パスワードを忘れた? アカウント作成
13227528 story
セキュリティ

日産レンタカーWebサイトでメールアドレスと氏名、電話番号から生パスワードを取得できる問題が見つかる 59

ストーリー by hylom
生パスワードはやめろと 部門より
Printable is bad.曰く、

日産レンタカーのパスワードリマインダー機能にセキュリティ上の問題が発覚した(「黒翼猫のコンピュータ日記 2nd Edition」ブログ)。

同サイトではメールアドレス(ログインID)・カナ氏名・電話番号の3つの情報を入力するだけでWebブラウザ上に生パスワードが表示される仕様になっており、表示されたパスワードでログインすることで不正な予約操作ができるほか、漢字氏名・性別・生年月日・郵便番号・住所・運転免免許証番号などの個人情報を閲覧できる状態となっていた。

生パスワードを照会可能なだけでも大きな問題であるが、メールアドレスへの確認コードの送信なども要求されなかったことや、メールアドレス・カナ氏名・電話番号は第三者も容易に知り得る情報であることから、危険性が極めて高い問題であったといえる。

なお、パスワードの照会を行っても登録メールアドレスへの通知は行われないため、知らないまま第三者に個人情報が入手される被害が発生していた可能性も考えられる。

この問題は、今月10日に対策され、現在はWebからのパスワード照会機能は停止している

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by ymasa (31598) on 2017年04月13日 18時20分 (#3193110) 日記

    そのサイトにベネッセについても書いてありますね。

    http://blog.livedoor.jp/blackwingcat/archives/1947478.html [livedoor.jp]

  • by Meth610 (31617) on 2017年04月15日 3時45分 (#3193997)

    脆弱性がある状態で放置されてたんだから、その間個人情報はダダ漏れだった。
    つまり修正される前に登録されていた全会員の個人情報は漏洩している可能性がある。
    問題は、その事実を広く社会に周知すべきなのに怠っている点。

  • by Anonymous Coward on 2017年04月13日 17時24分 (#3193059)

    メアドと電話番号って簡単に知り得るか?
    ましてやターゲットとした人が件のサイトを利用をしている確率って・・・

    セキュリティ的には確かにお粗末だけど、影響範囲は狭そう

    • メアドと電話番号って簡単に知り得るか?

      メールアドレス・カナ氏名は Facebook などのSNSで公開している人もいるし、ある程度の年齢(40代以降ぐらい)の世帯であれば過去に電話帳に掲載していた人も多いので、フルネームから 住所でポン! [jpon.xyz] で固定電話番号を特定できたりします。全国共有電話帳アプリで76万件の個人情報が一般公開された [mobilelaby.com] ので、氏名と関連付けられて携帯電話番号が漏えいしている人もいます。

      ましてやターゲットとした人が件のサイトを利用をしている確率って・・・

      会員登録数は公表されていないようなので推計するしかなさそうです。帝国データバンクの調査 [tdb.co.jp] によると、『レンタカーブランド別に 2015 年度の売上高構成比を見ると、「大手 6 ブランド」が 91.5%(9049 億 1300 万円)を占めた。』とのことなので、全体の売上高は約1兆円です。日産レンタカーの売上高は1,216億円 [nissan-fs.co.jp] なので、約1割強のシェアと言えます(厳密には売上高とシェアは完全には比例しないし、利用者の法人比率が違うかもしれないので、あくまでも推計です)。

      レンタカーの利用経験は全体の51.8% [sankei.com] らしいので(母集団に偏りがあるかもしれませんが)、日産レンタカーの利用経験がある人は500万人ぐらいはいるのではないでしょうか。23ボーナスクラブ会員に登録することで大幅に割引になる [nissan-rentacar.com]し、店舗でも強く勧められることから、会員登録した割合が8割ぐらいあるとすると、400万人ぐらい対象者がいそうです。

      セキュリティ的には確かにお粗末だけど、影響範囲は狭そう

      メールアドレスに対応している生パスワードが漏えいしてしまうと、パスワードを使いまわしている大多数の人の場合、ありとあらゆるWebサービス(Googleアカウント、Amazonなどのショッピングサイト、オークションサイト、その他)が悪用されてしまうので、影響範囲は非常に広いです。

      ユーザーのパスワードの使いまわしは防ぎようがないので、Webサービスの提供者側がパスワードの保護に相応しいハッシュ関数を使って生パスワードを保護すべき [srad.jp] なのです。

      日産レンタカーは、パスワードリマインダーの悪用で顧客の生パスワードが第三者に不正に取得された恐れがあるのに、その事実を未だに公開していません。過去にパスワードリマインダーが使われた顧客をログから抽出して、メールなどで連絡するといった対応を行って、被害に遭った人に対してパスワードの変更(使いまわしをしている場合は他のWebサイトも)を呼びかけるべきです。

