パスワードを忘れた? アカウント作成
15600463 story
情報漏洩

ドコモとソフトバンクに平文パスワード提示機能が存在。セキュリティ上の懸念が指摘される 75

ストーリー by nagazou
指摘 部門より
ITmediaの記事によると、携帯通信キャリアの一部が自社のアカウントサービスの利用者に対してパスワードを平文で提示する機能が用意されているとして、記事ではセキュリティ上の懸念を提示している(ITmedia)。

記事によると、この機能はユーザーがログイン画面のパスワードを忘れたときのための機能で、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、パスワードが掲示されるものとなっている。記事ではこうした事業者側がパスワードを平文保持している状況は、不正アクセスなどで情報漏えいが起きた際のリスクになるとしている。

掲示されるのはドコモ系列がdアカウントはポータル内で、ソフトバンク系列はSMSでの通知となっている。KDDI(au/UQ mobile)と、楽天モバイルの会員サービスに関しては、本人確認の後にパスワードの通知を行う方法ではなく、新規パスワードの設定画面に移行する方式であるとしている。またソフトバンクにおいては、パスワードを暗号化せず平文のまま保管していることも確認できたとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 不可逆なハッシュだけ保持しているのを暗号化と(間違って)呼んでいるのか、鍵があれば管理者が復号できる可逆な暗号化なのか。
    記事にするなら区別して確認してほしいところ。

    • 数学わかってなさそう
      親コメント
    • by Anonymous Coward

      え~と
      「利用者に対してパスワードを平文で提示する機能が用意されている」
      こう書かれているのだからわからないか?

      • Re: (スコア:0, おもしろおかしい)

        by Anonymous Coward

        スラドは初めてかな?
        ここは技術者気取りの素人がソースを一切読まずに自分の思い込みを上から目線で叩きつけ合うサイトだよ。

    • by Anonymous Coward

      パスワードを平文で提示する機能って書いてる記事に対して
      ハッシュなのか暗号化なのか区別できない読者は
      相手にしなくてもいいのでは?

    • by Anonymous Coward

      なぜ区別していないと思うのか?
      本文では

      ソフトバンクにおいては、パスワードを暗号化せず平文のまま保管していることも確認できた

      ぐらいしか暗号化の話はないし、ITmediaに関しては「ハッシュ化すべき、暗号化はハッシュ化に比べて弱い」とまで述べているのに。

    • by Anonymous Coward

      リンク先にハッシュ化しろと書いてます。

    • by Anonymous Coward

      ハッシュって、熟語でなんていえばいいの?

      ちなみに、中文では、雜湊とか、散列とかいうらしい(暗号学的なのじゃないハッシュも同様)。

      • by Anonymous Coward

        ハッシュという言葉自体なら一方向性関数
        ハッシュ化した文字列を指す言葉はないかも

        • by taka2 (14791) on 2022年03月18日 15時24分 (#4217986) ホームページ 日記

          暗号に限らない計算機科学用語なら、要約 [wikipedia.org]ですかね。
          ハッシュ関数=要約関数
          ハッシュ値=要約値

          完全ハッシュ関数みたいに逆変換可能なものもありますので、ハッシュ関数=一方向性関数とは限りませんが、
          認証処理での利用に限定するなら、ハッシュかどうかより「一方向性関数」であることの方が重要ですね。

          親コメント
  • by Anonymous Coward on 2022年03月18日 12時17分 (#4217850)

    10年以上前からずーっと言われ続けてたから今更感凄い。

    そういや「パスワードを平文で送ってくるっぽいサイトまとめ」なんてサイトもあったなと思い出したけど、今は403で繋がらなくなってた。
    https://web.archive.org/web/20200314012817/https://cleartext.azurewebs... [archive.org]
    アーカイブ見てみたらやっぱりdocomo IDとMy SoftBankも載ってる。2015年当時に登録された古い情報も多いとは思うけど、今はどのくらい減ったのかね?

    関連リンク:
    生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
    https://security.srad.jp/story/10/11/10/0055217/ [security.srad.jp]

  • by Anonymous Coward on 2022年03月18日 12時13分 (#4217847)

    API連携の認証トークン的なものって、暗号化してます?

    UIから発行するときに今しかみれないからね!!ってしてるのと、あとからいつでもみれるのといろいろな気がして

    • by Anonymous Coward

      API連携の認証トークン的なものって、暗号化してます?

