パスワードを忘れた? アカウント作成
13832413 story
インターネット

意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ 71

ストーリー by hylom
一定時間ロックは悪手 部門より
あるAnonymous Coward曰く、

会員制ファンクラブなどで、ログイン画面でわざと間違ったIDやパスワードを入力することで他人のアカウントを一時的にロックさせ、他人のチケット申込みを妨害するという攻撃方法があるそうだ(INTERNET WatchTogetterまとめ)。

パスワードアタックは不正アクセス行為の禁止等に関する法律に違反する行為だと思っていたのだが、法律の「不正アクセス行為」の定義では「当該アクセス制御機能により制限されている特定利用をし得る状態にさせる行為」とあり、今回のような「アタックに成功しない」ものは「不正アクセス行為」にはならないのかもしれない。

Togetterまとめでは、自分ではログインを行っていないのにアカウントをロックされた/パスワードの変更を求められたという報告もまとめられている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2019年02月06日 18時46分 (#3560826)

    三井住友銀行のネットバンキングもログインIDが口座番号=公開情報でパスワードを連続して間違えまくるとロックがかかってしまい口座所有者もログインできなくなる
    こういうのはサービス拒否攻撃が可能な脆弱性と言って良いのでは

    IDが非公開でかつ、
    ・ランダムで推測不可な長さ
      もしくは
    ・ユーザが任意の文字列に変更可能
    であるならば、ロックをかけても構わないけどね

  • 威力業務妨害 (スコア:5, 参考になる)

    by Anonymous Coward on 2019年02月06日 18時56分 (#3560829)

    調べてみたら電子計算機損壊等業務妨害罪に該当しそうですね
    https://ja.wikipedia.org/wiki/%E4%BF%A1%E7%94%A8%E6%AF%80%E6%90%8D%E7%... [wikipedia.org]

    • by Anonymous Coward on 2019年02月06日 19時13分 (#3560841)

      該当はするんだろうけど、面倒くさがって(別件逮捕したい等がない限り)警察は動いてくれないし、だからこそこんなバカがのさばってるんだろうなぁ、という印象。

      ついでに言えば、ファンクラブ側は「そういう腐ったファンが居る」という風評の回避が、ユーザーの利便性確保よりも大切と考える可能性もある。
      どだいファンクラブ側の協力がなきゃ摘発できない事案だしね。

      親コメント
    • by Anonymous Coward

      サービス提供者が動いてくれなさそう。
      動いたら動いたで、本人が間違えたくせに、攻撃されたと言い張る奴続出w

      • by Anonymous Coward

        サービス提供者側が嫌々動いた結果、繰返しパスワードの入力ミスをしてもロックされなくなる、という斜め上の対応で炎上する未来が見えた。

        • Re:威力業務妨害 (スコア:3, すばらしい洞察)

          by minet (45149) on 2019年02月06日 19時42分 (#3560853) 日記

          斜め上かなあ?
          ロックしなくても、例えばログイン試行時の応答を遅くすることで総当たり攻撃を緩和する、とか現実的だと思うが。
          ログインに5秒かかるようにするだけでも、1時間に720通りしか試行できなくなるが、正規ユーザーへのサービス拒否にはなってないだろう。
          ログイン5秒が命取りになるって言うサービスなら、それに加えて永続ログインを実装する(クッキー消されるまではログイン扱い)とか打てる手はある。

          親コメント
          • by Anonymous Coward

            だよね。
            そもそもロックする必要ない。元コメは目的と手段を混同している。
            というか何故ロックするという阿呆な実装がはびこったか。パスワード解除のための秘密の合言葉と同じ匂いがする。
            危険にさらされているからというならば、ロックするのはアカウントじゃなくて接続元に対してすべき。
            それでも攻撃側に回避策はあるのだけれど。