      親コメント
    • by manmos (29892) on 2017年04月13日 17時33分 (#3193065) 日記

      レンタカー使ったやつの浮気調査は楽になりそうだ。

      親コメント
      • by Printable is bad. (38668) on 2017年04月13日 18時43分 (#3193124)

        レンタカー使ったやつの浮気調査は楽になりそうだ。

        自分のアカウントにログインして検証したところ、利用履歴(出発日時・出発店舗・返却日時・返却店舗・車両クラス)も表示できたので、確かに浮気調査に利用される危険もありましたね。日時は予約の時刻ではなく、実際に出発・返却した分単位の時刻となっていました。

        2013年に使った利用履歴も表示されたので、履歴保存期間も長い模様です。

        親コメント
    • by Anonymous Coward

      バラマキ型のメールで容易に悪用できそう
      既にメールアドレスは持っているわけだからね

      いくらなんでも想像力なさすぎでは?
      # あまり細かく書くと幇助とか言われそうなので・・・

      • by Anonymous Coward

        妄想力が豊か過ぎるのも問題だと思いますが?

        >あまり細かく書くと幇助とか言われそうなので・・・

        • by Anonymous Coward

          セキュリティ上の問題がどのように悪用されるか、様々な想像をして影響範囲を考える程度では、
          「妄想力が豊か過ぎる」ということにはならないので、安心してくださいね。

        • by Anonymous Coward

          以前、具体的に記載した際にこのサイトで指摘を受けたので
          妄想ではないんですよ・・・

          それに、この程度の内容で開示請求&訴訟ですかというような
          ことをされる企業もあるわけで・・・
          http://www.sankei.com/affairs/news/170412/afr1704120027-n1.html [sankei.com]

          個人的には妄想力が豊かなのは正直羨ましいですね。
          あなたは、想像力が欠如していそうなので
          一緒に仕事したくないですがww

          • by Anonymous Coward

            頭上で核爆弾が炸裂しないか、日々怯えて生きてるなんてかわいそうwww

    • by Anonymous Coward

      「抽選で●●名様に××をプレゼント、住所氏名電話番号とメールアドレスを入力してください」なんてキャンペーン、腐るほどあるぞ。

    • by Anonymous Coward

      そこまで知ってたら、免許証の番号以外もすでに知ってそう...
      で、免許証の番号知ったところで何に使えるんだか...

    • by Anonymous Coward

      友達同士で旅行に行った時に日産レンタカーを使っていたら、というケースなら
      メアドも電話番号もわかってますし(PCのメアドと自宅の番号とかだとわかりませんが)
      レンタカー借りてくれたアイツのパスワードを手に入れてSNSでイタズラしよう、
      なんて事はできますね。

    • by Anonymous Coward

      コレ↓思い出した。

      ■ ローソンと付き合うには友達を捨てる覚悟が必要
      http://takagi-hiromitsu.jp/diary/20120408.html [takagi-hiromitsu.jp]

    • by Anonymous Coward

      セキュリティ的には確かにお粗末だけど、影響範囲は狭そう

      だから許していたのかもね。

      けど、
      ・友達が日産レンタカーで借りた。
      ・会社が日産レンタカーで借りている。
      ってだけ情報があればよさそうですね。

    • by Anonymous Coward

      知らせずにどうやって使うんだ?

    • by Anonymous Coward

      赤の他人ならともかく、仕事上で名刺交換した人の電話番号とメルアドならソコソコ持ってるでしょ?

      下手すれば会社のDBに自由に閲覧できる状態でメアドと携帯番号登録されてるなんてことも珍しくないでしょ。
      営業ツール系システムとかで結構見ますよ?会社名検索すると過去に名刺交換した人の電話番号とメルアドを
      出してくるようなシステム。

    • by Anonymous Coward

      ベネッセの場合クラス名簿で簡単に分かりそうですが、同じクラスの子や名簿業者経由で
      漏れても問題ないと考えたのだろうか

    • by Anonymous Coward

      あなたは友達とメールのやり取りも、電話で話すこともしないの?
      引きこもりのボッチ?

      普通、ある程度親しい人間は両方知ってるだろうに

  • by Anonymous Coward on 2017年04月13日 18時13分 (#3193097)

    >この問題は、今月10日に対策され、現在はWebからのパスワード照会機能は停止している。
    電話で問い合わせたら口頭でパスワード伝えられるとかいう事は無いですか

    • by Anonymous Coward

      いろんなシステム「デフォルトパスは生年月日8桁だからよろしく!」

      • by Anonymous Coward

        いろんなシステム「デフォルトパスは生年月日8桁だからよろしく!」

        私の生年月日は7桁だから安全です。

        • by Anonymous Coward

          山の上の霞はおいしいですか?

