ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 64
ストーリー by hylom
例の如く「定期的なパスワード変更」ですか 部門より
例の如く「定期的なパスワード変更」ですか 部門より
ヤマト運輸の顧客向けサービス「クロネコメンバーズ」でリスト型攻撃によるものと思われる不正アクセスが発生した(ヤマト運輸の発表、ITmedia、朝日新聞、INTERNET Watch)。
ヤマト運輸の発表によると7月23日に不正なアクセスが検出され、緊急の措置として発信元IPアドレスからのログインを遮断する措置を取ったという。調査の結果、他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃だったことが分かったそうだ。
不正ログインの試行件数は約3万件で、実際に不正ログインされた件数は3467件とのこと。これにより、同サービスに登録している個人情報が流出した可能性があるという。
不正アクセスされたアカウントについては、パスワードを変更しないとログインできないよう対策を行ったとのこと。また、同社は利用者に対し「定期的なパスワードの変更」を求めるとともに、他サービスや過去に使ったパスワード、容易に推測できるパスワードの使用を控えるよう要請している。
定期的なパスワードの変更 (スコア:3)
それをユーザーに押し付けているあたり、結局ダメダメな感じ。
Re:定期的なパスワードの変更 (スコア:1)
定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。
それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。
本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。
「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。
Re: (スコア:0)
「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。
故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。
だから、パスワードを使い回してはならないのだ、と。
Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、
パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、
ユーザーにより安全なログインを提供するという目的での最終到達点は
「パス
Re: (スコア:0)
LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
ご愁傷様。
Re: (スコア:0)
典型的な人だな、この問題から何も学ぼうとしない。
ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。
パスワードがダメならIDを変えればいいじゃない by マリー・アントワネット(偽) (スコア:1)
冗談ではなく、いくつかのサービスは、「ID」を変えられる。
パスワードの問題と勘違いしている人があまりにも多すぎるが、
リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
メールアドレスで名寄せされたリストに効果がなくなる。
パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
効率が悪いから、攻撃を受けにくくなる)。
過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。
#例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。
当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、
リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが
容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)
なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。
というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。
私は、さらに、メールアドレスをIDにするサービスにおいて、
メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、
サービスごとにパスワードどころかIDを使い回さないようにしている。
パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。
”IDにメールアドレスを使い回している”ことが問題の本質だ。
Re: (スコア:0)
まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。
Re: (スコア:0)
>他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃
このケースでヤマト側で他に取れる対策あんの?
Re: (スコア:0)
同じIPアドレスから一定数のアカウントにログイン試みたら不正としてブロックするとかぐらい
Re: (スコア:0)
だから前回と違う環境からログインしようとすると生年月日の入力を求めるサービスが増えてるんですよ
ヤマトが悪いのか?と言われるとユーザーが悪いとしか言いようがないけど、報道によるイメージダウンとかあるしね
