意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ 71
ストーリー by hylom
一定時間ロックは悪手 部門より
一定時間ロックは悪手 部門より
あるAnonymous Coward曰く、
会員制ファンクラブなどで、ログイン画面でわざと間違ったIDやパスワードを入力することで他人のアカウントを一時的にロックさせ、他人のチケット申込みを妨害するという攻撃方法があるそうだ(INTERNET Watch、Togetterまとめ)。
パスワードアタックは不正アクセス行為の禁止等に関する法律に違反する行為だと思っていたのだが、法律の「不正アクセス行為」の定義では「当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とあり、今回のような「アタックに成功しない」ものは「不正アクセス行為」にはならないのかもしれない。
Togetterまとめでは、自分ではログインを行っていないのにアカウントをロックされた/パスワードの変更を求められたという報告もまとめられている。
サービス拒否攻撃が可能な脆弱性と言って良いのでは (スコア:5, すばらしい洞察)
三井住友銀行のネットバンキングもログインIDが口座番号=公開情報でパスワードを連続して間違えまくるとロックがかかってしまい口座所有者もログインできなくなる
こういうのはサービス拒否攻撃が可能な脆弱性と言って良いのでは
IDが非公開でかつ、
・ランダムで推測不可な長さ
もしくは
・ユーザが任意の文字列に変更可能
であるならば、ロックをかけても構わないけどね
Re:サービス拒否攻撃が可能な脆弱性と言って良いのでは (スコア:5, 参考になる)
CAPECにも登録されている定番の攻撃方法ですね。
CAPEC-2: Inducing Account Lockout [mitre.org]
脆弱性視点では、こちらに関連付けされています。
CWE-400: Uncontrolled Resource Consumption [mitre.org]
威力業務妨害 (スコア:5, 参考になる)
調べてみたら電子計算機損壊等業務妨害罪に該当しそうですね
https://ja.wikipedia.org/wiki/%E4%BF%A1%E7%94%A8%E6%AF%80%E6%90%8D%E7%... [wikipedia.org]
Re:威力業務妨害 (スコア:1)
該当はするんだろうけど、面倒くさがって(別件逮捕したい等がない限り)警察は動いてくれないし、だからこそこんなバカがのさばってるんだろうなぁ、という印象。
ついでに言えば、ファンクラブ側は「そういう腐ったファンが居る」という風評の回避が、ユーザーの利便性確保よりも大切と考える可能性もある。
どだいファンクラブ側の協力がなきゃ摘発できない事案だしね。
Re: (スコア:0)
サービス提供者が動いてくれなさそう。
動いたら動いたで、本人が間違えたくせに、攻撃されたと言い張る奴続出w
Re: (スコア:0)
サービス提供者側が嫌々動いた結果、繰返しパスワードの入力ミスをしてもロックされなくなる、という斜め上の対応で炎上する未来が見えた。
Re:威力業務妨害 (スコア:3, すばらしい洞察)
斜め上かなあ?
ロックしなくても、例えばログイン試行時の応答を遅くすることで総当たり攻撃を緩和する、とか現実的だと思うが。
ログインに5秒かかるようにするだけでも、1時間に720通りしか試行できなくなるが、正規ユーザーへのサービス拒否にはなってないだろう。
ログイン5秒が命取りになるって言うサービスなら、それに加えて永続ログインを実装する(クッキー消されるまではログイン扱い)とか打てる手はある。
Re: (スコア:0)
だよね。
そもそもロックする必要ない。元コメは目的と手段を混同している。
というか何故ロックするという阿呆な実装がはびこったか。パスワード解除のための秘密の合言葉と同じ匂いがする。
危険にさらされているからというならば、ロックするのはアカウントじゃなくて接続元に対してすべき。
それでも攻撃側に回避策はあるのだけれど。
しかし応答時間が遅くなるだけで十分攻撃成功となる。
IDはさらされてもよい情報で、これまで秘匿する情報にしてしまうのもまた問題。
ログイン状態を永続化したところでこの問題には意味はない。
Re:威力業務妨害 (スコア:1)
IPアドレスでブロックしたら共有してるユーザーに被害出るけど?
