パスワードを忘れた? アカウント作成
5708510 story
バグ

spモード設定サイト、各種設定が他人に変更される不具合 44

ストーリー by hylom
暗証番号設定には気を付けましょう 部門より
headless 曰く、

NTTドコモは25日、spモードの設定サイト「spモード各種設定」 で、一部ユーザーの設定情報が他のユーザーの設定画面に表示される不具合が発生していたことを発表した(ドコモからのお知らせITmediaの記事CNET Japanの記事朝日新聞デジタルの記事)。

不具合が発生したのは25日1時41分から9時14分。9時14分からサイトを停止して対策を行い、13時37分に復旧した。原因は管理サーバーのソフトウェア公開に伴うデータ設定誤りとのこと。4桁の暗証番号が一致すれば設定を変更可能な状態になっており、実際に約1,000人のメールアドレスやパスワードなどが他人に変更されたという。中には暗証番号が偶然一致し、他のユーザーの設定だと気付かずに変更した人もいるようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2012年07月26日 17時48分 (#2200626)

    「0000」ですね。わかります

    • by mazinx (43571) on 2012年07月26日 18時19分 (#2200646)
      まあ真面目な話、Birthday paradoxで数百人も居れば余裕で暗証番号は一致しますからね。
      そう珍しいことじゃないっす。
      親コメント
      • いや、今回のトラブルの発生確率は誕生日問題で考えたらダメでしょう。

        特定の、セッションを誤って共有していた相手と、たまたま暗証番号が一致する必要があります。
        任意の誰かと暗証番号が一致すればいい、という話ではありません。

        で、全ての利用者に対し、誤認する相手が一人だけいる状況だったとしたら、
        暗証番号4桁が均等に分布していた場合、1組でも合致する確率は「1-(9999/10000)^(利用者数÷2)」。1000人(500組)で5%ほどです。
        spモードの契約者数は11500人ぐらい [nttdocomo.co.jp]なので、この契約者全員がトラブル発生時にアクセスしていたとして、しかもその全員がセッション誤共有していたとしても、暗証番号が均等なら誤ログインは期待値としてせいぜい1組ぐらいしか発生しません。

        (3人以上の複数人でセッションを誤共有している場合は、もっと確率は高くなりますが、高木浩光氏の推測 [srad.jp]通りだとそういうことにはなりませんし、そんな状況だともっと大事になりそうですからそういうトラブルである可能性は低いと思います。)

        あとは、「中には暗証番号が偶然一致し、他のユーザーの設定だと気付かずに変更した人もいるようだ。」というニュースが出ているのも重要なポイントじゃないかな。本当に偶然一致したのはこれに該当する人だけ。
        これに該当しない大多数の誤設定トラブルは、「自分の暗証番号を入力→エラーになる→おかしいーなー0000だったかな、と0000を入力→お、入れた入れた」みたいなことになってたんじゃないですかね。

        親コメント
        • えっ、そんなに契約者少ないの、
          って思ってリンク先見たら
          単位は「人」じゃなく「千人」でしたよ。

          親コメント
          • > 単位は「人」じゃなく「千人」でしたよ。

            うわー、すんません、見事に誤読してました。←spモードならそんなものかという思い込み付

            1150万人なら、その全員がセッション誤認の対象とすると期待値として600組ぐらいはありえるのか…
            それでもまあ、実際には誤認状況の起きていない人もそれなりにいたでしょうし、
            やっぱり1000人というのは偶然一致としては多めですねぇ。

            親コメント
      • by Anonymous Coward

        そうだね、数百人居れば一致するね。一年は365日だし。

        Birthday problemは23人で0.5超えるだろ。

    • by Anonymous Coward

      いやあ1,000人もの人がたまたま「0000」を使っていたなんてすごいぐうぜんだなあ(棒

      • by Anonymous Coward

        「0000」は初期パスワードなんで……
        初期パスワードのまま全く変更してない、ズボラな人が世の中それだけ多いんでしょう

        # ネタにマジレスカコワルイ?

        • ネットワーク暗証番号 [nttdocomo.co.jp]とiモードパスワード [nttdocomo.co.jp]を取り違えてやしませんか?

