LINEでも他社サービスから流出したパスワードを使用したとみられる不正ログインが増加 56
ストーリー by headless
共通 部門より
共通 部門より
LINEは12日、他社サービスから流出したとみられるメールアドレスとパスワードの組み合わせを利用した不正ログインが増加していることを明らかにした(LINE公式ブログの記事、
CNET Japanの記事、
ITmediaニュースの記事)。
ここ数日、LINEでは自分のアカウントが第三者に利用されているという日本のユーザーからの問い合わせが増えているという。調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。LINEの利用にはメールアドレスやパスワードの登録は不要だが、機種変更やPC版でのログイン用に「メールアドレス登録」機能が用意されている。最近の不正利用は、メールアドレス登録で他社サービスと同一のメールアドレスとパスワードを設定したLINEアカウントに対するものとみられ、LINEからのユーザー情報流出は確認されていないとしている。これを受けてLINEでは、他社サービスとは異なるパスワードに変更するようユーザーに呼びかけている。
先日もmixiやniconicoで同様の手口とみられる不正ログインが明らかになっている。ドワンゴのプレスリリースによれば、niconicoでの不正ログイン件数は219,926アカウントで、19アカウントでニコニコポイント計173,610円分が不正利用されたとのことだ。
ここ数日、LINEでは自分のアカウントが第三者に利用されているという日本のユーザーからの問い合わせが増えているという。調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。LINEの利用にはメールアドレスやパスワードの登録は不要だが、機種変更やPC版でのログイン用に「メールアドレス登録」機能が用意されている。最近の不正利用は、メールアドレス登録で他社サービスと同一のメールアドレスとパスワードを設定したLINEアカウントに対するものとみられ、LINEからのユーザー情報流出は確認されていないとしている。これを受けてLINEでは、他社サービスとは異なるパスワードに変更するようユーザーに呼びかけている。
先日もmixiやniconicoで同様の手口とみられる不正ログインが明らかになっている。ドワンゴのプレスリリースによれば、niconicoでの不正ログイン件数は219,926アカウントで、19アカウントでニコニコポイント計173,610円分が不正利用されたとのことだ。
事例 (スコア:3, 興味深い)
自分は、niconicoから、アカウントが不正アクセスされた。って連絡が来た。
この連絡が来る条件はわからないし、特にポイント不正利用等の形跡もなかった。
なので、本当に不正アクセスされたのかはわからない。
とりあえずパスワードは一応変更しておいた。
メールアドレスは他でも使ってるし、スパムも山ほどくるから、知られてても不思議はない。
が、niconicoで使ってたパスワード、他では使ってなかったから、
少なくとも自分の場合は、他の何かのサービスからパスワードが漏れたって可能性は低そう。
ブルートフォース等の可能性を考えると、
変更前のパスワードが『aaaaaaaa』だったことが原因かもしれない。
Re:事例 (スコア:1)
自分の niconico のパスワードはツールで機械的に生成したランダムなパスワードでしたが、
同じ連絡来てました。
他のサービスとパスワード使い回しはしてないです。
Re:事例 (スコア:1)
それが正しいとすると、niconicoが嘘をついて、他人のせい(他人が漏らしたせいだ)にしようとしてると言えるな。
この「他社で漏れたものが使われた」と言い訳することで自分も被害者アピールでき、被害にあった人からのクレームをかわそうとする戦略。
今後すべての漏洩事件で同様の理由を使うはずだよ。いつかその神通力も消え去るだろう。
Re: (スコア:0)
単純に
1IDに対して1試行しかしてなかった=外部リストを元にしたアタックだった
と判定してるだけじゃねえの?