モバイル回線のIPアドレスブロックしたらクレームが大変なことになると思うぞ。
Re: (スコア:0)
言葉が足りなくて後付というか後出しになっちゃうのでどっちにしてもまあみっともないんですが、
ロックされなくする「だけ」の対応、という意図での発言だというのは汲んでいただけると助かります。
ロックされなくする代わりに認証時間にウェイトを入れるなどの有効な対策を施すのは、
嫌々、では無くそれなりにまじめに取り組んだ結果じゃないかと。
Re: (スコア:0)
ただの威力業務妨害ならサービス提供者じゃなくてアカウント所有者でも被害届出せるんじゃないかな
スルガ銀行でこれ (スコア:3, 興味深い)
スルガ銀行でこれやられたことがあります。
当時、名字をローマ字表記したものを「ユーザーネーム」つまりIDとして使っていました。
ある日ネットバンキングにログインしようとしたところ、パスワードが間違っているわけでもないのにログインできない (KeePass自動入力なので間違えようがない)。
「アクセスセンター」に架電し本人確認の上で状況を聞いたところ、ログイン試行失敗回数でロックがかかっていると。
その通話でロック解除してもらいましたが、IDを長い文字列に変更することを推奨されました。
私の場合は幸い平日昼間の発覚でしたが、スルガ銀行「アクセスセンター」対応は平日9時~17時のみです。
Re:スルガ銀行でこれ (スコア:1)
それ、嫌がらせじゃなくマジもんのクラッキングだった可能性が……。
Re:スルガ銀行でこれ (スコア:1)
スルガ銀行は元々ユーザーIDが口座番号だったりして当時は変えられなかったので、各方面からセキュリティ的にどうなんだと言われていたけど
セキュリティ以前に、パスワードは間違ってないけれど間違った口座番号を入力してしまって、自分/他人を問わないアカウントロックアウトの騒ぎが頻繁にあった
そもそも口座番号と一口に言われても、スルガ銀行のは、お客様番号、普通口座番号、貯蓄用口座番号、総合/定期口座番号が全て一度に作られ
しかも「ここでいう口座番号とは、お客様番号か総合口座番号のことだろう」という大半の予想を裏切って、実際に必要なのは普通預金の口座番号だったりした
現行の半角英数字なユーザIDに変わった時も、「ユーザIDの口座番号使用を止めます」とかってハガキに確認パスワードが書いてあって
しかしここでもやはり口座番号とパスワードを入力し、更にハガキに書いてあった確認パスワードを入力してようやく設定可能だったりしたので
この時にも口座番号を間違えてログイン試行を繰り返しロックアウトされる人が結構でた
そのユーザID変更のお願いのハガキにしても、スルガ銀行は癌保険や生命保険なんかのしょうもない勧誘の手紙やハガキを頻繁に送ってくるので
ハガキ裏面の剥がして読む部分を読まずに捨てたって人もわりといたりして当時カオスだった
スルガ銀行はアカウントのロックアウトポリシーのみならず、他の点においても色々と狂ってるイメージ
去年の不正事件など氷山の一角だと認識してる
Re: (スコア:0)
> 私の場合は幸い平日昼間の発覚でしたが、スルガ銀行「アクセスセンター」対応は平日9時~17時のみです。
ネットバンキングなんて1日2日使えなくても全然影響ないようにしておくのが重要ってことですね。
Re: (スコア:0)
>名字をローマ字表記したものを「ユーザーネーム」つまりIDとして使っていました。
故意に「やられた」わけではなく、単にミスなのかも。
もしその苗字が田中さんや山田さんくらいにありきたりなもので、同じようにローマ字表記だけど
微妙に違う(SHIとSIとか)で登録していて、勘違いして間違った綴りと正しいパスワードを
入力すれば、そういうことになるから。
#或は SAITO さんだけど、Iのキーが壊れかけてて SATOさんになってたりとか……
まるで成長していない……! (スコア:2)
最近だとJRのSuicaアプリも、連続パスワードミスで無期限ロックかつ解除にはサポートに連絡が必要で、Suicaアプリアップデート時に悶絶したりしている。
パスワードロック攻撃も、メールアドレスがアカウントIDになってしまっているサービスでありがちだけど。
そもそもIDを一切変更出来ないシステム自体にも問題があるのでは。
#どこのスラドだとは言わないが
少なくとも、Googleみたいに、普段とは違う場所からログイン試行された場合には、
警告メールを出してくれるぐらいのフォローが欲しい所存。
パスワード変えて入れたとな (スコア:2)
メールが飛んでくるとかSMSが飛んでくるとかあるのかな
そしたらロックした時にも飛んでほしいね
パスワード変更の口があるんならロック解除の口があっても良いよな
ってことで心当たりが無かったらこっちでロック解除!