          親コメント
          • by Anonymous Coward

            ネットワーク暗証番号とspモードパスワードを取り違えてやしませんか?
            #取り合えず変更をおすすめします
            ##ま、パスワード多すぎなんですけどね。

        • by Anonymous Coward

          >「0000」は初期パスワードなんで……
          全ドコモ取扱店に10面体ダイスをたくさん配って、
          店頭での商品設定・引渡し時に客に初期コードをランダム生成させてから渡したほうがいいんじゃねえの?

        • by Anonymous Coward

          どうせパスワード管理なんてできないんだから、ルータの認証はデフォルト(もしくは定石のroot/admin/password/"")のままにしておいてください、お願いです。
          人を呼んでおいてパスワードわからないとかマジでやめて!
          (PPPoE認証とか載ってる)ISPからの手紙も保証書と同じようにきちんと保管してください。
          そうすれば最悪リセットして再設定できるから…

          • ルータ等の場合は機器本体に書いたものを貼り付けておくのが好きです。
            業務かつ解放空間設置のものは機器内部に貼ったりの工夫が要りますが。

            デスクトップPCのAdminパスワードは、昔はCD-ROMのトレイの裏とかに貼ったもんですが、、、。
            ♯ 昨今は、仕事のものは別システム(DB等)で管理しますね。
            ♯ 頼まれた近所のWi-Fiルータなどは上記の通り。
            ♯ 頼まれたスマホとかは電池蓋の内側に。

            親コメント
            • ハワイでブロードバンドの設定したら、ルータに設定されているPPPoEがいっさい変更できない。それどころか、無線LANのSSIDやキーも固定という。まあ、サポートコストが下がるんでしょうけどね。

              --
              -- gonta --
              "May Macintosh be with you"
              親コメント
              • by Anonymous Coward

                いや日本のフレッツみたいなISPが回線業者から完全に分離していて自由に選べる方式のほうが世界的には特異ですから。

          • by Anonymous Coward

            みんなが同じ失敗してるってことは仕組みが悪い。

        • by Anonymous Coward

          え?0000って普通かなって思ってました。
          だって、忘れたら超困るじゃん。

    • by Anonymous Coward

      あらやだ、この人誕生日が一緒なのね

    • by Anonymous Coward

      必然的に一致、だと思う。

      私はauなのでspモードがどうなのか知らないけれど、自分のケータイで自分の設定を変える時に入れるパスワードだよね。
      自分の端末は物理的に自分が管理しているのだから、パスワードなんか弱くて良い、いや忘れないように0000にしておけばいい、って思うのは自然なこと。

      おそらくIDなんか入れずに、単なる端末ロックの感覚でパスワードを入れているんだろうから、設定変更した本人も他人の設定いじっちゃったとは思ってないんじゃない?

      ちなみにauの場合、1234がデフォルトパスワードだと思う。変更してない人多いんじゃないかな。

      • by Anonymous Coward

        まあ落とそうがなくそうが盗まれようが目を離した隙に弄られようが自己責任でどうぞ。

  • 「預金についてはカードの盗難でない場合は全額補償されないという。
    暗証番号を生年月日にしていたのが致命的だった。
    不注意なのは分かっている。
    でも、やっぱり腹が立つ。」

    http://sankei.jp.msn.com/west/west_affairs/news/120721/waf120721070100... [msn.com]

  • by Anonymous Coward on 2012年07月26日 19時46分 (#2200697)

    ソフトウェアを公開することで、暇人さんがよってたかって検証して不具合や脆弱性を発見・修正してくれるのを期待しているのですね。

    # s/公開/更改/

  • by Anonymous Coward on 2012年07月26日 20時32分 (#2200726)

    というか、一生懸命対応させるのにコスト資源を使って
    その挙句に不具合出しまくる。
    コレは資源の浪費なんじゃ。
    株主から突っ込まれても安定多数はどっかが握ってるから影響でないんだろうけど、
    それにしてももう頑張り損にしかみえない。

