パスワードを忘れた? アカウント作成
15405553 story
アナウンス

ゆうちょ銀行、クラウド保存したパスワードを第三者が盗み取る事例増加から注意喚起へ 30

ストーリー by nagazou
注意 部門より
ゆうちょ銀行は8月27日、クラウドサービスを利用したメモアプリ上の暗証番号等を盗み取る手口の犯罪が多発していることから、注意喚起を促すリリースを出した(ゆうちょ銀行)。

クラウドサービスに、パスワード等の個人情報を保存しないように求めるもので、スマートフォン上のメモ等にパスワードを記録したりしている場合、クラウドサービス上に自動的にバックアップする設定になっていないか確認するよう求めている。なおこうしたクラウド上のデータを読み取られる形で不正利用の被害に遭った場合、ユーザー側の過失と見なされ補償の対象とならない可能性がある模様。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年09月04日 7時00分 (#4105793)

    の一般人バージョンか

  • by Anonymous Coward on 2021年09月04日 7時22分 (#4105800)

    クラウドに置くなと言われても置きたい場合はあるので、
    とりあえず猫画像置いている。

  • by Anonymous Coward on 2021年09月04日 7時45分 (#4105809)

    クラウドっても例えばiPhoneのメモが覗かれるのって考えづらいし、
    ロックなしスマホを拾われて覗かれたとか同期先PCがロックなし共用でとかしか思いつかない。
    この注意文だけじゃたとえクラウド利用をやめたとしてそれで漏れなくなるとは思えないのだけど。

    • by Anonymous Coward on 2021年09月04日 10時52分 (#4105941)

      ゆうちょの補償の対象とならない場合の例を見てみたら、メモすることはダメじゃないが、それを不正に盗み見られた場合は補償しないんで悪しからず、って感じみたいだね。先手打ってる感じか。

      ゆうちょダイレクトの不正利用に対する被害補償について(個人のお客さま)
      https://www.jp-bank.japanpost.jp/crime/crm_hosyo_direct.html [japanpost.jp]
      ・お客さまがID・パスワード等を手帳等にメモしていたり、パソコンやスマートフォン等の情報端末に保存しており、お客さまの不注意
      により当該手帳や情報端末等が盗難・紛失して当該情報が盗取された場合
      ・当行が注意喚起しているにも関わらず、注意喚起された手口でID・パスワード等が盗取された場合

      親コメント
      • by Anonymous Coward

        予防線としては分かるが、これって十分な証拠が得られるものなの?
        今回のもクラウドサービスから盗みとられたって本当に分かったのだろうか?

        # 「ご安心下さい。弊社サービスから漏洩したので間違いありません!」
        # 「まじか……」

    • by Anonymous Coward on 2021年09月04日 15時23分 (#4106090)

      たまによくある「XXから個人情報流出」で流出したメールアドレスとパスワード入手。
      iCloudやGoogleドライブにログイン試行したら二段階認証も設定されておらずログイン出来てしまう。
      ってパターンではないかと。

      親コメント
      • by Anonymous Coward

        なるほどこれはありそう。使い回しのケースですね。

    • by Anonymous Coward

      「汎用」のクラウドサービスから、
      お客さま番号とログインパスワード(やその他個人情報)を「組」で抽出するのは
      総当たりや(既に流出している)辞書攻撃より高コストだと思うんだよね。
      なのでコストを下げる要因があるはず。

      • by Anonymous Coward

        お客様番号も一緒に保管しちゃってるってオチ。
        他のサイトのPWも手に入るだろうし、クラウド破りはかなり美味しいのかもね。

    • by Anonymous Coward

      充電器借りたらパス抜かれてとかあるでしょ。

      • by Anonymous Coward

        で、それは「クラウド利用をやめたとしてそれで漏れなくなる」ものなの?

        • by Anonymous Coward

          本体内は暗号化されてる。クラウドは知らん。

    • by Anonymous Coward

      apple idの不正利用は普通にあるでしょ

  • by Anonymous Coward on 2021年09月04日 7時58分 (#4105814)

    クレジットカード・サイズのメモカードにパスワードを記入して財布に入れておけばO.K.
    クレジットカードの裏側にクラウドのパスワードを記入しておいてもO.K.

  • バックアップを第三者が読み取れる脆弱性のあるクラウドサービスがあるってことですか?

    • by Anonymous Coward

      なぜ第三者に限定する必要が?

      # 誰にも読み取れない最強のクラウドサービス
      # ……日記ならありかも?

      • by Anonymous Coward

        本人・・・当然読み取れるべき
        サポ、メンテナ・・・必要があれば
        他人・・・NG

        クラウドベンターの内部犯行ならどうにもならんけどね

        • by Anonymous Coward

          バックアップデータをサポートやメンテナンス作業員が読めちゃまずいだろ。
          本人がアクセス権を与えるならともかく、原則的に本人のみ知るキーで暗号化されていて運営も内容を知るすべがないのが正しいと思うが。

    • by Anonymous Coward

      ま~、 暗号化スル!と言わないだけ鱒!!

    • by Anonymous Coward

      脆弱性なのか、最近話題になった [security.srad.jp]Trelloのように「うっかり」で晒してしまうことがあるのか。
      ゆうちょ銀行には具体的なサービス名を公表して欲しかった。
      定義によってはパスワードマネージャもクラウド保存するメモアプリに含まれてしまうんだよね。
      でもパスワードマネージャ使うななんて言えないし、結局は運営元が信頼できるかどうかなのかなぁ。
      Google Playで人気のメモアプリはちょっと信頼性が怪しい。

      • by Anonymous Coward

        PWマネージャーならある程度の安全性は担保されてるんだろうけど、ただのメモアプリやクラウドストレージにPW保存しちゃうのはちょっとなあ……と思う

        #やっぱりローカルの直接アクセスできない端末に保存よ

    • by Anonymous Coward

      普通にクラウドサービスに不正ログイン、情報ぶっこ抜きっていうシンプルな話だと思うんですが……

  • by Anonymous Coward on 2021年09月04日 10時05分 (#4105903)

    この3つはもうユーザが意識しないうちにバックアップ作るし無理じゃね?
    逆に、これらを使わずにデスクトップにメモ置いたりパスワード使い回す方が危険だと思うのだけど。

    あと、この3つから漏洩事故が起きたって話は聞かないし「なんとなく危険だと思う」って理由で
    禁止して余計に大きなセキュリティリスクを伴う典型かと。

    # そういえばゆうちょ銀行はお客様番号フォームが3つに分かれてたり保存禁止になってたりで
    # ユーザビリティも最悪だった。最悪すぎてほとんど使ってないw

    • by Anonymous Coward

      少なくともiCloudでキーチェーンは同期するかどうかは選べる。

      • by Anonymous Coward

        iCloudKeychainは別途暗号パスワードがあった気がする。
        EndToEndな暗号化だしね。

    • by Anonymous Coward

      ほんと面倒くせえんだよ、ゆうちょのサイト。

    • by Anonymous Coward

      挙動監視されてないとしたら、ちっさい *.txt なんかは速攻で持ち出すもんだと思うが。。

      • by Anonymous Coward

        おまわりさんこいつです

    • by Anonymous Coward

      OneDriveは即無効にして一度も使わずに放置してたらdriveの方停止された。設定にサインインの警告出っぱなしになる。

typodupeerror

普通のやつらの下を行け -- バッドノウハウ専門家

読み込み中...