ついでにここでロック原因となったやつを通報!的なリンクと一緒に
通報が役に立てられるかどうかはわからないけど…
Re:パスワード変えて入れたとな (スコア:2)
スラドで試したけどロックアウトはないみたいね
ブルートフォースアタックを避けるためだけならロックアウトなんて1秒とかで十分な気もするな
n回間違えたらn秒とかでもいいか
中学生とかいたずら目的じゃやってられんと思う回数 << 実効的な攻撃回数 だろうし
Re: (スコア:0)
コンビニの端末はブルートフォース無理なんじゃないかなぁ。それに頼るのも良くないかもしれんが。
先行者に倣うべし (スコア:1)
みんな大好きGmailは、普段とは違う携帯やipアドレスからアクセスすると、登録してある別のメールアドレスに確認メールが来ますよね。
android端末においてはインフラレベルになっている訳で、セキュリティ対策はシビアになされているでしょうから良い手本になります。
#別端末や別アカウントを持っていない場合はどうなるのか知りませんが。
Re: (スコア:0)
中国の先行者を思い出してしまったw
# でもGmailの仕組みはいいですね
Re: (スコア:0)
別のメアドや電話番号とか登録していないと、ロック解除できなくて使えなくなるね。数週間たったら知らないうちにロック解除されてるけど。
ロックアウトは一定期間で解除するものじゃないの? (スコア:0)
パスワード間違えたときのロックアウトは、総当たり攻撃を防ぐためのものだから、長くても数時間程度で解除されるようにすれば十分効果的だと思うんだけど、違うの?
「パスワード変更を求められた」って、なんで無期限でロックしちゃうようにするの?バカなの?
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:3, 興味深い)
ファンクラブ会員向けのチケット発売開始時刻付近だけロック出来れば、攻撃者の目的は達成ですね。
Re: (スコア:0)
プラスもで付いてるけど、FC向けって、普通応募期間があって抽選販売じゃね?