で、ID全てに対しての試行ではなかったので、該当したID全てに警告メールを送った、と。
実際はともかく、こういう時は他のサービスのパスも変えないとだめだよ。
どれかが盗まれた可能性があるってことなんだし。
Re: (スコア:0)
このパスワードはやめよう!!!!っていう記事に必ずありそうなやつですね・・・
それはともかく、メアドのドメインの前
XXXXX@gemail.com
のXXXXXをパスワードにしている人が多そうな気がする。
Re: (スコア:0)
このニコニコの件に関してだけど、ログイン履歴が見れますっていうから見たら
ログイン日時 接続元
2014/06/11 20:59 ブラウザ 接続中
とだけしか書かれてないのにはちょっと驚いたなあ。
IPアドレスも表示してくれないのか・・
Re: (スコア:0)
そーそー、普通はIPアドレスとUserAgentぐらいは出すよねえ。
PC複数台だもんで判断のしようがなかった。
どこが漏らしたんだろう? (スコア:2, すばらしい洞察)
ここ最近だと、類似なのはこれぐらい?
・楽天
・niconico
・mixi
・softbank
・sony
・panasonic
・JCB
・LINE - New
正直、この中に実際に漏らしたのがいるんじゃないかって気が...
Re:どこが漏らしたんだろう? (スコア:2)
ぱっと見そう思いたくなりますけど、実際は
Aサービス - 漏れる
として
被害の度合い
Aサービス - ID/Passが合っているので(ログイン失敗がほぼない)、ポイントの利用など見えてこないと不明
その他 - ブルートフォース/辞書/リバースブルートフォースなどではない程度かつ失敗がそれなりにあるログイン多数ということで気付く
になって、まったく別のサービスから漏れててもわからないと思います。
# とはいえ「このAとサービスを併用してそう」、と思える程度の関連性がある所から漏れてそうではありますが...
M-FalconSky (暑いか寒い)
Re:どこが漏らしたんだろう? (スコア:2, 興味深い)
そういう意味じゃなくて、具体的な成功率とか明かしていないところもいるので、
「他社が漏らした」でごまかしたところがいるんじゃないかって意味ですよ。
これだけ同時期に広範囲だと、ある程度メジャーなところから漏れたのは間違いなさそうだし。
Re:どこが漏らしたんだろう? (スコア:1)
あー、なるほど、それはたしかに。
ちょっとサービス提供者を善意にみすぎました。
M-FalconSky (暑いか寒い)
Re: (スコア:0)
実害ではなく「便利な言い回し」の方が広範囲に浸透し始めている、と。
Re:どこが漏らしたんだろう? (スコア:1)
この手でなぜか忘れ去られてるけれど、フィッシングとかマルウェアの存在は?
この状況を考えると、換金性が良ければ自分で使うかもしれないが、
換金性が悪いとか使用済とかでも数があれば売れそうだし、
プロ的には集めて売る方と買って換金する方と分業になるだろうし。
Re: (スコア:0)
プレスリリースから考えると、不正ログインを受けたアカウントははっきりしているのだろう。
もしアカウントの所有者から正確な情報が得られるなら、同じパスワードを使用していたサービスを特定できる。
複数の被害者からサービスのリストを得られれば、情報を漏洩したサービスの絞り込みもできそうな気がする。
あるいは警察は既にある程度漏洩元のサービスを特定していて、捜査がその段階に達しているという情報を得ている上での
「他社パスワード」という表現なのかも。
Re: (スコア:0)
パスワードがそのまま漏れてるということは平文でパスワードを保存してるってこと?
