パスワードを忘れた? アカウント作成
11100363 story
プライバシ

LINEでも他社サービスから流出したパスワードを使用したとみられる不正ログインが増加 56

ストーリー by headless
共通 部門より
LINEは12日、他社サービスから流出したとみられるメールアドレスとパスワードの組み合わせを利用した不正ログインが増加していることを明らかにした(LINE公式ブログの記事CNET Japanの記事ITmediaニュースの記事)。

ここ数日、LINEでは自分のアカウントが第三者に利用されているという日本のユーザーからの問い合わせが増えているという。調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。LINEの利用にはメールアドレスやパスワードの登録は不要だが、機種変更やPC版でのログイン用に「メールアドレス登録」機能が用意されている。最近の不正利用は、メールアドレス登録で他社サービスと同一のメールアドレスとパスワードを設定したLINEアカウントに対するものとみられ、LINEからのユーザー情報流出は確認されていないとしている。これを受けてLINEでは、他社サービスとは異なるパスワードに変更するようユーザーに呼びかけている。

先日もmixiniconicoで同様の手口とみられる不正ログインが明らかになっている。ドワンゴのプレスリリースによれば、niconicoでの不正ログイン件数は219,926アカウントで、19アカウントでニコニコポイント計173,610円分が不正利用されたとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 事例 (スコア:3, 興味深い)

    by hahahash (41409) on 2014年06月14日 19時15分 (#2621152) 日記

    自分は、niconicoから、アカウントが不正アクセスされた。って連絡が来た。
    この連絡が来る条件はわからないし、特にポイント不正利用等の形跡もなかった。
    なので、本当に不正アクセスされたのかはわからない。
    とりあえずパスワードは一応変更しておいた。

    メールアドレスは他でも使ってるし、スパムも山ほどくるから、知られてても不思議はない。
    が、niconicoで使ってたパスワード、他では使ってなかったから、
    少なくとも自分の場合は、他の何かのサービスからパスワードが漏れたって可能性は低そう。

    ブルートフォース等の可能性を考えると、
    変更前のパスワードが『aaaaaaaa』だったことが原因かもしれない。

    • by Anonymous Coward on 2014年06月15日 1時49分 (#2621247)

      自分の niconico のパスワードはツールで機械的に生成したランダムなパスワードでしたが、
      同じ連絡来てました。
      他のサービスとパスワード使い回しはしてないです。

      親コメント
    • by Anonymous Coward on 2014年06月15日 1時58分 (#2621248)

      それが正しいとすると、niconicoが嘘をついて、他人のせい(他人が漏らしたせいだ)にしようとしてると言えるな。

      この「他社で漏れたものが使われた」と言い訳することで自分も被害者アピールでき、被害にあった人からのクレームをかわそうとする戦略。
      今後すべての漏洩事件で同様の理由を使うはずだよ。いつかその神通力も消え去るだろう。

      親コメント
      • by Anonymous Coward

        単純に

        1IDに対して1試行しかしてなかった=外部リストを元にしたアタックだった

        と判定してるだけじゃねえの?

        で、ID全てに対しての試行ではなかったので、該当したID全てに警告メールを送った、と。

        実際はともかく、こういう時は他のサービスのパスも変えないとだめだよ。
        どれかが盗まれた可能性があるってことなんだし。

    • by Anonymous Coward

      このパスワードはやめよう!!!!っていう記事に必ずありそうなやつですね・・・
      それはともかく、メアドのドメインの前
      XXXXX@gemail.com
      のXXXXXをパスワードにしている人が多そうな気がする。

    • by Anonymous Coward

      このニコニコの件に関してだけど、ログイン履歴が見れますっていうから見たら

      ログイン日時     接続元
      2014/06/11 20:59  ブラウザ  接続中

      とだけしか書かれてないのにはちょっと驚いたなあ。
      IPアドレスも表示してくれないのか・・

      • by Anonymous Coward

        そーそー、普通はIPアドレスとUserAgentぐらいは出すよねえ。
        PC複数台だもんで判断のしようがなかった。

  • by Anonymous Coward on 2014年06月14日 16時30分 (#2621112)

    ここ最近だと、類似なのはこれぐらい?

    ・楽天
    ・niconico
    ・mixi
    ・softbank
    ・sony
    ・panasonic
    ・JCB
    ・LINE - New

    正直、この中に実際に漏らしたのがいるんじゃないかって気が...

    • ぱっと見そう思いたくなりますけど、実際は

      Aサービス - 漏れる
      として

      被害の度合い
      Aサービス - ID/Passが合っているので(ログイン失敗がほぼない)、ポイントの利用など見えてこないと不明

      その他 - ブルートフォース/辞書/リバースブルートフォースなどではない程度かつ失敗がそれなりにあるログイン多数ということで気付く

      になって、まったく別のサービスから漏れててもわからないと思います。
      # とはいえ「このAとサービスを併用してそう」、と思える程度の関連性がある所から漏れてそうではありますが...