Re: (スコア:0)
で、パスワードと生年月日がセットで漏洩したサービスから、それも突破するリスト型攻撃もやられるわけですね。
やっぱり秘密の質問で曽祖父が卒業した尋常小学校の名前を入れさせないと。
Re:定期的なパスワードの変更 (スコア:1)
政府が配布しているハンドブック [nisc.go.jp]にあるように、
秘密の質問にはまじめに答えるな(p.32)、というのが常識。
貴方も古いというかリテラシーが低い。
#パスワードの定期変更は必要ないが、流出時にはすぐ変更しろ(p.56)、とも明記されていて、
親コメの方もリテラシーが低い。
Re: (スコア:0)
ネタにマジレス
カッコわるい
Re: (スコア:0)
常識レベルが一致していない相手の場合、ネタがネタとして通じないな。
もしかすると#3659180は高度なボケなのかもしれないしな。
Re: (スコア:0)
どうせユーザーに何かをやらせるなら「パスワードを使い回すな」でいいじゃん
Re: (スコア:0)
「パスワードはパスワード管理ツールで超強力なのをランダム生成して自動入力しましょう」がここ数年の常識
軟弱者は記憶力が~漏洩が~不正アクセスを防ぐ気概が~とか言ってるのは素人の老害
Re: (スコア:0)
素人や老人に浸透しない仕組みなんて社会的な価値はないよ
Re: (スコア:0)
最近の定説だとしても1年に1回ぐらいは変えたほうがいい、何百個もサービス使ってると変えるの疲れるが
Re: (スコア:0)
最近はポイントカード廃止してスマホアプリ登録させるところが多くなってきましたね。
管理がめんどくさいのでポイント捨てて登録しないことにしてます。
Re: (スコア:0)
そのように考える理由を知りたいです。マジに。
Re: (スコア:0)
まさに今回のような、既知の流出済みのリストでの侵入を防げるからでしょ。
Re: (スコア:0)
使いまわしてなかったら問題ないでしょ。
漏れた時点でそのアカウントだけは漏れるのはどうしようもないし。
漏れた後にそのアカウントのパスワードだけ変えればいいっしょ。
Re: (スコア:0)
漏れた後に変える、っていう手遅れにならないために、定期的に変えろと言ってるのに。。。
Re: (スコア:0)
漏れた時点で手遅れなんだが
Re: (スコア:0)
2015年に漏れてた話を2019年になってから言い始めるSlackのようなサービスもあるから、
自衛として定期的な変更は有効、って話だろ。
サービス提供側はリテラシー高いはず、と思考停止するのが、
ユーザー側として、最も危険な行為。
Re: (スコア:0)
まぁ、それを、流出してしまった時点でダメだろ、と考えるか、悪事を実行するまで時間があるかもしれない(その間にパスワード変更すれば大丈夫)と考えるのか、だね。
Re: (スコア:0)
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、くらいなこと言わないとこの手のパスワード変えないから仕方ないね
自分は使いまわしてないから変えないほうがいいとわかってやってるのとは全然違う
Re: (スコア:0)
おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、
んで過去5回分は流用不可とかしても
********a
********b
********c
********d
********e
********
で更新して元のパスワード使うやつが出る
までがテンプレ
Re: (スコア:0)
リスト型攻撃なら十分効果があるから、反論になっていないと思うんだけど。
Re: (スコア:0)
前に誰かが書いてた日付をパスワードの頭につけるのだって、1年か10年か100年後に同じパスワードが出てきて攻撃されるわけだ
Re: (スコア:0)
とはいえ、パスワード変更しないとサービス使えなくなるとか
そういったレベルで押し付けてるわけでもないので
まあ標準的な日本企業像では。
Re: (スコア:0)
今回の件はユーザー側に自衛してもらうしかないはずだけど「ユーザーに押し付けてる」って何のこと?
自社サービスから漏れてログインされた上でのこのアナウンスだったらその指摘も納得いくけど。
クロネコメンバーズには2段階認証があるからそれは書いた方がいいんではないかとは思うけど、他社サービスの事も含めると列記された3つを守ってもらいつつ定期的なパスワードの変更(見直し)を推奨するのが妥当だと思うなぁ。
定期的っていったって半年でも1年でも5年でも好きなようにすればいいわけだし。
それと「定期的なパスワード変更の推奨=間違ってる」みたいになってるけど、どちらかというとサービス側に対して「パスワードの定期変更を強制しないようにしましょう」という意味合いの方が強い話で、自衛のためにやることが否定されているわけではないよ。
Re: (スコア:0)
>クロネコメンバーズには2段階認証がある
ひろみちゅセンセのタイムラインでとっくに話題になってるんだが…誰も読んでないのか。
https://twitter.com/HiromitsuTakagi/status/1154765616651259904 [twitter.com]
Re: (スコア:0)
まとめが出た。
https://togetter.com/li/1381019 [togetter.com]
Re: (スコア:0)
いや、この件に関しては定期的なパスワード変更をしていれば被害の大部分は防げたでしょ。
定期的なパスワード変更のデメリットに注目するのが流行りではあるけれども、正しく運用されれば効果がないわけではない。
Re: (スコア:0)
今日突然、会社の管理部から通達が出てた。
「セキュリティ維持の為に、パスワードの変更はしないでください」
それまでは、「90日ごとにパスワードを変更、前回と同じものは禁止」だったのに。
何があったんだろう?