            しかし応答時間が遅くなるだけで十分攻撃成功となる。
            IDはさらされてもよい情報で、これまで秘匿する情報にしてしまうのもまた問題。
            ログイン状態を永続化したところでこの問題には意味はない。

            • by Anonymous Coward on 2019年02月07日 1時51分 (#3560985)

              IPアドレスでブロックしたら共有してるユーザーに被害出るけど?
              モバイル回線のIPアドレスブロックしたらクレームが大変なことになると思うぞ。

              親コメント
          • by Anonymous Coward

            言葉が足りなくて後付というか後出しになっちゃうのでどっちにしてもまあみっともないんですが、
            ロックされなくする「だけ」の対応、という意図での発言だというのは汲んでいただけると助かります。

            ロックされなくする代わりに認証時間にウェイトを入れるなどの有効な対策を施すのは、
            嫌々、では無くそれなりにまじめに取り組んだ結果じゃないかと。

      • by Anonymous Coward

        ただの威力業務妨害ならサービス提供者じゃなくてアカウント所有者でも被害届出せるんじゃないかな

  • by Anonymous Coward on 2019年02月06日 19時06分 (#3560834)

    スルガ銀行でこれやられたことがあります。
    当時、名字をローマ字表記したものを「ユーザーネーム」つまりIDとして使っていました。
    ある日ネットバンキングにログインしようとしたところ、パスワードが間違っているわけでもないのにログインできない (KeePass自動入力なので間違えようがない)。

    「アクセスセンター」に架電し本人確認の上で状況を聞いたところ、ログイン試行失敗回数でロックがかかっていると。
    その通話でロック解除してもらいましたが、IDを長い文字列に変更することを推奨されました。

    私の場合は幸い平日昼間の発覚でしたが、スルガ銀行「アクセスセンター」対応は平日9時~17時のみです。

    • by Anonymous Coward on 2019年02月07日 9時04分 (#3561049)

      それ、嫌がらせじゃなくマジもんのクラッキングだった可能性が……。

      親コメント
    • by Anonymous Coward on 2019年02月07日 10時06分 (#3561077)

      スルガ銀行は元々ユーザーIDが口座番号だったりして当時は変えられなかったので、各方面からセキュリティ的にどうなんだと言われていたけど
      セキュリティ以前に、パスワードは間違ってないけれど間違った口座番号を入力してしまって、自分/他人を問わないアカウントロックアウトの騒ぎが頻繁にあった

      そもそも口座番号と一口に言われても、スルガ銀行のは、お客様番号、普通口座番号、貯蓄用口座番号、総合/定期口座番号が全て一度に作られ
      しかも「ここでいう口座番号とは、お客様番号か総合口座番号のことだろう」という大半の予想を裏切って、実際に必要なのは普通預金の口座番号だったりした

      現行の半角英数字なユーザIDに変わった時も、「ユーザIDの口座番号使用を止めます」とかってハガキに確認パスワードが書いてあって
      しかしここでもやはり口座番号とパスワードを入力し、更にハガキに書いてあった確認パスワードを入力してようやく設定可能だったりしたので
      この時にも口座番号を間違えてログイン試行を繰り返しロックアウトされる人が結構でた

      そのユーザID変更のお願いのハガキにしても、スルガ銀行は癌保険や生命保険なんかのしょうもない勧誘の手紙やハガキを頻繁に送ってくるので
      ハガキ裏面の剥がして読む部分を読まずに捨てたって人もわりといたりして当時カオスだった

      スルガ銀行はアカウントのロックアウトポリシーのみならず、他の点においても色々と狂ってるイメージ
      去年の不正事件など氷山の一角だと認識してる

      親コメント
    • by Anonymous Coward

      > 私の場合は幸い平日昼間の発覚でしたが、スルガ銀行「アクセスセンター」対応は平日9時~17時のみです。

      ネットバンキングなんて1日2日使えなくても全然影響ないようにしておくのが重要ってことですね。

    • by Anonymous Coward

      >名字をローマ字表記したものを「ユーザーネーム」つまりIDとして使っていました。

      故意に「やられた」わけではなく、単にミスなのかも。
      もしその苗字が田中さんや山田さんくらいにありきたりなもので、同じようにローマ字表記だけど
      微妙に違う(SHIとSIとか)で登録していて、勘違いして間違った綴りと正しいパスワードを
      入力すれば、そういうことになるから。
      #或は SAITO さんだけど、Iのキーが壊れかけてて SATOさんになってたりとか……