      メールに記載したURLトークンはhttpsですので大丈夫
      って回答になったりして

      # そこじゃねー

      • OAuth2.0で広く利用されている JWT 形式のトークンは、
        ペイロード自体は暗号化されていません。

        ペイロードに有効期限が入っており、ペイロード全体への署名が付加されています。
        暗号化することもできますが、あまり実装は見たことがないです。

        これと同様に、トークンはAPI利用のためのチケットであって、それ自体に秘匿すべき情報は(通常は)含まれていないなら、暗号化していなくてもちゃんと署名がされていれば安全ではないでしょうか。

        (実物を見ていないのでどんな感じかわからず、一般論ですみません)

        親コメント
  • by Anonymous Coward on 2022年03月18日 12時15分 (#4217848)

    あのへんのサービスは、ネットワーク暗証番号をマスタパスワードとみなしてるから、管理画面のパスワードは副キーなんだよねきっと。
    どちらかといえば、「いまからパスワードを生成してお見せします。書き写してください。弊社では(ハッシュしか)保存しません」のほうがいいかも。

    • by Anonymous Coward

      パスワードだけで色々できるよ。ネットワーク暗証番号はドコモ回線持ってる人しか使えないから、IDをキャリアフリーにして開放したときにその前提は崩れた。
      この報道が出る少し前に、ドコモ回線経由でないと一部の手続きができないように改修したみたいだけど。

    • by Anonymous Coward

      ドコモ口座はまさにその考え(ネットワークで認証されるから多少適当でもかまわないよね)でやらかしたわけだが

    • by Anonymous Coward

      「いまからパスワードを生成してお見せします。書き写してください。弊社では(ハッシュしか)保存しません」のほうがいいかも。

      スマホに付箋で貼っておけばいいのですね!(オイマテ

  • 平文で保存しておいて表示なんてせずに、単に身元確認の上で再発行するものだけど。
    顧客に手間のかかる手段は提供できないとかそんな理由で妥協案を採用したんだろうな。
    スラドでもリスクと天秤でノーガードもありとか言う人は絶えないし、いつになったらセキュリティ意識が浸透するのやら…

    • >いつになったらセキュリティ意識が浸透するのやら…

      その考えが間違ってるんですよ。

      目的はお金を稼ぐことで、セキュリティを高めることではないのです。

      営利企業であれば
      平文パスワードを表示することで節約できるコスト(=金額) > 平文パスワードを表示することで発生するコスト(被害の弁済額など) 
      なら平文パスワードを表示した方が「得」なのです。

      営利企業においてセキュリティを高めるのは手段でしかありません。手段にこだわるのはエンジニアの仕事ですが
      エンジニアに仕事を指示するのは経営者です。

      経営者からすれば「セキュリティ意識?なにそれw?で、いくら収益が増えるの?」って感じでしょう。
      経営者は現場を知らない、とでも言いたいのでしょうが、その「現場」は経営者が用意したたくさんある「現場」の一つに過ぎません。細かい話はどうでもいいんですよ。

      親コメント
      • 社会からするとそれでは都合悪いので、一定のセキュリティ基準を義務付けたり違反者に罰則を与えたりするする方向になるんでしょうね。

        親コメント
      • by Anonymous Coward

        ドコモ口座は
        平文パスワードを表示することで節約できるコスト(=金額) > 平文パスワードを表示することで発生するコスト(被害の弁済額など)
        の見積もりが甘かったのでしょうね。

        平文パスワードを表示することで節約できるコスト(=金額) < 平文パスワードを表示することで発生するコスト(被害の弁済額など)

        平文パスワードで節約できるコストなんてパスワード再発行に比べて対して変わらないと思います。

    • あぁ、コレ [srad.jp]ね

      i-modeでアクセスするとAナンバーのIDとパスワードが表示された。今どき生パスワード表示するなよ。

      はぁ、アレから音沙汰無しだけど、ドコモのセキュリティ−意識って低いな

      親コメント
    • by Anonymous Coward

      旧・セキュリティ原則は、「絶対漏えいさせません」だったからな。
      すみません、専業攻撃者がいまんとこ圧倒的有利です。って顧客に説明できないと。
      っていう愚痴。

    • by Anonymous Coward
      (自分が忘れたパスワードを)なんで教えてくれないんだ! と、クレームする人がいるらしい。
      • 居ますね。

        要求仕様策定段階ではちゃんとハッシュ保持となっていてその通りに実装したのに、運用始めたらそういうクレームが来て、
        その対応のためにDBの別カラムに生パスワードも保存するように改修したことがあります。

