パスワードを忘れた? アカウント作成
13967554 story
情報漏洩

ヤマト運輸のクロネコメンバーズサイトに不正アクセス、リスト型攻撃で情報漏洩 64

ストーリー by hylom
例の如く「定期的なパスワード変更」ですか 部門より

ヤマト運輸の顧客向けサービス「クロネコメンバーズ」でリスト型攻撃によるものと思われる不正アクセスが発生した(ヤマト運輸の発表ITmedia朝日新聞INTERNET Watch)。

ヤマト運輸の発表によると7月23日に不正なアクセスが検出され、緊急の措置として発信元IPアドレスからのログインを遮断する措置を取ったという。調査の結果、他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃だったことが分かったそうだ。

不正ログインの試行件数は約3万件で、実際に不正ログインされた件数は3467件とのこと。これにより、同サービスに登録している個人情報が流出した可能性があるという。

不正アクセスされたアカウントについては、パスワードを変更しないとログインできないよう対策を行ったとのこと。また、同社は利用者に対し「定期的なパスワードの変更」を求めるとともに、他サービスや過去に使ったパスワード、容易に推測できるパスワードの使用を控えるよう要請している。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 定期的なパスワードの変更は不要ってのが最近の定説なのに
    それをユーザーに押し付けているあたり、結局ダメダメな感じ。
    • by Anonymous Coward on 2019年07月26日 23時36分 (#3659109)

      定期的にパスワードを変更しようがしまいが、複数のサービスで使い回したら駄目ってのが前提にある。

      それを遵守するためには何かしらのパスワード管理ツールが必要なんだけど、困ったことに頭の固い日本の企業はその手のツールを許可しない。ついでに言うなら個人に対する啓蒙も不足してる。
      本来、糾弾されるべきはこの辺の駄目さであって、パスワードを使い回す人じゃないと思うんだよなぁ。

      「複数のサービスでパスワードを使い回さず、かつそれぞれに十分の強度のパスワードを設定して記憶しておく」なんて人間業じゃないからね。できる人もいるかもしれないが、少なくとも一般人に求めるものじゃないし。

      親コメント
      • by Anonymous Coward

        「パスワードは、それを送った先のサービス運営者が覗きうるものなのだ」という前提を啓蒙してしまった方がいいのかも。
        故に、その個人情報を使ってそのユーザーが利用している別のサービスを悪意の運営者が不正利用する事は「当然」発生する事態である。
        だから、パスワードを使い回してはならないのだ、と。

        Yahooのパスワード不要ログインはまだ野心的な試みだと思うけど、
        パスワード定期変更は不要だ、いややっぱり必要だという議論はパスワード認証が本質的に抱えている脆弱さから生まれるもので、
        ユーザーにより安全なログインを提供するという目的での最終到達点は
        「パス

        • by Anonymous Coward

          LastPassみたいに、サービス停止時には何一つログインすらできなくなるわけですか。
          ご愁傷様。

          • by Anonymous Coward

            典型的な人だな、この問題から何も学ぼうとしない。
            ただただ己の認知している方式を変えたくないだけで、同様の事態を何度も繰り返すことを何ら気に留めていない。

    • 冗談ではなく、いくつかのサービスは、「ID」を変えられる。

      パスワードの問題と勘違いしている人があまりにも多すぎるが、
      リスト型攻撃が成立しているのは、メールアドレスを複数用意することが面倒・難しいからであって、
      ログインIDにメールアドレスを使わせず、個々のサービスで別IDを設定できるようにしておけば、
      メールアドレスで名寄せされたリストに効果がなくなる。

      パスワードを変えるよりも安全。なぜかというと、リストから抜け出せるから。
      攻撃者はパスワードだけでなく、IDの探索から始めなければならなくなる(が、
      効率が悪いから、攻撃を受けにくくなる)。

      過去、そうやって(少なくとも一旦は)リスト型攻撃から抜け出したISPすらある。
      #例えばSo-netは、2011年にアカウントIDとメールアドレスを分離。
       当時はクラウドやAndroid…Googleアカウントがブレークし始めたばかりで、
       リスト型~なんて言葉でなく、 ”他人にユーザーIDやメールアドレスパスワードが
       容易に推測されやすい~”と、より汎用的で本質的な捉え方だった)

      なお、クロネコメンバーズも、他社ID連携せず、電子マネーを使っていなければ、IDを変えられる。
      というか、そもそも他社ID連携しないなら、メールアドレスをIDにする必要がない。

      私は、さらに、メールアドレスをIDにするサービスにおいて、
      メールアドレスのエイリアスをIDに使うことで、自前の「Sign in with Apple」みたいなことをやって、
      サービスごとにパスワードどころかIDを使い回さないようにしている。

      パスワードを使うことや、パスワードを使いまわすことが問題の本質じゃない。
      ”IDにメールアドレスを使い回している”ことが問題の本質だ。

      親コメント
      • by Anonymous Coward

        まあ、ちょっとセキュリティを齧った方なら誰でも一度は通る思考ですよね。後で読み返して恥ずかしくなるやつ。

    • by Anonymous Coward

      >他社サービスから流出したIDやパスワードを使ってアクセスを試みるリスト型攻撃
      このケースでヤマト側で他に取れる対策あんの?