  • 最近だとJRのSuicaアプリも、連続パスワードミスで無期限ロックかつ解除にはサポートに連絡が必要で、Suicaアプリアップデート時に悶絶したりしている。

    パスワードロック攻撃も、メールアドレスがアカウントIDになってしまっているサービスでありがちだけど。
    そもそもIDを一切変更出来ないシステム自体にも問題があるのでは。

    #どこのスラドだとは言わないが

    少なくとも、Googleみたいに、普段とは違う場所からログイン試行された場合には、
    警告メールを出してくれるぐらいのフォローが欲しい所存。

  • メールが飛んでくるとかSMSが飛んでくるとかあるのかな
    そしたらロックした時にも飛んでほしいね

    パスワード変更の口があるんならロック解除の口があっても良いよな
    ってことで心当たりが無かったらこっちでロック解除!
    ついでにここでロック原因となったやつを通報!的なリンクと一緒に

    通報が役に立てられるかどうかはわからないけど…

    • スラドで試したけどロックアウトはないみたいね
      ブルートフォースアタックを避けるためだけならロックアウトなんて1秒とかで十分な気もするな
      n回間違えたらn秒とかでもいいか
      中学生とかいたずら目的じゃやってられんと思う回数 << 実効的な攻撃回数 だろうし

      親コメント
      • by Anonymous Coward

        コンビニの端末はブルートフォース無理なんじゃないかなぁ。それに頼るのも良くないかもしれんが。

  • by Anonymous Coward on 2019年02月07日 2時20分 (#3560989)

    みんな大好きGmailは、普段とは違う携帯やipアドレスからアクセスすると、登録してある別のメールアドレスに確認メールが来ますよね。
    android端末においてはインフラレベルになっている訳で、セキュリティ対策はシビアになされているでしょうから良い手本になります。

    #別端末や別アカウントを持っていない場合はどうなるのか知りませんが。

    • by Anonymous Coward

      中国の先行者を思い出してしまったw

      # でもGmailの仕組みはいいですね

    • by Anonymous Coward

      別のメアドや電話番号とか登録していないと、ロック解除できなくて使えなくなるね。数週間たったら知らないうちにロック解除されてるけど。

  • パスワード間違えたときのロックアウトは、総当たり攻撃を防ぐためのものだから、長くても数時間程度で解除されるようにすれば十分効果的だと思うんだけど、違うの?
    「パスワード変更を求められた」って、なんで無期限でロックしちゃうようにするの?バカなの?

    • by Anonymous Coward on 2019年02月06日 18時57分 (#3560831)

      ファンクラブ会員向けのチケット発売開始時刻付近だけロック出来れば、攻撃者の目的は達成ですね。

      親コメント
      • by Anonymous Coward

        プラスもで付いてるけど、FC向けって、普通応募期間があって抽選販売じゃね?
        先着順になるのって一般発売ぐらいだと思うけど。

        • by Anonymous Coward on 2019年02月06日 20時02分 (#3560864)

          実際、リンク先にも「ロックされた経験がある」「パスワードの変更を強いられた」という反応はあっても、
          攻撃者の目論見どおり「応募できなかった」「買えなかった」という話はぱっと見た感じ見当たらないんですよね。
          最も実害に近かったのが「既に購入済のチケットのQRコードを呼び出せなくなって入場できなくなりかけた」辺りで、
          これは攻撃者自身を利する行為というより単なる嫌がらせの類。

