうだったなあ。
回線を契約したときに来た業者が、セットになっていた無線 AP も設定したらしいのだけど、まさかの「パスワード無し」。
回線の契約は家電量販店でお願いしたと聞いているから、地元の業者さんなのかもしれないけど、あれはさすがに引いた。
しかも、PC にはルータから接続されている有線 LAN が接続されているという状態。
今のところ何も言われてないから、不正利用は無かったと思いたい。
Re: (スコア:0)
クライアントがまずSSL接続を試すように作られていればいいだけのように思う。
ちょっと気になったのでスマホのOCNの設定を見てみた
#気になったのは、あれ?OCN普通にSSLつかえたはずだけど?という方向
設定したの一年近く前なのでもうよく覚えていない上、Lolipop入れられた上強制的にGMAILに移行させられたので設定時どうやったのかわからんけど、SSLになっていた。
確か、サーバーアドレスを入れたら勝手にSSLが使えるか調べてくれたような。
SSLだからといって苦労した覚えはない。
#オレのはサポートしてやがらねえ?買い替えよう
Re:パスワード保存 (スコア:2)
いや、SSLじゃなくても、サーバからのCAPABILITYをチェックして、そこにSTARTTLSがあるかどうかを見るだけでOKなのよ。自動化できるところを設定させるところがダメ。
OCNメールはほかにも (スコア:2, 興味深い)
WebメールのCookieにSecureフラグついてないので、ログイン中ユーザに http のリンク踏ませたらセッション奪えるとかもある。
そこそこ便利だったけど、これに気付いてからは使ってない…。
利用者が・・・指摘されている (スコア:1)
てっきり、OCNが利用者から指摘されたのかと思ったけど、意味不
Re: (スコア:0)
hylomの裏アカ?
Re: (スコア:0)
ごめん、正直
「多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性」があることが指摘されている
としか読めなかったのだけれど、どの辺が意味不明なんだろうか?
言っても無駄だろうけど… (スコア:0)
公衆無線LANでパスワードのやりとりなんかするなよ
Re: (スコア:0)
APOPが使えればパスワードそのものは流さなくていいのにね。
Re: (スコア:0)
APOPには2007年くらいに脆弱性が見つかってるから事実上平文と変わらないんじゃないの?
Re: (スコア:0)
とはいえ、平文よりはマシなわけで、APOP禁止して、プレーンテキスト許可っていうのは変ですよね。
個人情報保護などの名目でサーバーDBにパスワードを格納したくない(そりゃそうなんだけど)などの「政治的な」理由で、むしろセキュリティが無視されているように見えます・・・。
Re: (スコア:0)
そう思う。
つーか、無線以外で通信経路上でパケットキャプチャされて、平文のPass抜これる事が少ない気がするな・・・
Re: (スコア:0)
想像上の頻度の多寡を仰ってる時点で、この話に加わったらアカン方だと宣言してるようなもんですよ
セキュリティの話を決まって悪い方向に導くのは、「よくある」「いや、滅多に無い」という想像と主観です
Re: (スコア:0)
>セキュリティの話を決まって悪い方向に導くのは、「よくある」「いや、滅多に無い」という想像と主観です
というのもあなたの想像と主観じゃね?