          • by Anonymous Coward

            月日をゼロ埋めするなら年もよろしく頼む

    • by Anonymous Coward

      お客様「パスワードをリセットするんじゃなくて教えてくれれば済む話だろ、何でわからないんだ」
      お客様「英語と数字の組み合わせなんて覚えられない、数字だけにしろ」
      偉い人「パスワードがランダムにリセットされてメール通知はユーザーにとって不便だ改善しろ」
      偉い人「パスワードなんて4桁の数字で十分だろ、現にATMもそうじゃないか」
      偉い人「このシステムのパスワードが漏れたところで、出来る事は限られてるんだし問題ないだろ」
      担当者レベルでは理解しててもこんな事も多いのが現実です部下やベンダーがいくら言った所で聞きやしない、
      更に上の偉い人はもっと頓珍漢な事をおっしゃる、問題が起こったら担当者の責任と、、、

  • by Anonymous Coward on 2017年04月13日 19時51分 (#3193160)

    これ、Web参照は停止しているってあるけど根本の
    DB側に不可逆なハッシュではなくて生パスワードもしくは可逆的なハッシュで保存されているって事だよね。
    どこの素人が設計した?そしてその問題は解決してないんだろうな。

    • by ymasa (31598) on 2017年04月13日 21時48分 (#3193222) 日記

      >どこの素人が設計した?そしてその問題は解決してないんだろうな。

      すべてはお客様からの要件によって作られた仕様によって開発をします。
      なかにはパスワードがわからないと困るから平文でと言われることもあります。

      #それでも一応可逆暗号して保存することもありますけどね。

      親コメント
      • by Anonymous Coward

        そういうとこって、正直つき合いたくないユーザーが多いというか。。

        これ以外にもトンデモ仕様があることがほぼ確実視出来ちゃいますね。

      • by Anonymous Coward

        客が「パスワードくらいハッシュして管理しろ」と言っても「うちのシステムは対応しておりません」と言う
        製品を売る会社もいっぱいあるぞ。

        社内各部署がセキュリティ部門の相談しないでそういう製品を買われちゃうと、もうどうしてよいのやら...

    • by Anonymous Coward on 2017年04月13日 21時01分 (#3193190)

      いつも思っちゃうけど別にそんなパスワードばっかり守る必要なくね?
      正直ハッシュ化して欲しいのは他の情報の方なんだけど(笑え)

      親コメント
      • by Anonymous Coward

        たとえば何の情報をハッシュ化してほしいのかな?

        • by Anonymous Coward

          たとえば何の情報をハッシュ化してほしいのかな?

          真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

          #なんで年に2回も漏洩事件にぶち当たるかなー

          • by ymasa (31598) on 2017年04月14日 7時43分 (#3193347) 日記

            真っ先にハッシュ化して欲しいのはクレジットカード番号じゃないかな・・・

            そもそもクレジットカード番号は保存してはいけない。

            親コメント
            • by Anonymous Coward

              クレジットカード番号の保存してもいいんじゃないの?
              セキュリティーコードの保存は禁止されてるけど

              • by Anonymous Coward

                クレジットカード番号の保存してもいいんじゃないの?

                保存する必要性がない。
                クレジットカードを登録するとクレジットカードサーバーからIDが割り振られるので
                以降はそのIDで取引をします。以降カード番号は必要ないです。
                クレジットカード会社からはクレジットカード番号は保存しないように言われます。

              • by Anonymous Coward

                昔はカード番号でやり取りするシステムあったけど、最近はID連携ばかりですね。

                #API叩けばマスクされた番号は取得できたりするのもあるけど

              • by Anonymous Coward

                >> #API叩けばマスクされた番号は取得できたりするのもあるけど

                下4桁しか表示されないのって
                他を隠してるんじゃなくて実際に保存してなかったりするのかね。

                内部実装がどうなってるかは利用者にうかがい知れないけど。

          • by Anonymous Coward

            クレカは使用者を特定する必要があるのに、コリジョンが発生する可能性があるハッシュ化をしてどうする気なんだ?
            ハッシュの使い方や使う目的を、きちんと理解してる?

    • by Anonymous Coward

      可逆的なハッシュ

      ちょっと待って欲しい
      それは、単なる暗号化データであって、ハッシュとは呼ばないのではないだろうか?

      • by Anonymous Coward

        暗号化キーまで一緒に流出しなければ多少マシになるのでは?

    • by Anonymous Coward

      これですよね。
      照会するための情報が何かってことはゴミのような話で、抑照会可能なシステムであることがダメ。

  • by Anonymous Coward on 2017年04月13日 22時02分 (#3193232)

    以前使って、むちゃくちゃ使いづらいと思ったんだけど、今も健在でした。
    適当な時間で検索してみるといらいらポイントに気づくと思う。
    使い勝手も安全性の考慮もできていない人がシステム開発発注しているんだろうな。

  • by Anonymous Coward on 2017年04月13日 23時41分 (#3193273)

    生以外のパスワードって、切り刻んだもの以外あるのでしょうか?
    あまりに調理方法が少ないところが問題だと思います。
    # そこかよ

typodupeerror

開いた括弧は必ず閉じる -- あるプログラマー

読み込み中...