          「○○の会員制FCは実際先着順」といった具体的な情報があればまだしも、
          現時点では噂と憶測の組み合わせで変に話が膨らんでいるようにも見えてなんとも、というところ。

          親コメント
          • by Anonymous Coward

            >これは攻撃者自身を利する行為というより単なる嫌がらせの類。
            いや、購入済みの人間を入らせなくさせて、当日券ふやす狙いじゃないかな

        • by Anonymous Coward

          仕事とか全力で片付けて、開催日にお休み取れることを確定できたので
          最終日夜に申し込もうと思ったらロック、サポートに電話しても時間外とか…

    • by Anonymous Coward

      元ネタは一定時間で解除されるような類いの話ですよ 先着順のチケット販売の出鼻をくじく話なので数分でもロックできればそれで意味があるのです

      • by Anonymous Coward

        なので対策としてはチケット発売の前後2時間程、回数ロックをしないようにするだけでいい気がしますね。

  • コンサート当日QRコード表示させようとログインしたら、ロックかかってました。入場出来たの時間ギリギリでした。。。

    仕事帰りギリギリ間に合うように行ったらロックかかってて途中からになったとかバッテリー切れてたりとか泣くね。

    #PayPayで払おうとしたらアプリアップデートしろと怒られてできず、現金払いしたことあるw

  • by Anonymous Coward on 2019年02月06日 19時59分 (#3560861)
    ファンクラブでのチケット販売なら、先着じゃなく抽選にすれば問題ないですね。
    • by Anonymous Coward

      この攻撃でロックアウトされたユーザーは、抽選にすら参加できません。

      • by Anonymous Coward on 2019年02月06日 23時38分 (#3560947)
        ロックアウトの時間は有限(例えば數十分とか数時間とか)
        それに対し、抽選参加は通常は数日間。
        仮に多数の会員が抽選参加すらできないよう攻撃を連続して行う事は攻撃側の技術的には可能でしょうけど、本当にそんな事が行われたら問い合わせ殺到、即不正が確認でき、対処は可能でしょう。極端に言えば「ハガキで申し込み下さい」という事にもできるわけでよ。
        親コメント
  • by Anonymous Coward on 2019年02月06日 20時17分 (#3560874)

    Twitterでやられたことあるけどあそこは登録メアドも要求するように設定できるので
    一度攻撃された時に設定変更して以来被害に遭ってない。
    他所も真似るべき。

  • by Anonymous Coward on 2019年02月06日 21時01分 (#3560893)

    一回目のログインは、3回くらいログイン失敗したら、反応速度低下で対抗。
    二回目のログインは、3回ログイン失敗でロック。

  • by Anonymous Coward on 2019年02月06日 21時08分 (#3560897)

    次にロックされたら契約解除と言われたけど、第三者が誤ってID入力を間違えてロックされたトバッチリってありなのかと思ったんだけど……これって僕の考え方がおかしいのかなぁ?

  • by Anonymous Coward on 2019年02月06日 21時42分 (#3560915)

    普段使っている端末以外からのアクセスをロックしても、普段使いの端末はロックしないようにしておけばいいだけじゃないかな。
    もちろん普段使いの方で何回もパスワードを間違ったらそれもロックするけど。

    • by Anonymous Coward

      どう識別するの?

      • by Anonymous Coward

        別ACだけどよくある手ならCookieとか?

        まあロックなんて面倒な事なるべくしたくないから同一IPからの過剰なアクセスを蹴る程度にしておきたいけど。

  • by Anonymous Coward on 2019年02月07日 8時53分 (#3561043)
    ちなみに、東宝とかはチケット発売開始の1時間前からログインすらできない、ログインしても強制ログアウトされる状態になります。
    本来は「発売開始前からずっとログインした状態を維持し続ける」という方法を排除するためと思われますが、このような「他人をロックアウトさせる」手法にも有効かもしれないですね。
typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...