少なくとも国内ISPからOCNのメールサーバまでの経路上で、第三者が勝手にパケットキャプチャ出来ないと思うが。
悪意あるネットワークエンジニアがーというなら、OCNのメールサーバ管理者自体もリスクとして勘案すべきで、セキュリティに対する歩留まりが効かなくなりそう。
Re:言っても無駄だろうけど… (スコア:1)
ISPからOCNの間は事実上信頼できるとしても
エンドユーザが利用する拠点からISPまでの間があまり信頼できないよね。
ホテルのインターネットアクセス情報コンセントとか。公衆WiFiとか。
Re: (スコア:0)
あとよくあるのが、BGPで偽ルートが広告されてトラフィックが取られちゃったときとか、あるよね。
リンク先の例でいうと、ハイジャック中に流れた平文パスワードは理論上、中国政府が全部吸い取ることができたわけで。
まぁ、あとルータの脆弱性も結構頻繁に見つかっていて、
流石にすごく上流はちゃんとメンテナンスしているとしても
ISPの末端ルータにはバカに出来ない数の怪しいルータがあると思う。
Re: (スコア:0)
穴の数が多ければそれだけ漏れる可能性も大きくなると思うんだけどな。
世の中には変な人もいるんだな。
Re: (スコア:0)
NSA……(おや、誰か来たようd)
そもそも12月19日以降は普通のPOPも使えなくなるのでは? (スコア:0)
OCNのお知らせ [ocn.ne.jp]を読む限り古いプロトコルのものは切り捨てるような…。
そのお知らせの下のリンクから飛べる各種メーラの設定方法は
thunderbird [ntt.com]もOutlook [ntt.com]もSSL通信の設定を行うようにしてる。
メールの設定ページの更新が行われていないのだね。誰かユーザーサポートに教えてあげて。
Re: (スコア:0)
リンク先は認証がないよね。
9月にそういう変更があるという事を知らなかったので、最近メールが来て確認した時はフィッシングサイト?と思った。
OCNのホームページから設定のページへ行った場合は違う設定だったし。
この一件で2時間ぐらい悩んだ。
Re: (スコア:0)
> そもそも12月19日以降は普通のPOPも使えなくなるのでは?
え?マジ?
どこに書いてある?
Re: (スコア:0)
APOPを廃止して普通のPOPを残す理由が無い。POP over SSLのみ受け付けるようにすると考えるのが妥当。
お知らせから飛べるメーラの設定もそうなっているし。
Re:そもそも12月19日以降は普通のPOPも使えなくなるのでは? (スコア:1)
Re: (スコア:0)
> お知らせから飛べるメーラの設定もそうなっているし。
それ、12月8日に「「メール設定の確認」のリンク先を更新しました」ってやつでしょ?
元のリンク先は SSL オフを指示してたって。
Re: (スコア:0)
もうISPレベルで、エンドユーザからのTCP/110発信をブロックするのも一案かもしれない。
現状では、SMTPやSAMBAポートもブロックしてるのだから
プロバ用ネットワーク設定自体で暗号化設定しちゃえばいいじゃない (スコア:0)
接続ソフトで設定いらずにできるっしょ
Wi-Fiルーターと端末間もオフィシャルで
アプリ配布でいいよね
SIMの通信もそうしちゃえばいいよね
これなら暗号トンネル内が平文でも
プロバイダサービスだけは安全
プロバイダ-他社サービス間まで知らんがなでも
責任範疇外でいいですよね
# 平文基本で流出事件のスケープゴートにする平文ヘイブン
Re: (スコア:0)
結果、この端末でうごかないあの端末で誤作動するとか、クレームサポートに追われましたとさ。
アナウンスするのはいいけど (スコア:0)
こんな重大なアナウンスはメールでも送信してほしいわ。
この記事で始めて知った。
既にSSLに設定してあったからいいものの、知らなかったらやばかったかもしれない。
Re: (スコア:0)
2014/12/7頃に来ているはず。それで研究員が調べ始めたので。
Re: (スコア:0)
うちにはまだ来てない。
多分、現在送信中なんでしょう。
webメール (スコア:0)
サイトにログインしてWebで使えってことかね
あ、アカウントお漏らししたばっかりでしたっけ?
平文でパスワードを送信する「可能性」がある程度で騒ぐとは、なんておめでたい人たちかしら・・・ (スコア:0)
「SSLに対応している」だけですごいことですよ?
冗談じゃないってマジで。
他のNTT系プロバイダのサポートメージ見たら、その凄さが実感できるから。
Re:平文でパスワードを送信する「可能性」がある程度で騒ぐとは、なんておめでたい人たちかしら・・・ (スコア:1)
NTTには支援魔法の使い手がいるんですね。
それなら安心です。
Re:平文でパスワードを送信する「可能性」がある程度で騒ぐとは、なんておめでたい人たちかしら・・・ (スコア:1)
眼から水っぽいものがいっぱい出てよく読めない
どうしてくれるんだ!
Re: (スコア:0)
海外製メールソフトはSSLをデフォルトにしていく中、日本で一番ポピュラーなやり方は587ポート...
POP before SMTPとか中途半端なのもまだあるし、SSLや送信サーバーのパスワード認証なんかは上級者向け扱いだもんね。