      • by Anonymous Coward

        同じIPアドレスから一定数のアカウントにログイン試みたら不正としてブロックするとかぐらい

      • by Anonymous Coward

        だから前回と違う環境からログインしようとすると生年月日の入力を求めるサービスが増えてるんですよ

        ヤマトが悪いのか?と言われるとユーザーが悪いとしか言いようがないけど、報道によるイメージダウンとかあるしね

        • by Anonymous Coward

          で、パスワードと生年月日がセットで漏洩したサービスから、それも突破するリスト型攻撃もやられるわけですね。

          やっぱり秘密の質問で曽祖父が卒業した尋常小学校の名前を入れさせないと。

          • by Anonymous Coward on 2019年07月27日 5時23分 (#3659180)

            政府が配布しているハンドブック [nisc.go.jp]にあるように、
            秘密の質問にはまじめに答えるな(p.32)、というのが常識。
            貴方も古いというかリテラシーが低い。

            #パスワードの定期変更は必要ないが、流出時にはすぐ変更しろ(p.56)、とも明記されていて、
             親コメの方もリテラシーが低い。

            親コメント
            • by Anonymous Coward

              ネタにマジレス
              カッコわるい

              • by Anonymous Coward

                常識レベルが一致していない相手の場合、ネタがネタとして通じないな。
                もしかすると#3659180は高度なボケなのかもしれないしな。

      • by Anonymous Coward

        どうせユーザーに何かをやらせるなら「パスワードを使い回すな」でいいじゃん

      • by Anonymous Coward

        「パスワードはパスワード管理ツールで超強力なのをランダム生成して自動入力しましょう」がここ数年の常識
        軟弱者は記憶力が~漏洩が~不正アクセスを防ぐ気概が~とか言ってるのは素人の老害

        • by Anonymous Coward

          素人や老人に浸透しない仕組みなんて社会的な価値はないよ

    • by Anonymous Coward

      最近の定説だとしても1年に1回ぐらいは変えたほうがいい、何百個もサービス使ってると変えるの疲れるが

      • by Anonymous Coward

        最近はポイントカード廃止してスマホアプリ登録させるところが多くなってきましたね。
        管理がめんどくさいのでポイント捨てて登録しないことにしてます。

      • by Anonymous Coward
        >最近の定説だとしても1年に1回ぐらいは変えたほうがいい

        そのように考える理由を知りたいです。マジに。
        • by Anonymous Coward

          まさに今回のような、既知の流出済みのリストでの侵入を防げるからでしょ。

          • by Anonymous Coward

            使いまわしてなかったら問題ないでしょ。
            漏れた時点でそのアカウントだけは漏れるのはどうしようもないし。
            漏れた後にそのアカウントのパスワードだけ変えればいいっしょ。

            • by Anonymous Coward

              漏れた後に変える、っていう手遅れにならないために、定期的に変えろと言ってるのに。。。

              • by Anonymous Coward

                漏れた時点で手遅れなんだが

              • by Anonymous Coward

                2015年に漏れてた話を2019年になってから言い始めるSlackのようなサービスもあるから、
                自衛として定期的な変更は有効、って話だろ。

                サービス提供側はリテラシー高いはず、と思考停止するのが、
                ユーザー側として、最も危険な行為。

              • by Anonymous Coward
                つまり、流出したパスワードが有効な期間をなるべく短くするため、ってことか。

                まぁ、それを、流出してしまった時点でダメだろ、と考えるか、悪事を実行するまで時間があるかもしれない(その間にパスワード変更すれば大丈夫)と考えるのか、だね。
    • by Anonymous Coward

      おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、くらいなこと言わないとこの手のパスワード変えないから仕方ないね
      自分は使いまわしてないから変えないほうがいいとわかってやってるのとは全然違う

      • by Anonymous Coward

        おめー1年3か月もパスワード変えてねーぞ、いい加減にしろよ、、

        んで過去5回分は流用不可とかしても
        ********a
        ********b
        ********c
        ********d
        ********e
        ********
        で更新して元のパスワード使うやつが出る

        までがテンプレ

        • by Anonymous Coward

          リスト型攻撃なら十分効果があるから、反論になっていないと思うんだけど。

        • by Anonymous Coward

          前に誰かが書いてた日付をパスワードの頭につけるのだって、1年か10年か100年後に同じパスワードが出てきて攻撃されるわけだ

    • by Anonymous Coward

      とはいえ、パスワード変更しないとサービス使えなくなるとか
      そういったレベルで押し付けてるわけでもないので
      まあ標準的な日本企業像では。

    • by Anonymous Coward

      今回の件はユーザー側に自衛してもらうしかないはずだけど「ユーザーに押し付けてる」って何のこと?
      自社サービスから漏れてログインされた上でのこのアナウンスだったらその指摘も納得いくけど。

