Amebaでも他社サービスから流出したIDとパスワードを使用したとみられる不正ログインが発生 25
ストーリー by hylom
誰もが狙われる時代になったのか 部門より
誰もが狙われる時代になったのか 部門より
headless 曰く、
サイバーエージェントは23日、同社が運営する「Ameba」で他社サービスから流出したIDとパスワードを使用したとみられる不正ログインが38,280件発生したことを発表した。Amebaでは昨年にも同様の手口とみられる不正ログインが発生している(サイバーエージェントの告知、 INTERNET Watch、 ねとらぼ)。
不正なログイン試行は19日17時27分~23日8時36分にかけて計2,293,543回行われ、そのうち38,280件のIDで不正ログインが成功。攻撃は断続的に発生していることから、件数は変動する可能性もあるという。不正ログインされたIDではニックネーム、メールアドレス、生年月日、居住地域、性別などの登録情報および仮想通貨「アメゴールド」「コイン」の履歴情報が閲覧された可能性がある。ただし、住所や電話番号などは流出しておらず、登録情報の改ざんや仮想通貨の不正利用もないことを確認済だとしている。なお、一部サービスで利用するクレジットカード情報については同社のシステムでは保有していないとのこと。
同社では不正ログインされたIDのパスワードをリセットしており、パスワード再設定などの案内を個別にメールで連絡しているとのことだ。また、今回不正ログインを受けたかどうかにかかわらず、他社サービスと同一のID/パスワードの組み合わせを使用しているユーザーや、推測されやすいパスワードを使用しているユーザーに対し、パスワードの変更を呼び掛けている。
こんなこともあろうかと (スコア:1)
…ただし、もちろん覚えていられないのでHDDにパスワード.txtが置いてある。
Re:こんなこともあろうかと (スコア:2)
そのtxt捨てていいです。
毎回「パスワードを忘れた方はこちら」を押せばすむので。
Re: (スコア:0)
銀行がワンタイムパスワードアプリやトークン配ってるくらいだしそれでいいんだろう
結局パスワード書いた紙とたいして変わらないよね?
Re: (スコア:0)
まあ理屈の上では「通信できない別媒体」もしくは「別のID/Passwordで管理された中」にあるのが望ましいので、
webで使うパスワードは生テキストのファイルに書いてあるよりはPC外の紙に書いてある方がマシではあるでしょうね。
でも「マシ」って言い方は、例えば「マイドキュメントやデスクトップにあるよりは、c:直下に自分で作成したフォルダに入れてる方がマシ」とか「パスワード.txtよりは今日のおやつ.txtの方がマシ」という言い方もできちゃうのが何だな。
「マシ」と「たいして変わらない」はたいして変わらないと言われたら反論できない(笑)
Re: (スコア:0)
そう考えたのでスマートフォンは使わずにKING JIM のMIRUPASSを数ヶ月前から使ってます。
内容編集のためPCとの接続時にもマスターパスを入力しないとPCが認識できず、データはMIRUPASS本体から編集時読み出し-終了時書き込み、PCに保存できるのは暗号化されたバックアップデータのみで「使い勝手が悪すぎないように、使い勝手に力を入れて情報流出の原因を作らないように。」とのバランス調整に神経を使ったであろうことがありありと分かります。
今は確実に覚えてるのはパスタ-パスのみで他はサービスごとに英大小・数字組み合わせの10桁をMIRUPASSで発生させた物に置き換えました。
だから他社サービスってどこなのよ (スコア:0)
今まで流出元って明らかになっていないよね?
Re: (スコア:0)
今までどっかでもれたIDとPassのペアだろ
分かるとしたら、該当者が「**のサービスと同じIDとPass使ってました!」ってtwitterにでも書けば分かるんじゃね?
Re: (スコア:0)
確実に分かるとすれば、該当者が「**のサービスと同じIDとPass使って侵入ました!」ってtwitterにでも書けば分かるんじゃね?