      --
      M-FalconSky (暑いか寒い)
      親コメント
    • by Anonymous Coward on 2014年06月14日 22時07分 (#2621199)

      この手でなぜか忘れ去られてるけれど、フィッシングとかマルウェアの存在は?
      この状況を考えると、換金性が良ければ自分で使うかもしれないが、
      換金性が悪いとか使用済とかでも数があれば売れそうだし、
      プロ的には集めて売る方と買って換金する方と分業になるだろうし。

      親コメント
    • by Anonymous Coward

      プレスリリースから考えると、不正ログインを受けたアカウントははっきりしているのだろう。
      もしアカウントの所有者から正確な情報が得られるなら、同じパスワードを使用していたサービスを特定できる。
      複数の被害者からサービスのリストを得られれば、情報を漏洩したサービスの絞り込みもできそうな気がする。

      あるいは警察は既にある程度漏洩元のサービスを特定していて、捜査がその段階に達しているという情報を得ている上での
      「他社パスワード」という表現なのかも。

    • by Anonymous Coward

      パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?

      • by Anonymous Coward on 2014年06月14日 21時34分 (#2621189)

        平文でパスワードを保存する企業が絶滅する前に、人類の方が滅ぶと言われてるからな

        親コメント
      • by Anonymous Coward

        独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。
        パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。

        あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。
        まぁ、手間はかかるけどね。
        MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。

        パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。

        • by Anonymous Coward
          そのためのソルトなのでは?
          • by Anonymous Coward

            #2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・

            実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。

            # ソルト付きでストレッチングもしっかりやろうぜ

    • by Anonymous Coward

      任天堂もあるよん。
      http://www.nintendo.co.jp/support/information/2013/0705.html [nintendo.co.jp]

  • by Anonymous Coward on 2014年06月14日 16時58分 (#2621120)

    > 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。

    どうやったら、他社から漏れたって分かるんだろう。

    • by Anonymous Coward on 2014年06月14日 17時18分 (#2621127)

      自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。

      そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。

      親コメント
      • by Anonymous Coward

        ちょっと補足的な文を

        (管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。
        仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。

        他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。

        つまりログインログをちゃんと取っていれば判定は容易にできるのです。

        • by Anonymous Coward
          うちが攻撃を受けた時の話ですが、自社サービスのID/PWルールに嵌らないID/PWでログイン施行をされたため他社で流出したリストなのは間違いないという結論になりました。 また、既に出ていますがログイン成功率も1%未満でした。
      • by Anonymous Coward

        他社やフィッシングサイトで盗られたID/パスワードで不正利用されたと判別する方法はあるとして、最近のインシデントに関する各社のアナウンスが「他社から漏れたと思われる」という言い訳をどれくらい信用していいのかが問題になってくるかもしれない。

        中には自社から漏れていたり、セキュリティホールがあって不正侵入されたにもかかわらず、それを公表すると責任問題、信用問題、損害賠償が発生するから「他社から漏れた」って言い出す業者も出てくるかもしれない。

    • by Anonymous Coward on 2014年06月14日 19時06分 (#2621148)

      そろそろ、メールアドレスの使いまわしは危険、という注意喚起があってもいいころ
      #そのためにGmail(+xxx)やらYahooMail(10個アドレス/1メールボックス)やらいっぱいアドレス作ってある

      親コメント
      • by Anonymous Coward

        >Gmail(+xxx)
        +任意文字列によるエイリアスってGmailの大きい長所の一つですよね。
        こういう随時使用可なエイリアスをサポートしてるところって他にもあるのかしら。
        一時期は情報がよく流れましたが、最近は語られることも少ないので知らない人も多いのでは。

        メールアドレスに「+」の文字を認めないところが多いのが残念。

        • by Anonymous Coward

          その場合は、ドットの位置と大文字小文字で区別してる。

    • by Anonymous Coward

      他社から漏れたリストを持っている…なんてことはないよねw

    • by Anonymous Coward

      新たなノーガード戦法?