      クロネコメンバーズには2段階認証があるからそれは書いた方がいいんではないかとは思うけど、他社サービスの事も含めると列記された3つを守ってもらいつつ定期的なパスワードの変更(見直し)を推奨するのが妥当だと思うなぁ。
      定期的っていったって半年でも1年でも5年でも好きなようにすればいいわけだし。

      それと「定期的なパスワード変更の推奨=間違ってる」みたいになってるけど、どちらかというとサービス側に対して「パスワードの定期変更を強制しないようにしましょう」という意味合いの方が強い話で、自衛のためにやることが否定されているわけではないよ。

    • by Anonymous Coward

      いや、この件に関しては定期的なパスワード変更をしていれば被害の大部分は防げたでしょ。
      定期的なパスワード変更のデメリットに注目するのが流行りではあるけれども、正しく運用されれば効果がないわけではない。

      • by Anonymous Coward

        今日突然、会社の管理部から通達が出てた。
        「セキュリティ維持の為に、パスワードの変更はしないでください」
        それまでは、「90日ごとにパスワードを変更、前回と同じものは禁止」だったのに。
        何があったんだろう?

        • by Anonymous Coward

          昨今では、米国国立標準技術研究所(NIST)などからも定期的なパスワード変更はむしろセキュリティに弱いと指摘されており、総務省もそれを肯定している

          総務省、「パスワードの定期的な変更は不要」と方針変更
          https://security.srad.jp/story/18/03/27/0431206/ [security.srad.jp]

    • by Anonymous Coward

      あれは万が一の時に「パスワード変更してなかったのですか?ではウチに責任はないね。」って言うための存在だから

  • by Anonymous Coward on 2019年07月26日 18時44分 (#3658917)

    どういう調査をしたらリスト型攻撃によるものだとわかるんだろう
    ・明らかに総当りではない
    ・弊社から情報が漏洩しているはずがない
    ・よってリスト型攻撃に違いない
    とか?

    • by Anonymous Coward

      あるアカウントに対して不正アクセスが試みられた回数が複数回なら辞書攻撃かブルートフォースアタックで、
      同一アカウントに対する試行回数が一回なら、アカウントとパスワードが紐づいたリストによるリスト型攻撃。

      あとは、自社から漏れたなら漏洩時期にもよるけど他所で漏れたリストを流用している場合より認証が通る確率は高くなるだろうし、
      登録された履歴のないアカウントでアクセスを試される事もなさげ。

      もちろんある程度は例外もあるだろうけど、傾向としては大雑把にそんなところじゃないかな。

      • by Anonymous Coward

        それ、パスワード打ち間違えたのとどうやって区別するの?
        そういうアカウントが多数にあったらとか?

        • by Anonymous Coward

          攻撃者が一つ一つ手入力すると思う?

          • by Anonymous Coward

            不正アクセス職人の朝は早い。

    • by Anonymous Coward

      店舗にて書面ベースでメンバーズ登録すると、IDはシステムが一方的に乱数を割り振り、変更不可です。
      一方で、オンライン入会の場合、ユーザー側で任意のIDを命名できる。

      後者のみが攻撃されているケースだったんじゃないかな。
      もし自社システムからの流出なら、両方が攻撃を受けるはず。

    • by Anonymous Coward

      攻撃のログ見れば素人でも何となくわかるだろ、リスト型は

      • by Anonymous Coward

        解るか?
        DDNSよろしく多数の接続元から、しかも回数制限を回避するために時間をかけてゆっくりアクセスしてくる昨今のリスト攻撃を。

        • by Anonymous Coward

          DDNSよろしく……ひょっとしてそれはギャグで言ってるのか?

        • by Anonymous Coward

          別に昨今のことじゃないし、リスト型に限った話ですらないけどな。
          そもそも、クロネコメンバーズIDは、メールアドレスの必要がないので、
          ログイン試行にメールアドレスが多いだけでも、リスト型と解釈しやすい。

          ゆっくりアクセス…リスト型攻撃と解することとは、何ら関係がない。
          - 「弊社で使用されていないものが含まれて」いたことが
           リスト型攻撃だったと”後付けで”確認できる理由。
           リアルタイムでわざわざリスト型と解釈する必要などないのだから、
           解釈時にタイムスライスを変えて調べれば済むだけの話。

          多数の接続元…むしろ攻撃傾向について解釈が容易になる。
          - 接続元

  • by Anonymous Coward on 2019年07月26日 23時07分 (#3659089)

    リスト型攻撃なんて大手は毎日のほうに発生してて、
    わざわざ、攻撃されたとか発表してないだけ

    appleやらgoogleやらamazonなんて、リスト型攻撃されるたびに発表してたら
    毎日発表しないといけなくなる

    • by Anonymous Coward

      つい先日ブックオフのパスワード変更メールが突然飛んできて、
      それもどうやら攻撃だったらしい。

typodupeerror

コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell

読み込み中...