パスワードを忘れた? アカウント作成
8309986 story
NTT

フレッツ光の会員サイト、不正ログインを受けて全アカウント約404万件をロック 45

ストーリー by headless
凍結 部門より
superito のタレこみより。フレッツ光の会員制プログラム「フレッツ光メンバーズクラブ」の会員サイトに大量の不正アクセスがあり、不正ログインが確認されたことから、NTT東日本はすべてのアカウントをロックしてユーザーにパスワード再設定を要請している(不正アクセスへの対応等についてログインロック解除方法パスワードの再設定のお願いINTERNET Watchの記事)。

フレッツ光メンバーズクラブの会員サイトでは4日にも大量の不正アクセスがあり、ログイン規制を行っていた。9日からログイン機能を再開したところ、再度複数のIPアドレスから約24,000件の不正アクセスがあり、77件が不正ログインに成功していたという。これを受けてNTT東日本では再度ログイン機能を停止し、11日までに全アカウント約404万件のログインロックを実施した。会員サイトを利用するには、パスワードの初期化が必要となる。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by wolf03 (39616) on 2013年04月14日 8時44分 (#2363238) 日記
    西日本の方は問題無いのだろうか?
  • フィッシングでメールアドレスと生年月日の組みをゲットできる大チャーンスというわけか。
    # マジな話パスワード再設定を促す系の告知ってどうすりゃいいの?

  • by Anonymous Coward on 2013年04月13日 16時37分 (#2363022)

    元のパスワードに戻せるので元の木阿弥です(・3・)あるぇ~?

    • by Anonymous Coward on 2013年04月13日 17時36分 (#2363031)

      それ以前に、いいかげん「英数字のみで10文字まで」って何とかしてほしい……

      親コメント
      • 文字数を妙に短く制限するところ、記号を使わせないところって多いけど、どうしてなの?
        ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。

        親コメント
        • by Anonymous Coward on 2013年04月13日 20時17分 (#2363070)

          記号を使わせないのは、(誤った)サニタイズ [takagi-hiromitsu.jp]によるものではないかな。

          親コメント
          • by Anonymous Coward

            単純にパスワードは付箋に書いて貼り付けておくものではなく、
            記憶することが前提だからではないでしょうか。
            記号の方が覚えやすい例もある。たしかに。
            おそらく流行するのは顔文字を使ったパスワードの横行が予測できます。
            顔文字アタックの脆弱性を突かれた馬鹿ニュースの題材になると・・・
            開発する側は普通そこまでは想定するのでは?

            # 因果理由が無いものなんてありません

        • by Anonymous Coward on 2013年04月13日 18時06分 (#2363043)

          昔おバカなプログラマが SQL インジェクション可能な脆弱性を作っていたころの名残かもしれませんね。
          「怒れるサル」と同様な現象かもしれず。

          親コメント
        • by Anonymous Coward on 2013年04月13日 23時59分 (#2363178)
          ガラケー用にそういうことしてたことはありますね。

          # 記号や英語がパスワードボックスに入力しにくい
          親コメント
          • by Anonymous Coward

            入力しにくいのは理解出来ますが、だからといって使用制限するのはどうかと思いますね。
            めんどうくさいから英数だけで、というのはユーザーが自分で決めればいいだけですし。

            # 逆に最近、セキュリティ意識の高い(?)ウェブサービスだと、パスワードは何文字以上、英数記号をすべてまぜろ、と強制してくるところもある。

            • by Anonymous Coward

              その両者が混ざると同じ生成アルゴリズムでパスワードを作れないのでマジめんどくさい

        • by Anonymous Coward

          きっとそう。
          中途半端に頭のいい人が仕様に関わってるから。
          「パスワードで許容する文字の種類について定義してください」と、
          「なんで記号が存在するんですか?理由を述べてください」のコンボ。
          返答が面倒な下請け会社は、最初から記号を含めないのではないかと妄想しました。

          • by Anonymous Coward

            使用可能な記号を羅列するのも面倒だからねぇ。
            と思ったが、使用不可にしないとまずい記号ってあったかな。
            なんか盲点があるような気がして不安になってきた。

            という思考を経て「制限したほうが楽だわ」になります。

            • 仕様不可にしないとまずいってわけじゃないけど、
              パスワードに記号使ってて101キーボードに換わったときに困ったことはある。

              #ユーザ名は固定でパスワード欄しか入力項目がないシステムにて

              親コメント
              • by Anonymous Coward

                # 内容が内容なんでAC
                それがあるんで自分は101と106で共通になる記号しか使わないようにしてます。

            • 「使用不可にしなければならない記号」はないけど、エスケープに失敗したり、
              検証を間違えたりすると、どこで下らんバグが発生するか分からんから、
              可能な限り記号は入れないことにしてる。動作確認もそんだけ面倒になるし。

              ただでさえ人手も開発費も足らんとゆーのに。そんな所に無駄な工数かけられない。

              >ウェブアプリのログイン認証において、プログラム上、制限を設けて楽になることって何なのでしょう。思いつかないのですが。
              記号を減らすのは重要。
              記号を入れるのはセキュリティ上でもユーザビリティでも必要性はない。
              文字数は減らしても増やしてもそんなに影響は無い。(数百文字とか言われたら別だけど)