Re: (スコア:0)
昨今では、米国国立標準技術研究所(NIST)などからも定期的なパスワード変更はむしろセキュリティに弱いと指摘されており、総務省もそれを肯定している
総務省、「パスワードの定期的な変更は不要」と方針変更
https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]
Re: (スコア:0)
あれは万が一の時に「パスワード変更してなかったのですか?ではウチに責任はないね。」って言うための存在だから
リスト型攻撃によるもの (スコア:0)
どういう調査をしたらリスト型攻撃によるものだとわかるんだろう
・明らかに総当りではない
・弊社から情報が漏洩しているはずがない
・よってリスト型攻撃に違いない
とか?
Re: (スコア:0)
あるアカウントに対して不正アクセスが試みられた回数が複数回なら辞書攻撃かブルートフォースアタックで、
同一アカウントに対する試行回数が一回なら、アカウントとパスワードが紐づいたリストによるリスト型攻撃。
あとは、自社から漏れたなら漏洩時期にもよるけど他所で漏れたリストを流用している場合より認証が通る確率は高くなるだろうし、
登録された履歴のないアカウントでアクセスを試される事もなさげ。
もちろんある程度は例外もあるだろうけど、傾向としては大雑把にそんなところじゃないかな。
Re: (スコア:0)
それ、パスワード打ち間違えたのとどうやって区別するの?
そういうアカウントが多数にあったらとか?
Re: (スコア:0)
攻撃者が一つ一つ手入力すると思う?
Re: (スコア:0)
不正アクセス職人の朝は早い。
Re: (スコア:0)
店舗にて書面ベースでメンバーズ登録すると、IDはシステムが一方的に乱数を割り振り、変更不可です。
一方で、オンライン入会の場合、ユーザー側で任意のIDを命名できる。
後者のみが攻撃されているケースだったんじゃないかな。
もし自社システムからの流出なら、両方が攻撃を受けるはず。
Re: (スコア:0)
攻撃のログ見れば素人でも何となくわかるだろ、リスト型は
Re: (スコア:0)
解るか?
DDNSよろしく多数の接続元から、しかも回数制限を回避するために時間をかけてゆっくりアクセスしてくる昨今のリスト攻撃を。
Re: (スコア:0)
DDNSよろしく……ひょっとしてそれはギャグで言ってるのか?
Re: (スコア:0)
別に昨今のことじゃないし、リスト型に限った話ですらないけどな。
そもそも、クロネコメンバーズIDは、メールアドレスの必要がないので、
ログイン試行にメールアドレスが多いだけでも、リスト型と解釈しやすい。
ゆっくりアクセス…リスト型攻撃と解することとは、何ら関係がない。
- 「弊社で使用されていないものが含まれて」いたことが
リスト型攻撃だったと”後付けで”確認できる理由。
リアルタイムでわざわざリスト型と解釈する必要などないのだから、
解釈時にタイムスライスを変えて調べれば済むだけの話。
多数の接続元…むしろ攻撃傾向について解釈が容易になる。
- 接続元
他社は公開しないだけ (スコア:0)
リスト型攻撃なんて大手は毎日のほうに発生してて、
わざわざ、攻撃されたとか発表してないだけ
appleやらgoogleやらamazonなんて、リスト型攻撃されるたびに発表してたら
毎日発表しないといけなくなる
Re: (スコア:0)
つい先日ブックオフのパスワード変更メールが突然飛んできて、
それもどうやら攻撃だったらしい。