ゆうちょ銀行、クラウド保存したパスワードを第三者が盗み取る事例増加から注意喚起へ 30
ストーリー by nagazou
注意 部門より
注意 部門より
ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した(ゆうちょ銀行)。
クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。
クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。
GitHubにAPIキー漏洩 (スコア:0)
の一般人バージョンか
気休めステガノグラフィ (スコア:0)
クラウドに置くなと言われても置きたい場合はあるので、
とりあえず猫画像置いている。
経路は? (スコア:0)
クラウドっても例えばiPhoneのメモが覗かれるのって考えづらいし、
ロックなしスマホを拾われて覗かれたとか同期先PCがロックなし共用でとかしか思いつかない。
この注意文だけじゃたとえクラウド利用をやめたとしてそれで漏れなくなるとは思えないのだけど。
Re:経路は? (スコア:1)
ゆうちょの補償の対象とならない場合の例を見てみたら、メモすることはダメじゃないが、それを不正に盗み見られた場合は補償しないんで悪しからず、って感じみたいだね。先手打ってる感じか。
ゆうちょダイレクトの不正利用に対する被害補償について(個人のお客さま)
https://www.jp-bank.japanpost.jp/crime/crm_hosyo_direct.html [japanpost.jp]
・お客さまがID・パスワード等を手帳等にメモしていたり、パソコンやスマートフォン等の情報端末に保存しており、お客さまの不注意
により当該手帳や情報端末等が盗難・紛失して当該情報が盗取された場合
・当行が注意喚起しているにも関わらず、注意喚起された手口でID・パスワード等が盗取された場合
Re: (スコア:0)
予防線としては分かるが、これって十分な証拠が得られるものなの?
今回のもクラウドサービスから盗みとられたって本当に分かったのだろうか?
# 「ご安心下さい。弊社サービスから漏洩したので間違いありません!」
# 「まじか……」
Re:経路は? (スコア:1)
たまによくある「XXから個人情報流出」で流出したメールアドレスとパスワード入手。
iCloudやGoogleドライブにログイン試行したら二段階認証も設定されておらずログイン出来てしまう。
ってパターンではないかと。
Re: (スコア:0)
なるほどこれはありそう。使い回しのケースですね。
Re: (スコア:0)
「汎用」のクラウドサービスから、
お客さま番号とログインパスワード(やその他個人情報)を「組」で抽出するのは
総当たりや(既に流出している)辞書攻撃より高コストだと思うんだよね。
なのでコストを下げる要因があるはず。
Re: (スコア:0)
お客様番号も一緒に保管しちゃってるってオチ。
他のサイトのPWも手に入るだろうし、クラウド破りはかなり美味しいのかもね。
Re: (スコア:0)
充電器借りたらパス抜かれてとかあるでしょ。
Re: (スコア:0)
で、それは「クラウド利用をやめたとしてそれで漏れなくなる」ものなの?
Re: (スコア:0)
本体内は暗号化されてる。クラウドは知らん。
Re: (スコア:0)
×知らん
○興味ないね
Re: (スコア:0)
apple idの不正利用は普通にあるでしょ
カード (スコア:0)
クレジットカード・サイズのメモカードにパスワードを記入して財布に入れておけばO.K.
クレジットカードの裏側にクラウドのパスワードを記入しておいてもO.K.
バックアップを第三者が読み取れる脆弱性のあるクラウドサービス (スコア:0)
バックアップを第三者が読み取れる脆弱性のあるクラウドサービスがあるってことですか?
Re: (スコア:0)
なぜ第三者に限定する必要が?
# 誰にも読み取れない最強のクラウドサービス
# ……日記ならありかも?
Re: (スコア:0)
本人・・・当然読み取れるべき
サポ、メンテナ・・・必要があれば
他人・・・NG
クラウドベンターの内部犯行ならどうにもならんけどね
Re: (スコア:0)
バックアップデータをサポートやメンテナンス作業員が読めちゃまずいだろ。
本人がアクセス権を与えるならともかく、原則的に本人のみ知るキーで暗号化されていて運営も内容を知るすべがないのが正しいと思うが。
Re: (スコア:0)
ま~、 暗号化スル!と言わないだけ鱒!!
Re: (スコア:0)
脆弱性なのか、最近話題になった [security.srad.jp]Trelloのように「うっかり」で晒してしまうことがあるのか。
ゆうちょ銀行には具体的なサービス名を公表して欲しかった。
定義によってはパスワードマネージャもクラウド保存するメモアプリに含まれてしまうんだよね。
でもパスワードマネージャ使うななんて言えないし、結局は運営元が信頼できるかどうかなのかなぁ。
Google Playで人気のメモアプリはちょっと信頼性が怪しい。
Re: (スコア:0)
PWマネージャーならある程度の安全性は担保されてるんだろうけど、ただのメモアプリやクラウドストレージにPW保存しちゃうのはちょっとなあ……と思う
#やっぱりローカルの直接アクセスできない端末に保存よ
Re: (スコア:0)
普通にクラウドサービスに不正ログイン、情報ぶっこ抜きっていうシンプルな話だと思うんですが……
iCloud、Google、Microsoft (スコア:0)
この3つはもうユーザが意識しないうちにバックアップ作るし無理じゃね?
逆に、これらを使わずにデスクトップにメモ置いたりパスワード使い回す方が危険だと思うのだけど。
あと、この3つから漏洩事故が起きたって話は聞かないし「なんとなく危険だと思う」って理由で
禁止して余計に大きなセキュリティリスクを伴う典型かと。
# そういえばゆうちょ銀行はお客様番号フォームが3つに分かれてたり保存禁止になってたりで
# ユーザビリティも最悪だった。最悪すぎてほとんど使ってないw
Re: (スコア:0)
少なくともiCloudでキーチェーンは同期するかどうかは選べる。
Re: (スコア:0)
iCloudKeychainは別途暗号パスワードがあった気がする。
EndToEndな暗号化だしね。
Re: (スコア:0)
ほんと面倒くせえんだよ、ゆうちょのサイト。
Re: (スコア:0)
挙動監視されてないとしたら、ちっさい *.txt なんかは速攻で持ち出すもんだと思うが。。
Re: (スコア:0)
おまわりさんこいつです
Re: (スコア:0)
OneDriveは即無効にして一度も使わずに放置してたらdriveの方停止された。設定にサインインの警告出っぱなしになる。