    • by Anonymous Coward

      恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。

      • by Anonymous Coward
        勘違いされているようですが、ソルトはパスワードをハッシュ化する際にパスワードに付加するものです。 それによって、二つのIDのパスワードがたまたま同じでも、異なるハッシュ値になる可能性を上げます。 これにより、ハッシュ化されたパスワードの解読の難易度が上がります。
    • by Anonymous Coward

      顧客からの問い合わせがあって突き詰めてみたら流出したサイトと同じパスワードだった・・・とかかな。
      これならリストはなくても他社から漏れたってわかるかと。

      • by Anonymous Coward

        LINE「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        A「そうそう。最近mixiから不正アクセスでパスワード変えてってメール来た」
        LINE「mixiが漏らしたのか」

        mixi「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        B「そうそう。最近niconicoから不正アクセスでパスワード変えてってメール来た」
        mixi「niconicoが漏らしたのか」

        niconico「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
        B「そうそう。最近LINEから不正アクセスでパスワード変えてってメール来た」
        niconico「LINEが漏らしたのか」

        以下 サービス名を好きなものに書き換えてループ

        まぁ、時系列で言えば一番古い漏洩サービスが怪しいと思われてしまうけど。
        他社で漏れたものかはわかるかもだけど、誰が漏らしたかはわからないね。

        • by Anonymous Coward

          この例の場合、最初の漏洩が何処かは不明だが、
          LINE、mixi、niconicoともに
          これだけあちこちのサイトでアタックがあったと公式発表しているのになにも対策を取らず結果的には侵入を許し、
          漏洩パスワードの精度を上げるための手伝いをしているという点に責任はあるでしょう。

          ログインIDを、メールアドレスやアカウント名ではなく、
          サービス提供者側で発行したものに変更するだけで
          他サイト漏洩からのアタックに対しての強度は
          格段に上がりますが、おそらく利便性が下がるという理由で対策しないで放置しているのでしょう。

          • by Anonymous Coward

            は? 運営の都合でIDを振られても覚えにくくて面倒なだけです。そんなの銀行だけにしてほしい。

  • LINE 乗っ取り被害は300件超
    http://www3.nhk.or.jp/news/html/20140617/k10015282761000.html [nhk.or.jp]

    手口としては、不正ログインしたアカウントのアドレス帳を使って手当たり次第に「会った時に金を払うから電子マネーを代わりに買ってきてくれ」ってメッセージを送り付けるみたいですね。
    で、シリアルコードを写真に撮って送らせると。

    --
    # SlashDot Light [takeash.net] やってます。
  • by Anonymous Coward on 2014年06月15日 1時39分 (#2621246)

    …いや、考えるまでもなく、

    このテの話題が増える前から、たとえばUNIXサーバのログ眺めてると、何かから抽出したと思しきユーザIDで SSH ログイン試行されまくってる(このサーバにそんなユーザいねぇよ、的な)形跡とかあったわけなんで、その延長線上で、こういう事態は容易に想定できたよなぁとか、そもそも「他社サービスから漏洩した情報」でなく、ユーザ自身が知人に教えた(教えざるを得ない)メールアドレスやそのローカルパートと「パスワード辞書」の組み合わせで攻撃してたりするんじゃないか、とか、

    後知恵で思ったりする。

    • by Anonymous Coward

      sshのそれはリバースブルートフォースアタックかな?
      良くあるパスワード(例えば0000とか)を固定で良くある名前(mikeとかjohnとか)のリストで攻撃する奴。
      でもこれだと殆どの攻撃は失敗するから分かると思う。
      でもまあろくに調べずパスワードリストアタックと言う事にしたとかあり得るかも知れんが。
      どちらにせよ昔はアメリカとか狙いが日本も本格的に狙われだしたって事だと思うけど。
      #数年前からフィッシングとか日本狙い増えてたし

  • by Anonymous Coward on 2014年06月15日 15時19分 (#2621360)

    もうそろそろ、ログインID=メールアドレス
    という安易な実装はやめるべきかと。

    セキュリティをよく考えてるサービスなんかは、
    ユーザ名(公開され、他者から区別のために使用されるID)と
    ログインID(ユーザがログインするのに使用するID)
    を別々にしており、
    かつ、ログインIDもランダム文字列にしてブルートフォースの難易度をあげつつ
    IDの使い回しを防ごうとしてるよ。

    • by Anonymous Coward

      メールアドレス=ログインID でないとユーザーがIDを忘れるんですよ

      ランダム文字列IDなんかユーザーが覚えてくれない
      IDデフォルトをメールアドレスと同じ文字列にしてIDを別に設定できる、くらいが限度のような気がします

      • by Anonymous Coward
        サービス毎にパスワードは変えなくてはいけないわけで、それってつまりブラウザなりなんなりにパスワードを管理させると言うこと。 であれば同じ管理で良い。覚える必要なんてありません。
        • by Anonymous Coward

          それだど自宅以外はログインできない

          • by Anonymous Coward
            ID とパスワードを自分で管理していない機器で入力するの? セキュリティをまじめに考えるなら、絶対にやってはいけませんよ。
            実際問題として、スマートフォンやタブレット端末がある現在、問題は全くないでしょ。
        • by Anonymous Coward

          パスワードをサービスごとにきっちり変えているような人なら、他サービスからパスワードが流出してもあまり問題ないんですわ、これが

typodupeerror

「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常

読み込み中...