# twitter ならそういうのもありえるかも
Re: (スコア:0)
〜 うちじゃない どこかで 〜
Re: (スコア:0)
ちなみにそれは重要な事なんだろうか。いや揚げ足取りじゃなくて。
パスワード流出自体は既報の所で、今は会社名が伏せられてるってこともあるのかなと。
「他社サービス」って、ある程度パスワードの入手経路を特定してる言い回しに聞こえる。
Re: (スコア:0)
パスワードの全体、あるいは、一部にサービス名を使っているユーザーもいるでしょうね。
そうすると、不正なログインがあるということで、
ログイン関連のパケット履歴を眺めていれば(そんなことが許されるのかどうかは別問題)、
他社サービス名のパスワードがあることが分かったみたいな。
一方で、そんな方法でログイン試行を監視して、流出元のサービスが分かりましたとは言えないですよね・・・。
Re: (スコア:0)
分かればそこのユーザで他の所に使いまわししてる人に確度の高い危険さが注意喚起が出来るだろうけど、流出元は上を下への大騒ぎになるな
リストが1箇所からの物だとすれば数百万件単位以上(ニコニコとはてなへのログイン試行回数から)だろうし、
既報のうちのどこかならパッと思いつく心当たりは3つか4つくらいあるかな
Re: (スコア:0)
A社で流出したものが、B社で悪用され、、
B社で流出したものが、C社で悪用され、
C社で流出したものが、A社で悪用され、
A社・B社・C社が揃って「他社で流出したものが使われた!」と叫んでいる
なんてことはないよな?
Re: (スコア:0)
ありうるんじゃない?
OpenIDみたいなマネして
他社のアカウントで認証できるサービスとかもあるし。
これだけ大量だとパスワード使い分けてる人でも流出経路という点で安全ではないな
Re: (スコア:0)
自社の会員IDに紐付かないログイン試行が一定数以上あれば
他社から漏れたリストと言えるんじゃないかしら。
Re: (スコア:0)
2ch、PSN、Adobe等、結構いろいろ明らかになっていたはずですが。
とはいえ、攻撃者がどこの流出元の情報を元に攻撃しているかは、攻撃を受けている側からは知りようがない。
まぁ、IDに○○PSNとか○○adobeとかが使われていれば、流出元は分かるのだろうけれど、
それを公開してしまうのはメリットデメリット両方あるのではばかられるのでしょう。
これって… (スコア:0)
heartbleedと何か関連があるのでしょうか?
Re:これって… (スコア:1)
ほぼないと思われます。
heartbleedでパスワードを頑張って抜けないことはないだろうけど、効率が悪すぎるので。
heartbleedってサーバのメモリ上のデータでガチャをやる話なので、 根気よく大量のheartbeatアクセスを繰り返して意味のあるデータがポツリポツリ抜けることがあるかも知れないし それが運よく生パスワードだったらいいねという、投入する労力・計算資源に対して得られるものが少ない方式です。
そんなことをしている間にPOPだとか適当なWebサービスにボットネットからのリバースブルートフォースをかけてみたり、 あるいはスマホ用のマルウエアでも撒いたりすれば脆いID/パスワードの組が割とザクザク採れるでしょう。
チェック (スコア:0)
1. 流出パスを蓄積
2. 定期的に流出パスで入れるかチェック
3. 入れたら本人側の変更確認を取れるまでアカウント停止を示唆
ってなチェック機関というか団体作れないのかね。
プライバシーマークみたく企業からの申請形式にして。
運営は、加入料や過去に漏らした企業の懲罰金からで。
Re:チェック (スコア:2)
----------
件名: Adobe社の個人情報流出問題に関する重要なお知らせ
先日、Adobe 社のネットワークが攻撃され、メールアドレス、Adobe パスワード、パスワードヒントを含む数百万人分もの個人情報が流出した可能性があるとの報道がありました。 そして、被害を受けた Adobe アカウントの一覧がインターネット上で公開されています。このリストにあるメールアドレスを弊社にて Evernote ユーザのメールアドレスと照合した結果、今回流出した Adobe アカウントの一覧に、お客様が Evernote のアカウントにご登録されているメールアドレスが含まれていることが判明しました。
Evernote の情報は漏洩しておらず、今回の問題には何ら関係はありませんが、もし Adobe と Evernote で同じパスワードをご使用の場合、Evernote のパスワード変更を強くおすすめします。
----------
この警告メールはとても助かりました。その時は同じパスワードを使用していたのですぐに変更しました。
#これ以降に全部のパスワードをMIRUPASSでの生成と管理に切り替えました。
Re: (スコア:0)
それ単なる不正アクセスだろ
Re: (スコア:0)
企業(管理者)からの申し出(許可)ならOKだろ
Amebaブログだと (スコア:0)
IDが丸見えだったと思うんだけど(IDがURLになってた、だいぶ昔に使ってたが、今は違う?)
IDがわかってしまうと他のサービスよりも狙われ易いだろうなぁって思ったことがある。
しかもブログを見れば誰かもわかるので、個人情報に近いパスワードを使っていると簡単にやぶれちゃうでしょうね。
心臓に悪い (スコア:0)
のは目が悪いからだろうか。
一瞬、Amazonに見えて青くなった。
Re: (スコア:0)
自分も空目してAmazonのパスワード変更した。