先着順になるのって一般発売ぐらいだと思うけど。
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:2, 興味深い)
実際、リンク先にも「ロックされた経験がある」「パスワードの変更を強いられた」という反応はあっても、
攻撃者の目論見どおり「応募できなかった」「買えなかった」という話はぱっと見た感じ見当たらないんですよね。
最も実害に近かったのが「既に購入済のチケットのQRコードを呼び出せなくなって入場できなくなりかけた」辺りで、
これは攻撃者自身を利する行為というより単なる嫌がらせの類。
「○○の会員制FCは実際先着順」といった具体的な情報があればまだしも、
現時点では噂と憶測の組み合わせで変に話が膨らんでいるようにも見えてなんとも、というところ。
Re: (スコア:0)
>これは攻撃者自身を利する行為というより単なる嫌がらせの類。
いや、購入済みの人間を入らせなくさせて、当日券ふやす狙いじゃないかな
Re: (スコア:0)
仕事とか全力で片付けて、開催日にお休み取れることを確定できたので
最終日夜に申し込もうと思ったらロック、サポートに電話しても時間外とか…
Re:ロックアウトは一定期間で解除するものじゃないの? (スコア:1)
最終日夜まで残っているようなチケットなら、そもそも争いは起こらないという。
Re: (スコア:0)
コメント下げ元は「FC向け抽選販売」に触れていて、
それに対して悪戯でアカウントロック掛けられてたら
困るケースを論じてるように見えるんだが
Re: (スコア:0)
元ネタは一定時間で解除されるような類いの話ですよ 先着順のチケット販売の出鼻をくじく話なので数分でもロックできればそれで意味があるのです
Re: (スコア:0)
なので対策としてはチケット発売の前後2時間程、回数ロックをしないようにするだけでいい気がしますね。
電子化は便利だけど、アナログより致命的なこと多い気がする (スコア:0)
コンサート当日QRコード表示させようとログインしたら、ロックかかってました。入場出来たの時間ギリギリでした。。。
仕事帰りギリギリ間に合うように行ったらロックかかってて途中からになったとかバッテリー切れてたりとか泣くね。
#PayPayで払おうとしたらアプリアップデートしろと怒られてできず、現金払いしたことあるw
Re:電子化は便利だけど、アナログより致命的なこと多い気がする (スコア:1)
アナログの時はチケット忘れてそう
Re: (スコア:0)
チケット忘れる スマホ忘れる
チケット破れる スマホ壊れる
チケットなくす スマホなくす、パスワードなくす
デジタルもアナログも似たようなのはあるな。
でも垢ロックとバッテリはデジタル特有のデメリット。アナログ特有なデメリットは思い浮かばないな
Re:電子化は便利だけど、アナログより致命的なこと多い気がする (スコア:2)
山羊に食べられる、とか…
Re: (スコア:0)
ロッカーに入れて鍵なくす、とか?
Re: (スコア:0)
QRコードのチケットって日本でもある?
入場時表示するって事はワンタイムなQRコードになってる感じなんだろか
先着だから。 (スコア:0)
Re: (スコア:0)
この攻撃でロックアウトされたユーザーは、抽選にすら参加できません。
Re:先着だから。 (スコア:1)
それに対し、抽選参加は通常は数日間。
仮に多数の会員が抽選参加すらできないよう攻撃を連続して行う事は攻撃側の技術的には可能でしょうけど、本当にそんな事が行われたら問い合わせ殺到、即不正が確認でき、対処は可能でしょう。極端に言えば「ハガキで申し込み下さい」という事にもできるわけでよ。
Twitterで (スコア:0)
Twitterでやられたことあるけどあそこは登録メアドも要求するように設定できるので
一度攻撃された時に設定変更して以来被害に遭ってない。
他所も真似るべき。
二重ログインにすればいいのに (スコア:0)
一回目のログインは、3回くらいログイン失敗したら、反応速度低下で対抗。
二回目のログインは、3回ログイン失敗でロック。
以前セブン銀行でそういう目にあった (スコア:0)
次にロックされたら契約解除と言われたけど、第三者が誤ってID入力を間違えてロックされたトバッチリってありなのかと思ったんだけど……これって僕の考え方がおかしいのかなぁ?
端末を識別すればいいような気がする (スコア:0)
普段使っている端末以外からのアクセスをロックしても、普段使いの端末はロックしないようにしておけばいいだけじゃないかな。
もちろん普段使いの方で何回もパスワードを間違ったらそれもロックするけど。
Re: (スコア:0)
どう識別するの?
Re: (スコア:0)
別ACだけどよくある手ならCookieとか?
まあロックなんて面倒な事なるべくしたくないから同一IPからの過剰なアクセスを蹴る程度にしておきたいけど。
ログイン不可能時間 (スコア:0)
本来は「発売開始前からずっとログインした状態を維持し続ける」という方法を排除するためと思われますが、このような「他人をロックアウトさせる」手法にも有効かもしれないですね。
二段階ではなく多要素 (スコア:2)
二段階と言っても様々な手法があるし、
それぞれの手法でメリットもデメリットがある。
セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。
二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。
あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。
uxi