              だから
              - 記号は除去。
              - 文字はアルファベット大文字/小文字と数字
              - 文字数は20~30文字
              にするのが多かったな。

              親コメント
              • by Anonymous Coward

                記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
                ユーザビリティも変わります。カナ打ちなので、ローマ字入力状態でカナ入力って手を使うのですが、“,”、“.”、“;”、“:”、“]”、“-”など、
                いくつかの記号が引っかかります。
                ユーザビリティに必要ないと決めつけるのはどうかと思います。

              • by Anonymous Coward

                > 記号の有無で辞書攻撃の成功率は桁違いに変わると思いますが・・・。
                迷信でしょ。

                根拠も無く、こういうこと言う人が多すぎて困る。

            • 内部でやりとりする経路(フロントエンドからバックエンドDBまで)でのエスケープとかは、まあ気にはなりますよね。

              # それで制限していいかは別なんだけど。

              まあ、英数+ASCIIの記号内がいいけど、英数だけでも15以上OKになってれば文句はいわんのだが
              # 普段は14字ランダムを生成してる

              --
              M-FalconSky (暑いか寒い)
              親コメント
            • by Anonymous Coward

              羅列された記号を使ったらログインできなくなったことがあるので、「制限してくれたほうが楽だわ」になっています。

              • by Anonymous Coward

                うわ、分かる分かる。
                #これやっちゃうと、かなり恥ずかしいんだわ。初歩的ミスといえば初歩的ミスなんだけどね。orz

                どこかで処理を間違えてると、「特定の記号を使った時だけログインできない」みたいなことも
                起こらないとは限らない。記号を入れなければ、どんな阿呆に作らせても(他のバグは出ても)
                まずそういうバグは出ないので、記号を入れるのは可能な限り止めた方が良い。

                その辺りのリスクも想定できずに、むやみやたらと記号を入れたがるのは、
                プログラミングスキルの無い人の場合が圧倒的に多いと思う。

              • by Anonymous Coward

                そんなバグを入れる奴こそプログラミングスキルがないに決まってるのに何この逆切れ。しかも完全に開発者の論理。

        • by Anonymous Coward

          普通に考えて、パスワードはソルト付でハッシュ化するのが当たり前になってるので、
          入力文字列はなんでもいいはずなんだけどね。もちろん、マルチバイトでも。文字コードは注意が必要だろうけど。
          特に日本のお固い業界(銀行などの金融機関)が、文字種・文字数制限が多いイメージ。
          一般の人が使用する率が高いからかな?
          そう考えると、いまだに銀行のキャッシュカードのパスワードが数字4桁っていうのもね。

    • by Anonymous Coward

      破られたところでせいぜいが
      住所氏名等・ポイント・パスワードを勝手に代えて(一緒に登録メールアドレスも変更して)使えなくする
      程度のアカウントをガチガチにされてもウザイだけだし……

  • by esuta (40045) on 2013年04月13日 23時54分 (#2363174)

    本物にくらべれば小さい小さい
    >中国ネット掲示板大手・天涯社区 [kinbricksnow.com]から個人情報4000万件の流出が確認されたという。これで累計9000万件の個人情報が流出した計算となる。このままいけば、1億件もあっという間に超えそうだ。
    >個人情報の流出件数はPSN [wikipedia.org]全利用者のおよそ7,700万人と言われている

    >約450万人分ものYahoo! BB [wikipedia.org]登録者の個人情報が漏洩

  • by Anonymous Coward on 2013年04月13日 18時45分 (#2363051)

    脆弱なパスワードを許容してたツケ?

    • by Anonymous Coward

      脆弱で思い出しましたが、外為どっとこむの外貨ネクストのパスワードは………外貨ネクストネオに口座移動しようと思ってゴニョゴニョやっていたら、旧パスワードは一文字でオッケーと言うのを見て「FXなんて金が絡むサービスで一文字って………エエエエエエエエエェェェェェェ(゚Д゚)ェェェェェェエエエエエエエエエ」って感じでした。

      ※パスワード一文字って意外すぎてかえって安全かもしれないww

      • by Anonymous Coward

        ブルートフォースで即死では…と思うものの、攻撃側はちゃんと設定可能文字数・文字種をチェックして設定するもんだろうか。
        しない攻撃者にとっては、ありえなさすぎて安全なんだろうかw

    • by Anonymous Coward

      他サービスで使っていたパスワードを許容しないなんて、どんな魔法ですか。

  • 初期化の申請をしてから6時間経過
    パスワードのメールが届きしだい、その変更作業をしようと待ち構えていたのですが、
    いまだにメールは送られてきません

    処理が追いつかないのなら、パスワード初期化を一時中断するなりして欲しい

    これほど腐った対応なのか、NTT

typodupeerror

日本発のオープンソースソフトウェアは42件 -- ある官僚

読み込み中...