パスワードを忘れた? アカウント作成
11809657 story
セキュリティ

OCNがAPOPを廃止へ、多くの利用者が平文でパスワードを送信する事態に? 47

ストーリー by hylom
SSLの設定ってそんな難しかったっけ 部門より

OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

問題点について詳しくはTogetterまとめを参照してほしいが、パスワードを暗号化してやり取りするAPOPを廃止するいっぽうで、利用者にはその代替策となるはずのSSLを使った暗号化通信を「上級者向け」として説明しないどころか、あえてSSLを使用しない設定例を明示しているという点が指摘されている。

SSLを利用せず、POPでの接続を行った場合、パスワードが平文でネットワーク上を流れることになり、たとえば公衆無線LANなどからOCNメールを利用した場合、そのID/パスワードを第三者が傍受できてしまう可能性がある。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • パスワード保存 (スコア:4, すばらしい洞察)

    by manmos (29892) on 2014年12月10日 13時39分 (#2725539) 日記

    サーバ側のパスワード保存を、平文でおいておくことがバレると、APOPやCHAPを知らないシッタカさんが騒ぎ出すので、サーバ側をハッシュ化したのかな?

    まあ、STARTTLSやimap on SSLを強制させるようにすべきなんだけど、ほとんどクライアントは、設定が必要だからなぁ。
    クライアント側もCAPABILITYにSTARTTLSがあれば、必ずやるようにする実装にすればいいのに。

    • by tty01 (46299) on 2014年12月10日 16時26分 (#2725676)

      OCNは定期的にパスワードが漏れるサービスなんで、ユーザーにはパスワードの定期更新を強制した。
      また、抜本的にパスワードが自分たちのところから漏れないようにパスワードを平文で保存しないようにしたってことでないの?

      親コメント
    • by Anonymous Coward

      設定マニュアルを、SSL使うことが普通として直せばいいのに、
      SSLを使わない方法で設定するよう記載されているのが問題。

      使えるんだから積極的に使うようアナウンスすればいいはずなのに。

      • by manmos (29892) on 2014年12月10日 14時19分 (#2725585) 日記

        いや、設定マニュアルでは多分ダメ。
        問題は、設定サービスとかでやってくる、電気屋だと思うな。

        親が使ったことあるんだけど(私に頼むのを遠慮した)無線LANのパスワードをクリアしていくは、プロバイダのマニュアルなんか読まずに設定していったものだから、いろんなところがグダグダ、ほんとに接続確認したか?ってレベル。当然SSLなんか無視。結局全部私がやり直し。

        #ちょうど、1週間以内に私が行くことになって「新しいマシンにしたら、なんか調子悪い」とか言うもんだから見直したら、ひどい状態。大体70過ぎのジジババに11inchiを売るバカ。
        #私が行って、「お前はア〜ホ〜か〜」といって15inchに変更。

        多分、今、パスワードが平文になってしまった人たちも、そういう連中に設定してもらっている人が少なくないはず。
        はっきり言って、それで漏洩したら、損害賠償ものだよ。

        親コメント
        • by Anonymous Coward on 2014年12月10日 16時18分 (#2725668)

          一般的にはパスワードの設定の必要のある内容を含む場合、パスワード自体をどうやって決めてまた設定してるのかな
          パスワードの設定が必要になったら、見ないで済むようにユーザを呼んで入力させて、続きの作業をする…
          という感じなんでしょうかね?

          で、パスワードの初期値も入力も設定業者がやるのだとしたら、
          業者はそのパスワードを知っている外部の人物となってしまい、
          後に設定した所で事件があった時容疑をかけられてしまうことになるような。
          パスワード無しならこの問題は発生しないので、そんな理由があるのかもと妄想しました

          親コメント
          • by manmos (29892) on 2014年12月10日 16時31分 (#2725679) 日記

            PPPの接続やメイルのパスワードはプロバイダ契約の時に送られてきますよね。

            ちなみに親の家の無線LANのパスワードは、それ以前に私が設定してなったものを、「わざわざ」クリアしてありました。
            親はよく覚えていないようでしたが、どうも、聞きもしなかった模様。古い方のマシンもおいてあるわけで、探せばすぐに出てくる。ほんとクズ。

            親コメント
            • by Anonymous Coward

              >ほんとクズ。
              新聞の求人チラシでこの種の業者の求人見たことあるけど、正直この待遇じゃちゃんとネットやセキュリティーの教育受けた技術力のある人は雇えないだろうなぁと思う内容だった。
              だいたいアルバイトか契約社員で給料も計算してみたら最低賃金スレスレ、未経験でもOK即実戦投入って感じだったし。