        「認証にハッシュ使うのやめて生パスワード使います」って仕様変更だとツッコミを受けやすいですが、
        認証処理そのものはハッシュ使ってるまま、ということでさらりと追加仕様を通しました。意味ねー

        親コメント
    • by Anonymous Coward

      この論議では原理で言えば最もセキュリティ原則を知らなければならないのは顧客なんだけどな。「パスワードは使い回ししない」

      顧客視点での問題は「平文で保持している事」ではなく「漏洩する事」。「漏洩しない事」さえ満たされればそれは問題ではない。
      企業に送信した情報はいかなる状況でも確実に保護されるとは限らない。
      第三者の攻撃、企業の悪意、企業内部の個人の悪意、企業の過失、企業の無知、様々な過程で漏洩は起こり得る。
      顧客は企業への信頼と得られる価値とリスクを秤にかけて、その企業に与えるべき情報を顧客個人が判断しなければならない。
      与える情報のいくつかはやむを得ないものだが、共用のパスワードを複数の企業に渡す意味は無い。

      こういう事を言うと企業の擁護だと言う人が出てくるが、そもそも論の話だ。
      データストアに平文で保持されていなければパスワード漏洩が起こらないというものではないし、
      顧客個人が情報保護の行動を取っていなければ、企業の与り知らぬ場面で容易に情報を窃取されてしまう事も起こる。

      • by Anonymous Coward

        すべてのパスワードがユニークなら漏洩しても被害は小さい。これは確かにそう。
        ただ、異なるすべてのパスワードを人間が記憶する。この運用が不可能なのよ。
        管理ソフトを使えば可能だけど、利便性が著しく下がる。

        問題の本質は、堅牢性と運用可能であるかの隔たりが大きすぎることだから、
        漏洩リスクの担保は顧客が負うべきというあなたの主張は、現実に則してないと思う。

        ユーザーがパスワードを使い回さないのは当然として、
        企業側も多段認証やトークンなどより堅牢なシステムを用意すべきで、
        パスワードの平文保持なんてクソ仕様はやっぱり論外。

  • by Anonymous Coward on 2022年03月18日 12時29分 (#4217858)

    別にこれドコモ側は暗号化してるっていってるし別に問題ないでしょ

    平文で送ってくるから問題、可逆であるから問題っていうけど実際問題別なパスワードを知っていて
    本人が持って居ると思われるスマホに対して送るなら特に問題じゃない気がするけど
    HSM使ってるんなら別に暗号化済みパスワード流出しても一定期間解けないだろうし

    • by nim (10479) on 2022年03月18日 14時52分 (#4217962)

      平文パスワード利用者に送信するほど、標準的なセキュリティ対策の
      お作法を気にしないシステムが、HSM をちゃんと導入・利用できてるとは
      にわかに想像し難いのですが。

      結局HSMを使っていても、バックアップリカバリ用に鍵を外部で生成してインポートする
      運用にしていて、その外部で生成した鍵データが開発者のPC内に残ってるとかしそう。

      親コメント
    • by Anonymous Coward

      平文パスワードを提示可能(=復号可能)な暗号化ではダメ

      • by Anonymous Coward

        なんでだめなの?
        暗号化にしろハッシュ化にしろ生パスワードが漏れないことは要件に含まれないよ?
        流出後一定期間生パスワードが保護できればいいんだけど・・・
        もしかしてハッシュ化していれば生パスワードはばれないって思ってる?
        別に総当たりでいつかばれることは変わらないよ?

        最近だと同一マシン内で鍵情報を持たないでHSMなんかで暗号化するって割と普通だけど
        複合化出来るからダメ!って何が問題なのか全くわからん
        暗号化強度とかで問題にするなら分かるけど複合化出来るからダメは全くもってナンセンス

        • by Anonymous Coward on 2022年03月18日 14時14分 (#4217922)

          複合警察と復号化警察が来たぞー

          ○復号
          ×復号化
          ×複合
          ××複合化

          「平文」(名詞)を、「暗号化」(動詞、encryptの訳語)したら「暗号」(名詞)になる。暗号にするから暗号化。
          「暗号」(名詞)を、「復号」(動詞、decryptの訳語)したら、「平文」(名詞)になる。復号にするわけじゃないから「復号化」じゃない。

