パスワードを忘れた? アカウント作成
13579997 story
セキュリティ

「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス 37

ストーリー by hylom
2018年にもなって秘密の質問? 部門より
あるAnonymous Coward曰く、

JCBプリペイドカードのWebサービスのセキュリティ設定が残念な感じになっているという話が、とあるTwitterユーザーによって報告されている

報告されている問題は、カード種別と氏名、生まれた年、「秘密の質問」とその回答が分かれば、任意のメールアドレスにパスワード再設定用のURLを送信できる点。「秘密の質問」は任意には設定できず、「母親の旧姓」や「初めて買ったペットの名前」「卒業した小学校の名前」など、ソーシャルハッキングで比較的容易に入手できるような情報ばかりとなっている。

JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。

陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。

なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。

「秘密の質問」については第三者に推測される危険性が高いことが以前から問題とされており、SNSなどを使って「秘密の質問」の回答を聞き出す手法がたびたび話題となっている(2014年の記事2015年の記事)。また、Googleは2015年に「秘密の質問」には根本的欠陥があるという分析結果を公表しているほか、米政府機関によるセキュリティ指針でも使用すべきではないとされている

ちなみに、2016年には『JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される』という話が話題になっていた。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年04月20日 16時39分 (#3396333)

    ってことで、セキュリティ高いんですよ。と、皮肉を込めながらも有効活用させてもらってる。
    完全にランダムなパスワードを登録してるから、本当に正しい答えを知ってる家族なんかもアクセス不能。

    • by Anonymous Coward on 2018年04月20日 19時00分 (#3396408)

      iPhoneは秘密の質問に正しく答えられないと設定変更ができなかった気がする。

      親コメント
    • by Anonymous Coward

      そうか、ペットの名前を10桁の英数字にしてもいいのか。

      • 私はランダム入力ですので、二度と「秘密の質問」に答えられません。

        親コメント
      • by Anonymous Coward on 2018年04月20日 17時23分 (#3396363)

        たしかJCBのサイトは、秘密の質問の答えが全角強制になっているので半角英数字が使えません。

        おかげで四苦八苦した記憶があります。

        親コメント
        • by Anonymous Coward

          たしかJCBのサイトは、秘密の質問の答えが全角強制になっているので半角英数字が使えません。

          おかげで四苦八苦した記憶があります。

          なるほど!「4989」を「四苦八苦」にして入力しているってことですね!

      • by Anonymous Coward

        本当にペットの名前を入力してる奴なんているのか?

        でも、ほんと秘密の質問は禁止してほしいよね。
        パスワードの定期変更のようにちゃんとした機関から勧告してくれないかしら。

        未だに要求するバカいるんだよな。

      • by Anonymous Coward

        「10桁の英数字にしてもいいのか。」なんて呼びにくくない?

    • by Anonymous Coward

      確かにそうなんだよね。「繧ケ繝ゥ繝?す繝・繝峨ャ繝医?繧ク繝」繝代Φ」とか文字数上限までランダムな文字列を入れておくなら実害はない。
      「母親の旧姓は?」に「六分儀」とか、本当でも嘘でも短くて推測が可能な個人情報を入れたらアウトだけど。

      # ランダムじゃないだろうって? 日本語のランダム文字列って生成しにくいし

    • by Anonymous Coward

      両方入れないと通らないならともかく片方でいいので
      どちらか突破されたら終わるって意味では
      強度は下がりこそすれ上がることはないんじゃないかと…

      • by Anonymous Coward on 2018年04月21日 4時42分 (#3396549)

        本来は、両方知らないと重要な操作ができないようにしたり、パスワードの再発行のリクエストを利用者以外には困難にしたりするためのもののはず。

        (「パスワードを知っている」 || 「登録されたメールアカウントを利用可能である」) && 「秘密の質問を知っている」

        この条件を満たさなければ利用できないようにするなら、秘密の質問で安全性が高まるが、

        「パスワードを知っている」 || 「登録されたメールアカウントを利用可能である」 || 「秘密の質問を知っている」

        とかなっていたら、秘密の質問は危険を増大させるものでしかない。今回の件もそうだけど、秘密の質問とパスワードの本質的な違いを理解していない人が、運営側にも、利用者側にも多そう。

        親コメント
        • by Anonymous Coward

          たぶんあなたも分かってない。秘密の質問は擬似本人確認で、確認の確度が低すぎるところが問題。本質的な違いはSomething you knowとsomething you haveとsomething you areの違いなんだけど、問題はそんなところではなくてSYAのつもりでSYKなところ、しかもsomething everyone knowsなところが問題。

          だからランダム文字列を入れてせめてSYKにしてやれって技術者が出てくる。

    • by Anonymous Coward

      秘密の質問こそパスフレーズを広めやすい存在だと思うんだけどナァ…
      パスフレーズの例文を書いてくれるだけでも効果あると思う

      • by Anonymous Coward

        例文を書くとそれをそのまま入れるやつがいるんだよ。嘘だろと思うかもしれないけどこんな話 [security.srad.jp]があってだな。
        > xkcdで紹介されている強いパスワードを生成する方法の例「correcthorsebatterystaple」をそのまま使っているものもある。

    • by Anonymous Coward

      秘密の質問は暗号化されていない可能性がパスワードより高いので、本当に存在するだけ害悪

  • by Anonymous Coward on 2018年04月20日 22時36分 (#3396496)

    俺の母親の旧姓は、
    jadsf8903w4nbq34tbf9)d793&4nbt45f7gbq43o94joi3t4bn89fbukgrqenbhiuo34t9#twre98y2345b8hy54grenbkj;aegr@$u
    なんだけど、よくある名前の人はたいへんだよね。

    • by Anonymous Coward on 2018年04月20日 23時07分 (#3396503)

      私の母の旧姓は"1234"なんですよ。
      珍しいはずなのにすぐハックされちゃんですが、何ででしょうね?