Re:どこが漏らしたんだろう? (スコア:1)
平文でパスワードを保存する企業が絶滅する前に、人類の方が滅ぶと言われてるからな
Re: (スコア:0)
独自の暗号化ロジックで変換したパスワードでもなければ、 ハッシュ値を一致させるだけですむよ。 同じパスワードを入力する必要はない。
パスワードのハッシュ値を保存して原型を保たなければ安全なんていうのは、 都市伝説。
あんな物ハッシュ値のデータベースを作ってしまえば、あとは検索するだけでハッシュ値から必要なパスワードを取得することは出来る。
まぁ、手間はかかるけどね。
MD5とSHA256あたりで作っておけばわりと逆算出来るんじゃないかなと。
パスワードは、 複雑さよりも長さが大事といわれるのは、 こういうこと。
Re: (スコア:0)
Re: (スコア:0)
#2621190氏はちょっとかじった知識を披露したいだけだから、そういうツッコミはかわいそうだ・・・
実際、生パスワードで保存してるバカもいるし、ソルトなしでさらに1回のハッシュで安心してる残念なトコもいるだろう。
# ソルト付きでストレッチングもしっかりやろうぜ
Re: (スコア:0)
任天堂もあるよん。
http://www.nintendo.co.jp/support/information/2013/0705.html [nintendo.co.jp]
うちが悪いんじゃない、他社のせいだ (スコア:1)
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
Re:うちが悪いんじゃない、他社のせいだ (スコア:3, 参考になる)
自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。
そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。
Re: (スコア:0)
ちょっと補足的な文を
(管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。
仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。
他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。
つまりログインログをちゃんと取っていれば判定は容易にできるのです。
Re: (スコア:0)
Re: (スコア:0)
他社やフィッシングサイトで盗られたID/パスワードで不正利用されたと判別する方法はあるとして、最近のインシデントに関する各社のアナウンスが「他社から漏れたと思われる」という言い訳をどれくらい信用していいのかが問題になってくるかもしれない。
中には自社から漏れていたり、セキュリティホールがあって不正侵入されたにもかかわらず、それを公表すると責任問題、信用問題、損害賠償が発生するから「他社から漏れた」って言い出す業者も出てくるかもしれない。
Re:うちが悪いんじゃない、他社のせいだ (スコア:1)
そろそろ、メールアドレスの使いまわしは危険、という注意喚起があってもいいころ
#そのためにGmail(+xxx)やらYahooMail(10個アドレス/1メールボックス)やらいっぱいアドレス作ってある
Re: (スコア:0)
>Gmail(+xxx)
+任意文字列によるエイリアスってGmailの大きい長所の一つですよね。
こういう随時使用可なエイリアスをサポートしてるところって他にもあるのかしら。
一時期は情報がよく流れましたが、最近は語られることも少ないので知らない人も多いのでは。
メールアドレスに「+」の文字を認めないところが多いのが残念。
Re: (スコア:0)
その場合は、ドットの位置と大文字小文字で区別してる。
Re: (スコア:0)
他社から漏れたリストを持っている…なんてことはないよねw
Re: (スコア:0)
新たなノーガード戦法?
Re: (スコア:0)
恐らく、ソルトつきのパスワードのソルト部分が違うパスワードでログインを試すケースが異常に増加してるのかも。
Re: (スコア:0)
Re: (スコア:0)
全然別のACですが、「ソルト」のそういう使い方は初めて聞いたし、
非常に誤解を与えやすいだけでなく、既存の文脈のソルトの意味をも曖昧にするので、使うべきでないとすら思う。
加えて、(ベース)+(追加文字列)のようなパスワードが緊急避難的に用いられるのは仕方ないとは思うけれど
完全ランダムなパスワードに比べて確実に脆弱(察するに追加部分は意味のある文字列になるのだろう)で、
そのようなパスワード管理法を良い方法として一般化するべきではないという意味でも、
セキュリティ上有効な「ソルト」という単語をその方法に当てるのは嫌な印象を受ける。
パスワードを使い回すことが悪いのは、パスワードが平文で管理され(そして漏洩する)るケース以外にも、
サービスのスタッフが悪意からパスワードを覗き見るケースを考慮していないというのがある。
閲覧者に明快なヒントを与えるようなパスワードで安心感を持つのは、ある意味では単純な使い回しより危険な行為だと思う。
Re: (スコア:0)
それは誤用ですのでその使い方を広めないで下さい。
