パスワードを忘れた? アカウント作成
12759330 story
アナウンス

東横INNの予約サイトのセキュリティが改善 27

ストーリー by headless
改善 部門より
usagito 曰く、

ビジネスホテルチェーン「東横INN」の予約サイトのセキュリティが改善された(東横INNのお知らせ)。

従来は「名前+生年月日」または「生年月日+パスワード」でログインし、予約および予約の確認・変更・キャンセルを行うことができる仕様だった。2月18日に「メールアドレス+パスワード」の新ログイン方法が導入され、4月17日いっぱいで旧ログイン方法による認証が廃止された。

タレコミ人は昨夏、IPAにウェブアプリケーション脆弱性関連情報として届け出ている。ホテルの予約情報というのは、センシティブかつ具体的被害の危険があるのだから、もうちょっとまじめに構築しておいてほしかった。とりあえず改善されてよかった。

移行手続き期間は5月17日まで。それまでに移行手続きをしない場合、予約の際に新規アカウントの作成が必要になる。なお、移行手続きの際は姓・名・生年月日・電話番号での認証が行われるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2016年04月23日 17時22分 (#3002320)

    当時の修正方法では不十分だと感じていましたが、やっとパスワードを導入したのですね。
    「東横インWeb予約の脆弱性が修正された…が」 http://w0s.jp/diary/66 [w0s.jp]

    • by Anonymous Coward

      なにそれこわい。

      仮に見よう見まねでコピペして作っても、なかなかそういう設計にはならないと思うんだけど、
      作った人はなにを考えて/何を参考にして、そういう作りにしたんだろう?

      それに責任者は責任を問われなかったのだろうか?

    • by Anonymous Coward

      タイトルと本文が繋がってなくてわかりにくいが、今回は「名前+生年月日」のみでログインできた脆弱性が修正されたってことでOK?

      • by Anonymous Coward

        パスワードのみでログインできたのが生年月日と名前でログインできる仕様に変更されたんでしょ。
        生年月日と名前でログインできるサイトよりはパスワードだけでログインできるサイトのほうが安全だわな。

        • by Anonymous Coward on 2016年04月24日 10時44分 (#3002503)

          おまえは何を言っているんだ?

          #3002320 [security.srad.jp]がリンクしているhttp://w0s.jp/diary/66 [w0s.jp]と今回のタレコミを総合すると、

          1. 〜2008年11月14日 [toyoko-inn.com]
            • toyoko-IDとパスワード
          2. 2008年11月15日〜2009年11月26日 [toyoko-inn.com]
            • 氏名アルファベットと生年月日
            • パスワードのみ
          3. 2009年11月27日〜2016年2月17日 [toyoko-inn.com]
            • 氏名アルファベットと生年月日
            • パスワードと生年月日
          4. 2016年2月18日〜 [toyoko-inn.com]
            • メールアドレス+パスワード

          ってことでしょ?

          親コメント
        • by Anonymous Coward

          > パスワードだけでログインできるサイトのほうが安全だわな

          8桁程度のパスワードだと、総当たり程度の幼稚な攻撃で簡単に突破されそう。
          10桁を超えてくると、ちょっと覚えておくのが辛くなってくる。

          • by Anonymous Coward

            攻撃の意図の違いでしょう。悪意のある他人にとっては8ケタのパスワードのみのほうが攻撃しやすいが悪意のある知り合いにとっては生年月日と本名のほうが攻撃しやすい。
            出世レースで同僚の足を引っ張りたい同僚とか。

    • by Anonymous Coward

      これを改善と呼ぶべきかかどうか個人的には微妙。

      なぜなら「メールアドレス+パスワード」がよい方法であるとは思わないからだ。
      ここならパスワードリスト攻撃について説明する必要はないだろう。

      「具体的被害」というのもいまいちピンと来ない。
      東横INNの被害のことなら、それは東横INNのポリシーの問題だと思う。
      もちろんポリシーをもって作られたかどうかは知らない。