          複合はcomplex。同音異義語で全然意味が違う。
          暗号の複合とかプリント基盤とか書かれた文章は
          その内容の信憑性を一段低くみてしまいます。複合化なら二段低い。

          親コメント
        • by Anonymous Coward

          ハッシュ化されていればアカウント毎に総当たりしないとならないから、影響範囲を狭められる

          • by Anonymous Coward

            論旨にはあまり関係ないだろうけど勝手に補足すると、それはソルト付きハッシュの場合だね。

          • by Anonymous Coward

            漏れてる時点で大して変わらんが・・・
            一個でも漏れたら「その一個が複合化されるまでの時間」が強度の評価時間であって
            一個解けても「次が解けるまで時間かかるから大丈夫」はハッシュ関数の強度の選択事由になりません

    • by Anonymous Coward

      ドコモ側で復号できるってことは、その復号鍵をどこかに持っているわけで。暗号化パスワードが復号鍵とセットで流出したら平文と同じですよ。

      • by Anonymous Coward

        対ダンパ性とか知らないのであればあの語らないでください
        HSMがなんなのかも分かってなさそうなので・・・

        • by Anonymous Coward

          対ダンパ性www タンパだよ、Tamper
          技術者気取りの素人が自分の思い込みを上から目線で叩きつけ合うひどいサイトですねここは
          そもそもドコモはHSM使ってるなんて言ってないし仮に使っててもHSMごと盗まれるリスクがあるんですがそれは

        • by Anonymous Coward

          ダンパー【damper】

          1 振動エネルギーを消散させて衝撃または振動の振幅を軽減する装置。自動車・鉄道車両などに使用。制振器。吸振器。

          2 ピアノ・チェンバロなどで、弦の振動を止める装置。

          ダンパーの意味や定義 Weblio辞書 [weblio.jp]

        • by Anonymous Coward

          これは恥ずかしい
          コメントを額縁に入れて飾ってあげたいレベル
          濁点を付ける方向でのtypoはあり得ないから間違って覚えてたんやろなぁ

    • by Anonymous Coward

      「別なパスワードを知っていて本人が持って居ると思われるスマホに対して送るなら」、「HSM使ってるんなら」みたいな前提が崩れることを想像できない時点で君はセキュリティの仕事に向いてない。

      • by Anonymous Coward

        前提が崩れることじゃなくってそう言う持ち方してるなら別に暗号化で保存してても問題ないよっていってるんだけど

        何勝手に話し膨らませて訳の分からないこと言ってるの?
        なんでドコモならっていってるのに前提がとか他社にまで適応するみたいな思考になってんだ

        ハッシュ化しているからOK、暗号化だからNGがそれは問題の本質ではないよ
        流出した場合に解析されるまでの時間とかそう言う物が評価指標でしかない

        向いてる向いてない以前にお前は何を言ってるんだ?
        妄想で語るならそもそも君IT業にすら向いて無くって小説家にでもなったほうがいいよ

        • by Anonymous Coward

          自分の説明能力のなさを棚に上げて後付けの言い訳を長々と垂れ流す時点で君はコミュニケーションに向いていない。

  • by Anonymous Coward on 2022年03月18日 12時29分 (#4217860)

    暗号化するということは復号できるということ。
    漏洩時のリスクを考えるなら、復元不可能な方法でハッシュ化が必要。

  • by Anonymous Coward on 2022年03月18日 12時33分 (#4217864)

    だいぶ前だけど機種変更のときにドコモショップでgoogleアカウントのID/パスワードを紙に書かされた。(自分の体験談)
    新しい端末にアプリをインストールするなどで必要にあるとかそんな言い訳だった。
    さすがに今はそんなことはないだろうと思っていたんだけど今年になっていまだにデータコピー名目などでパスワードを書かせていると聞いた。(自分の体験談ではない)

    サイトに平文保存されているのも確かに流出問題とかあるけど、人に目に触れることはないから平文保存の方がまだマシかな。
    ショップの場合は記憶力よければそのまま担当がパスワードもっていけるからね。

    #帰ってからすぐにパス変更した

    • by Anonymous Coward on 2022年03月18日 12時50分 (#4217874)

      だいたい、ショップでそこまで開通処理してくれなくていいんだよねえ。
      取れるrootも取れなくなっちゃうじゃん。(←セキュリティ上、ますますややこしい話

      親コメント
typodupeerror

アレゲはアレゲ以上のなにものでもなさげ -- アレゲ研究家

読み込み中...