              • by manmos (29892) on 2014年12月10日 17時55分 (#2725751) 日記

                テレビの設置(2000円以下)なんかより、いい値段(基本設定で1万円前後)をとるというイメージなんだが、それで、まともな給料を払わないって、電気屋悪ど過ぎですね。

                親コメント
              • by Anonymous Coward

                かといって電気屋がウハウハな訳でもなく、むしろジリ貧なところからすると、そういう値段設定をせざるを得ないんだろうなーという気はします

              • by Anonymous Coward

                そうでしょうなぁ。工事にそれなりに複雑な設定となると、1〜2時間以上かかるでしょうから、最低賃金レベルの給料ですら作業員本人に1300〜1800円ぐらい払わないといけないし、それに部材関連コストや人件費以外の会社側の経費(設備や工具類とか燃料代、電気代、管理事務コストとか税金社会保険とか)を考えると、1万円でもかなり叩かれている感じですね。
                本気でまともなネットワーク教育受けて技術力もそこそこある人を1〜2時間工事させてとなると、たぶん基本設定でも数万円〜10万円以上取らないと採算合わないのではないかと。

        • by Anonymous Coward

          奥さんの実家がそうだったなあ。
          回線を契約したときに来た業者が、セットになっていた無線 AP も設定したらしいのだけど、まさかの「パスワード無し」。

          回線の契約は家電量販店でお願いしたと聞いているから、地元の業者さんなのかもしれないけど、あれはさすがに引いた。
          しかも、PC にはルータから接続されている有線 LAN が接続されているという状態。
          今のところ何も言われてないから、不正利用は無かったと思いたい。

      • by Anonymous Coward

        クライアントがまずSSL接続を試すように作られていればいいだけのように思う。

        ちょっと気になったのでスマホのOCNの設定を見てみた
        #気になったのは、あれ?OCN普通にSSLつかえたはずだけど?という方向

        設定したの一年近く前なのでもうよく覚えていない上、Lolipop入れられた上強制的にGMAILに移行させられたので設定時どうやったのかわからんけど、SSLになっていた。
        確か、サーバーアドレスを入れたら勝手にSSLが使えるか調べてくれたような。
        SSLだからといって苦労した覚えはない。

        #オレのはサポートしてやがらねえ?買い替えよう

  • by Anonymous Coward on 2014年12月10日 13時51分 (#2725555)

    WebメールのCookieにSecureフラグついてないので、ログイン中ユーザに http のリンク踏ませたらセッション奪えるとかもある。
    そこそこ便利だったけど、これに気付いてからは使ってない…。

  • OCNが提供しているメールサービス「OCNメール」で、セキュリティ強化を目的としてAPOPによる認証の廃止がアナウンスされた。このアナウンス自体は9月に行われたものなのだが、これによって多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性があることが指摘されている(セキュリティ研究者・高木浩光氏によるTogetterまとめ)。

    てっきり、OCNが利用者から指摘されたのかと思ったけど、意味不

    • by Anonymous Coward

      hylomの裏アカ?

    • by Anonymous Coward

      ごめん、正直

      「多くの利用者が平文でネットワーク上にメールアカウントのパスワードを送信してしまう危険性」があることが指摘されている

      としか読めなかったのだけれど、どの辺が意味不明なんだろうか?

  • by Anonymous Coward on 2014年12月10日 14時17分 (#2725580)

    公衆無線LANでパスワードのやりとりなんかするなよ

    • by Anonymous Coward

      APOPが使えればパスワードそのものは流さなくていいのにね。

      • by Anonymous Coward

        APOPには2007年くらいに脆弱性が見つかってるから事実上平文と変わらないんじゃないの?

        • by Anonymous Coward

          とはいえ、平文よりはマシなわけで、APOP禁止して、プレーンテキスト許可っていうのは変ですよね。
          個人情報保護などの名目でサーバーDBにパスワードを格納したくない(そりゃそうなんだけど)などの「政治的な」理由で、むしろセキュリティが無視されているように見えます・・・。

    • by Anonymous Coward

      そう思う。
      つーか、無線以外で通信経路上でパケットキャプチャされて、平文のPass抜これる事が少ない気がするな・・・

      • by Anonymous Coward

        想像上の頻度の多寡を仰ってる時点で、この話に加わったらアカン方だと宣言してるようなもんですよ
        セキュリティの話を決まって悪い方向に導くのは、「よくある」「いや、滅多に無い」という想像と主観です

        • by Anonymous Coward

          >セキュリティの話を決まって悪い方向に導くのは、「よくある」「いや、滅多に無い」という想像と主観です

          というのもあなたの想像と主観じゃね?