      また、一般的に使い勝手とセキュリティはトレードオフの関係にあるので、極端な話、変更によって利用者がいなくなってしまっては意味がない。

      まぁ、東横INNの予約サイトがどういう作りでも個人的にはどうでもいい。

      単にタレコミ人が「セキュリティが改善」とドヤっているのが気に入らなかっただけなのかもしれない。

      • > これを改善と呼ぶべきかかどうか個人的には微妙。

        現状から比べれば改善したよ、という話であって、
        あなたの目指すゴールから近いか遠いか、という会話は誰もしていないと思いますが。

        > パスワードリスト攻撃について説明する必要はないだろう。

        認証方式の話と、その運用からくるリスクの話を混同していませんか。

        親コメント
      • このコメントに共感しちゃうなぁ。

        UserIDとPasswordの組み合わせってそんなに重要なのか?
        どこもかしこもこの方式取ってるけど、誕生日とか電話番号でダメな
        ことは無いと思うよ。
        適当に入れて入れちゃうようならダメだけど、2つ以上の個人情報で入れるなら
        それでも構わないと思うわ。(オプションでパスワード付き等も選択できるならなおよい)

        #世間一般のユーザはパスワード何にしてる?
        #忘れてしまうことのリスクは?
        • by Anonymous Coward
          それで問題の無い程度の情報しか持ってないサービスなら全然問題ないと思う。
          スラドのログインとか。

          ホテルの宿泊情報は行動情報なので、その程度の公開情報が漏れただけで
          ストーキング等が容易になってしまうのは良くない。
  • by Anonymous Coward on 2016年04月23日 21時36分 (#3002391)

    世の中、予約や注文などが完了した時点で「お問い合わせ番号」とかいうものを振り出してブラウザ上に表示し、
    それを入力するだけで予約の照会や、取り消しすらも出来てしまうサービスが山ほど・・・
    なのでパスワードがあるだけでも大分ましだとは言えます。

    それでも、パスワードもたびたび漏れるもの。
    しかしtwitterやgoogleやmicrosoftすらも、まだ多要素認証は必須ではないんですよね。
    だからIDとパスワードが漏れてしまえば認証できてしまう。
    こんなにもザルなサービスばかりなのは、何か重大な理由でもあるんでしょうかね?

    • by Anonymous Coward

      利便性、またはそこまで面倒なことをしたくないユーザーの方が圧倒的に多いだけ
      面倒臭いサービスに人は集まらない

    • by Anonymous Coward

      パスワード漏らす前提でザル呼ばわりはおかしいだろう。たびたび漏れるってどういう管理してんだって話。

      パスワードは漏らさない。不手際で漏れたら変える。
      多要素認証はアカウントハックが重大な問題を引き起こすサービスだけでいい。

    • by Anonymous Coward

      パスワードってキーボードさえあれば入力可能であり、本人が覚えることもできてコストもかからず、
      それなりに安全で便利すぎる仕組みなんですよ。

      多要素認証としてパスワード以外の認証を入れてしまうと、
      ハードウェアトークンや生体認証デバイス、ICカードリーダーのように費用が発生してしまったり、
      携帯電話認証のように電話番号を漏洩するリスクを注意しなければならなくなってしまったり、
      乱数表認証のようにただのバカ避けにしかならなくなってしまったりして、
      手間ばかり増えてしまうんですよ。

    • by Anonymous Coward

      逆にそこまでして守るほどのもんじゃないだろ
      クレジットカードだって裏にセキュリティコード書いてあるし
      難しく考えすぎなんだよ

  • by Anonymous Coward on 2016年04月23日 22時12分 (#3002398)

    # 大文字で始まるか小文字で始まるかのinternetでなく
    # Singer Song Writerを出してるインターネットね

    あそこもまだメールアドレスと電話番号でログイン出来るんだよな・・・

  • by Anonymous Coward on 2016年04月24日 1時15分 (#3002436)

    東横インの旧システムを使ったことがないので分からないのだが、パスワードだけでログインというのはどういう状況なのだろう。
    IDがないとなるとパスワードがIDも兼ねることになるのだと思うのだが、設定したいパスワードが他人とカブった場合は「そのパスワードは他のユーザが使用しています。別のパスワードにしてください」とかメッセージが出るのだろうか…… (だとすると確かにセキュリティも何もあったものではない。)
    それともパスワードだけというのは誤解で、予約番号+パスワード、確認メールに書かれているURL+パスワード、クッキー+パスワードなのだろうか。

  • by Anonymous Coward on 2016年04月25日 0時22分 (#3002676)

    サミットのせいなのか、外国人観光客の増加のせいなのか、セントレアの東横インは予約が全然取れませんからねぇ・・・
    やばい人が泊まれないようにすることも目的に有るかもしれません。

    ちなみに、セントレアの東横インでの朝食は中国人観光客であふれかえるため、摂れないものと考えたほうが良いでしょう。

    • by Anonymous Coward

      「ホテルの予約情報がセンシティブになる人は東横 INN に泊まりますか?はずかしいでしょう。」

typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...