      親コメント
    • by Anonymous Coward

      QWERTYと相関が高そうな名字だな。adsfとか890とか。

    • by Anonymous Coward

      Q.母親の旧姓は?
      A.そこまで珍しくはないが響きは恰好良いと思う

      珍しい苗字をわざわざ覚えるの大変そうですね

  • by Anonymous Coward on 2018年04月20日 16時40分 (#3396335)

    >任意のメールアドレスにパスワード再設定用のURLを送信できる

    秘密の質問自体微妙だなーって感じなのに、登録したメールアドレスに飛ばすんじゃなくて、任意のメールアドレスで受け取れるのかよ。それはやばい。
    いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。

    • >いや、確かにメールアドレスも変わってしまって困るケースというのはあるのだけれど、お金が絡むものなんだから、その場合は店舗で身分証明書確認とか、実住所に書面で送るとかで我慢してもらうべきだと思う。

      長い間使ってなかったゆうちょATMのカード番号忘れたときは、通帳と印鑑と本人確認できるものを窓口に持っていって書類書いて半月後くらいに簡易書留で受け取ったっけ。
      確かネット越しや電話での受付はしてなかったと思う。

      親コメント
    • 結局手間で担保するしか無いんですかね
      時間だけでも効果あるか?

      親コメント
      • by Anonymous Coward

        別に本人確認するのに手間はいらんよ。マイナンバーカードにトークンを送って署名させるとかでもいい。
        ただ「本人の変わらない特徴だから」という理由で誰でも知っている偽造の容易な情報をその代用にするのには問題がある。

  • by Anonymous Coward on 2018年04月20日 19時18分 (#3396412)

    こういうのってさ、入力ルールも適当だから、答えわかってても一致しない場合があるんだよね。
    カタカナオンリーとか、ひらがなオンリーとか、何でもOKとか。
    自由入力だから、真面目に答えても揺らぎが出るし。

    高校は? って質問だけでもひらがな、カタカナ、漢字、漢字でも「○×高校」「○×高等学校」って2種類ある。
    そうなると、質問内容によってはもう手が付けられない。
    さらに、入力回数制限されてたりするケースもあるし。

    上の方にあるけど、質問は無視してパスワードとして運用するのが一番なんだろうね。

    • by Anonymous Coward on 2018年04月20日 20時55分 (#3396459)

      業務でiPhone・iPadのキッティングしてたことあるけど、Apple IDを作成するときの「秘密の質問」は割と適当というか、社内で決めた質問の答えとは全然違う文字列にしてたなぁ。

      # Apple IDの作成時は秘密の質問を3つも設定しないといけない

      親コメント
      • by Anonymous Coward

        しかも全部の答えを別の文字列にしろとかいう、3つ覚えなきゃならなくてめんどくさい
        職場の上司とニックネームと親友の名前が同じだったらどうしようもない

    • by Anonymous Coward on 2018年04月20日 23時32分 (#3396506)

      それぐらいなら許容できるんですけど、以前のと変わっていなければ、JCBの場合は質問文が固定で自分で選べない上に、いくつか設定させた上で、その時々でランダムなのを聞いてくるんですよね。

      「母親の旧姓は?」とか「通っていた小学校の名前は?」ぐらいなら良いんですけど、「初めて住んだ場所は?」とかだと、「東京」なのか「東京都」なのか、「新宿」なのか「新宿区」なのか、はたまた「大久保」なのか、メモってないととてもわかんないわけですよ。その上、当然のように決まった回数間違えるとアウトなので、答えに自信が無い質問が出てくると超あせります。

      その時々で答えが変わりそうな質問とかでも、無理矢理答えを設定させてくるので、システムを作った人間は馬鹿なんじゃないかと思いました。。

      親コメント
      • by Anonymous Coward
        往々にして、作った人ではなく発注した人がバカ。問題点を指摘しても逆ギレして首にする
      • by Anonymous Coward

        「東京」2文字のパスワードとか有り得ないでしょ。秘密の質問はただのパスワードなんだから。
        パスワードは十分な長さで無意味かつランダムな文字列を設定するもの。で、それを管理ソフトに入れる。

  • by Anonymous Coward on 2018年04月20日 22時19分 (#3396491)

    しょっちゅう秘密の質問を「ログイン時に」聞いてくるのだが…。
    多分、前回ログイン時とIPアドレスが違うとかそういう些細な理由で、だと思う。
    #この場合パスワードと両方答えられないとログインできない。

  • by Anonymous Coward on 2018年04月21日 1時47分 (#3396539)

    よく言われているけど、

    サービスによっては、質問の内容も覚えておく必要があるし、
    秘密の質問ってサービスごとに用意できるわけではないし(パスワードはサービスごとに変えろと推奨されているのだから当然、質問と質問の答えはサービスの数だけ増やす必要がありますよね)、
    じゃあ、適当に入力してしまおうと思ったら、ログインの第2パスワード的な使い方を使用しているところもあるし、

    「ワイド文字的なパスワード」とか、「使いまわし可能な(開けゴマ的な)呪文」とかの名称にしてほしいです。

    • by Anonymous Coward

      ああ、どのサイトも似たようなこと尋ねてくるから(真面目に答えてると)必然的に使い回しになってしまうのも秘密の質問の最悪なところだな。

      • by Anonymous Coward

        しかも、ハッシュ化せずにクリアテキストで保存しているサイトも有るからより悪い。

typodupeerror

UNIXはシンプルである。必要なのはそのシンプルさを理解する素質だけである -- Dennis Ritchie

読み込み中...