Re: (スコア:0)
そんな使い方のソルトがあるんでか・・・。
できればソースも一緒にそえてくれればうれしいところです。
Re: (スコア:0)
柚子こしょうもオススメ
Re: (スコア:0)
これはヒドイw
Re: (スコア:0)
顧客からの問い合わせがあって突き詰めてみたら流出したサイトと同じパスワードだった・・・とかかな。
これならリストはなくても他社から漏れたってわかるかと。
Re: (スコア:0)
LINE「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
A「そうそう。最近mixiから不正アクセスでパスワード変えてってメール来た」
LINE「mixiが漏らしたのか」
mixi「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
B「そうそう。最近niconicoから不正アクセスでパスワード変えてってメール来た」
mixi「niconicoが漏らしたのか」
niconico「あなた、同じパスワード使ってた他のサイトで漏れてませんか?」
B「そうそう。最近LINEから不正アクセスでパスワード変えてってメール来た」
niconico「LINEが漏らしたのか」
以下 サービス名を好きなものに書き換えてループ
まぁ、時系列で言えば一番古い漏洩サービスが怪しいと思われてしまうけど。
他社で漏れたものかはわかるかもだけど、誰が漏らしたかはわからないね。
Re: (スコア:0)
この例の場合、最初の漏洩が何処かは不明だが、
LINE、mixi、niconicoともに
これだけあちこちのサイトでアタックがあったと公式発表しているのになにも対策を取らず結果的には侵入を許し、
漏洩パスワードの精度を上げるための手伝いをしているという点に責任はあるでしょう。
ログインIDを、メールアドレスやアカウント名ではなく、
サービス提供者側で発行したものに変更するだけで
他サイト漏洩からのアタックに対しての強度は
格段に上がりますが、おそらく利便性が下がるという理由で対策しないで放置しているのでしょう。
Re: (スコア:0)
は? 運営の都合でIDを振られても覚えにくくて面倒なだけです。そんなの銀行だけにしてほしい。
LINE 乗っ取り被害は300件超 (スコア:1)
LINE 乗っ取り被害は300件超
http://www3.nhk.or.jp/news/html/20140617/k10015282761000.html [nhk.or.jp]
手口としては、不正ログインしたアカウントのアドレス帳を使って手当たり次第に「会った時に金を払うから電子マネーを代わりに買ってきてくれ」ってメッセージを送り付けるみたいですね。
で、シリアルコードを写真に撮って送らせると。
# SlashDot Light [takeash.net] やってます。
考えてみれば (スコア:0)
…いや、考えるまでもなく、
このテの話題が増える前から、たとえばUNIXサーバのログ眺めてると、何かから抽出したと思しきユーザIDで SSH ログイン試行されまくってる(このサーバにそんなユーザいねぇよ、的な)形跡とかあったわけなんで、その延長線上で、こういう事態は容易に想定できたよなぁとか、そもそも「他社サービスから漏洩した情報」でなく、ユーザ自身が知人に教えた(教えざるを得ない)メールアドレスやそのローカルパートと「パスワード辞書」の組み合わせで攻撃してたりするんじゃないか、とか、
後知恵で思ったりする。
Re: (スコア:0)
sshのそれはリバースブルートフォースアタックかな?
良くあるパスワード(例えば0000とか)を固定で良くある名前(mikeとかjohnとか)のリストで攻撃する奴。
でもこれだと殆どの攻撃は失敗するから分かると思う。
でもまあろくに調べずパスワードリストアタックと言う事にしたとかあり得るかも知れんが。
どちらにせよ昔はアメリカとか狙いが日本も本格的に狙われだしたって事だと思うけど。
#数年前からフィッシングとか日本狙い増えてたし
ログイン名とログインID (スコア:0)
もうそろそろ、ログインID=メールアドレス
という安易な実装はやめるべきかと。
セキュリティをよく考えてるサービスなんかは、
ユーザ名(公開され、他者から区別のために使用されるID)と
ログインID(ユーザがログインするのに使用するID)
を別々にしており、
かつ、ログインIDもランダム文字列にしてブルートフォースの難易度をあげつつ
IDの使い回しを防ごうとしてるよ。
Re: (スコア:0)
メールアドレス=ログインID でないとユーザーがIDを忘れるんですよ
ランダム文字列IDなんかユーザーが覚えてくれない
IDデフォルトをメールアドレスと同じ文字列にしてIDを別に設定できる、くらいが限度のような気がします
Re: (スコア:0)
Re: (スコア:0)
それだど自宅以外はログインできない
Re: (スコア:0)
実際問題として、スマートフォンやタブレット端末がある現在、問題は全くないでしょ。
Re: (スコア:0)
パスワードをサービスごとにきっちり変えているような人なら、他サービスからパスワードが流出してもあまり問題ないんですわ、これが