    • by Anonymous Coward

      そもそもがフューチャーフォン前提のシステムだからね。
      それを無理やりandroidのアプリの上で動かしてるんだから
      どこで無理が出てもおかしくない
      正直アドレスだけ引き継いで普通のメールサービスに以降するべきなんじゃないかな
      一分に一回ぐらいの頻度でメールサーバーと通信すればメールとしては事足りるでしょ
      急を要するなら電話掛ければいいだけだから

      • by Anonymous Coward on 2012年07月26日 22時50分 (#2200806)
        まったく逆。
        i-mode のまんまのやり方を、Androidにもってきてれば、こんな問題は皆無。
        SPモードがらみの障害は、i-mode の実現方法からすれば根本的に有り得ない話ばかり

        スマートフォンだから、旧来の方式やめて、標準規格ベースで新しくやろうとしからこんな結果になってる。
        どの障害も、最初から起きることか想定してたもの。(そんなの現実には起きないよってベンダーは笑ってたけどね。)
        RFCとか、ほんとスケールでかいときとのこと、一切考慮してないから、あんなのベースで考えたら失敗するの当たり前

        # 初期に少し関係してたのでACで
        親コメント
        • by Anonymous Coward

          リクエストを改竄できるような高機能端末が接続されることを想定していないシステムをそのまま持ってくればよかったのにとかないものねだりされてもねえ

        • by Anonymous Coward

          > どの障害も、最初から起きることか想定してたもの

          後から言われてもなぁ。何という説得力のなさ。

          次に何が起きるか予言してもらえませんかね?

      • by nmaeda (5111) on 2012年07月27日 8時53分 (#2200921)

        普通のメールって、pop3/smtpってこと?

        現在のプッシュと同じ使い勝手を実現するのなら、ドコモユーザの大半が数分ごとにコネクションを張ってpopでログインすることにになるから、回線もサーバもかなりの負荷が掛かると思うけど。基地局はパンクするだろうし。

        親コメント
      • by Anonymous Coward on 2012年07月26日 22時07分 (#2200786)

        毎度毎度フューチャー(future, 未来)とフィーチャー(feature, 機能)を間違えてるのは同じ人?

        親コメント
  • by Anonymous Coward on 2012年07月27日 9時09分 (#2200934)

    ここ最近の障害でさすがに見切りをつけ、spモードメール止めました
    正確には完全に止めれた訳ではないですけど、徐々に移行して(させて)ます

    じゃあ何使うかというと、本当はSMS/MMSがベストなんですが、パケット定額に
    含まれないので誰も使いたがらない、ので結局LINEに落ち着いています

    特に女性や学生でのLINE率は異常なほど高く、奥さんはすでにspモードは
    使ってなく、ほとんどLINEだけで全ての友達をカバーできているようです

    #おっさんのLINE率の低さはハンパない

    • by ef (25263) on 2012年07月27日 9時31分 (#2200960)
      だって糞クローラのNaverなんだもん
      親コメント
      • by Anonymous Coward

        クローラでも便利ならいいんじゃね?
        今更個人情報がー、とかまだ言ってんの?w

        • by ef (25263) on 2012年07月27日 10時12分 (#2200995)
          控えめに見ても robots.txt をマルっと無視するのはいただけません。
          親コメント
          • by Anonymous Coward

            そもそもrobots.txtじたいが
            街の大通りで全裸になりながら
            「見ないでー!」って言ってるような間抜けなシロモノだしなあ。

            • by ef (25263) on 2012年07月27日 14時54分 (#2201226)

              たしかに「通り抜け禁止で通り抜けが知れ」な状況に robots.txt はなりがちだが、それが検索エンジンのクローラが robots.txt を無視していい理由にはならないし、少なくとも真っ当な相手のやることじゃない(クロールパターンも普通じゃなかったし)。

              ∴Naver/NHNの運営するLINEを喜んで使う気にはならないという話。

              親コメント
typodupeerror

UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア

読み込み中...