          少なくとも国内ISPからOCNのメールサーバまでの経路上で、第三者が勝手にパケットキャプチャ出来ないと思うが。
          悪意あるネットワークエンジニアがーというなら、OCNのメールサーバ管理者自体もリスクとして勘案すべきで、セキュリティに対する歩留まりが効かなくなりそう。

          • by Anonymous Coward on 2014年12月10日 19時04分 (#2725799)

            ISPからOCNの間は事実上信頼できるとしても
            エンドユーザが利用する拠点からISPまでの間があまり信頼できないよね。
            ホテルのインターネットアクセス情報コンセントとか。公衆WiFiとか。

            親コメント
            • by Anonymous Coward

              あとよくあるのが、BGPで偽ルートが広告されてトラフィックが取られちゃったときとか、あるよね。
              リンク先の例でいうと、ハイジャック中に流れた平文パスワードは理論上、中国政府が全部吸い取ることができたわけで。

              まぁ、あとルータの脆弱性も結構頻繁に見つかっていて、
              流石にすごく上流はちゃんとメンテナンスしているとしても
              ISPの末端ルータにはバカに出来ない数の怪しいルータがあると思う。

          • by Anonymous Coward

            穴の数が多ければそれだけ漏れる可能性も大きくなると思うんだけどな。
            世の中には変な人もいるんだな。

          • by Anonymous Coward

            少なくとも国内ISPからOCNのメールサーバまでの経路上で、第三者が勝手にパケットキャプチャ出来ないと思うが。

            NSA……(おや、誰か来たようd)

  • OCNのお知らせ [ocn.ne.jp]を読む限り古いプロトコルのものは切り捨てるような…。
    そのお知らせの下のリンクから飛べる各種メーラの設定方法は
    thunderbird [ntt.com]もOutlook [ntt.com]もSSL通信の設定を行うようにしてる。

    メールの設定ページの更新が行われていないのだね。誰かユーザーサポートに教えてあげて。

    • by Anonymous Coward

      リンク先は認証がないよね。
      9月にそういう変更があるという事を知らなかったので、最近メールが来て確認した時はフィッシングサイト?と思った。
      OCNのホームページから設定のページへ行った場合は違う設定だったし。

      この一件で2時間ぐらい悩んだ。

    • by Anonymous Coward

      > そもそも12月19日以降は普通のPOPも使えなくなるのでは?

      え?マジ?
      どこに書いてある?

      • by Anonymous Coward

        APOPを廃止して普通のPOPを残す理由が無い。POP over SSLのみ受け付けるようにすると考えるのが妥当。
        お知らせから飛べるメーラの設定もそうなっているし。

        • POP Over SSL に、連絡なしに勝手に切り替えたというのが昨年の今時分の時の騒ぎです。私も怒鳴りましたが、当然他の人も怒鳴ったらしく、事後に 郵政省メールでの連絡がきました。そのときのドサクサで猶予がかかっていただけじゃないのかなぁ。APOP が使えたのは今まさに現在進行中の OCN へのクレームの最中の連絡で初めて知りました。
          親コメント
        • by Anonymous Coward

          > お知らせから飛べるメーラの設定もそうなっているし。

          それ、12月8日に「「メール設定の確認」のリンク先を更新しました」ってやつでしょ?
          元のリンク先は SSL オフを指示してたって。

    • by Anonymous Coward

      もうISPレベルで、エンドユーザからのTCP/110発信をブロックするのも一案かもしれない。
      現状では、SMTPやSAMBAポートもブロックしてるのだから

  • 接続ソフトで設定いらずにできるっしょ

    Wi-Fiルーターと端末間もオフィシャルで
    アプリ配布でいいよね

    SIMの通信もそうしちゃえばいいよね

    これなら暗号トンネル内が平文でも
    プロバイダサービスだけは安全

    プロバイダ-他社サービス間まで知らんがなでも
    責任範疇外でいいですよね

    # 平文基本で流出事件のスケープゴートにする平文ヘイブン

    • by Anonymous Coward

      結果、この端末でうごかないあの端末で誤作動するとか、クレームサポートに追われましたとさ。

  • by Anonymous Coward on 2014年12月10日 18時48分 (#2725787)

    こんな重大なアナウンスはメールでも送信してほしいわ。
    この記事で始めて知った。
    既にSSLに設定してあったからいいものの、知らなかったらやばかったかもしれない。

    • by Anonymous Coward

      2014/12/7頃に来ているはず。それで研究員が調べ始めたので。

      • by Anonymous Coward

        うちにはまだ来てない。
        多分、現在送信中なんでしょう。

  • by Anonymous Coward on 2014年12月10日 22時47分 (#2725969)

    サイトにログインしてWebで使えってことかね

    あ、アカウントお漏らししたばっかりでしたっけ?

  • 「SSLに対応している」だけですごいことですよ?

    冗談じゃないってマジで。
    他のNTT系プロバイダのサポートメージ見たら、その凄さが実感できるから。

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...