パスワードを忘れた? アカウント作成
11135811 story
プライバシ

Amebaでも他社サービスから流出したIDとパスワードを使用したとみられる不正ログインが発生 25

ストーリー by hylom
誰もが狙われる時代になったのか 部門より
headless 曰く、

サイバーエージェントは23日、同社が運営する「Ameba」で他社サービスから流出したIDとパスワードを使用したとみられる不正ログインが38,280件発生したことを発表した。Amebaでは昨年にも同様の手口とみられる不正ログインが発生している(サイバーエージェントの告知INTERNET Watchねとらぼ)。

不正なログイン試行は19日17時27分~23日8時36分にかけて計2,293,543回行われ、そのうち38,280件のIDで不正ログインが成功。攻撃は断続的に発生していることから、件数は変動する可能性もあるという。不正ログインされたIDではニックネーム、メールアドレス、生年月日、居住地域、性別などの登録情報および仮想通貨「アメゴールド」「コイン」の履歴情報が閲覧された可能性がある。ただし、住所や電話番号などは流出しておらず、登録情報の改ざんや仮想通貨の不正利用もないことを確認済だとしている。なお、一部サービスで利用するクレジットカード情報については同社のシステムでは保有していないとのこと。

同社では不正ログインされたIDのパスワードをリセットしており、パスワード再設定などの案内を個別にメールで連絡しているとのことだ。また、今回不正ログインを受けたかどうかにかかわらず、他社サービスと同一のID/パスワードの組み合わせを使用しているユーザーや、推測されやすいパスワードを使用しているユーザーに対し、パスワードの変更を呼び掛けている。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年06月25日 23時37分 (#2627869)
    どうでも良いサービスにユーザ登録するときは、IDもパスワードもランダムな文字列にしてあるから完璧に安全。

    …ただし、もちろん覚えていられないのでHDDにパスワード.txtが置いてある。
    • そのtxt捨てていいです。
      毎回「パスワードを忘れた方はこちら」を押せばすむので。

      親コメント
    • by Anonymous Coward

      銀行がワンタイムパスワードアプリやトークン配ってるくらいだしそれでいいんだろう

      結局パスワード書いた紙とたいして変わらないよね?

      • by Anonymous Coward

        まあ理屈の上では「通信できない別媒体」もしくは「別のID/Passwordで管理された中」にあるのが望ましいので、
        webで使うパスワードは生テキストのファイルに書いてあるよりはPC外の紙に書いてある方がマシではあるでしょうね。

        でも「マシ」って言い方は、例えば「マイドキュメントやデスクトップにあるよりは、c:直下に自分で作成したフォルダに入れてる方がマシ」とか「パスワード.txtよりは今日のおやつ.txtの方がマシ」という言い方もできちゃうのが何だな。
        「マシ」と「たいして変わらない」はたいして変わらないと言われたら反論できない(笑)

        • by Anonymous Coward
          >まあ理屈の上では「通信できない別媒体」もしくは「別のID/Passwordで管理された中」にあるのが望ましいので、

          そう考えたのでスマートフォンは使わずにKING JIM のMIRUPASSを数ヶ月前から使ってます。
          内容編集のためPCとの接続時にもマスターパスを入力しないとPCが認識できず、データはMIRUPASS本体から編集時読み出し-終了時書き込み、PCに保存できるのは暗号化されたバックアップデータのみで「使い勝手が悪すぎないように、使い勝手に力を入れて情報流出の原因を作らないように。」とのバランス調整に神経を使ったであろうことがありありと分かります。

          今は確実に覚えてるのはパスタ-パスのみで他はサービスごとに英大小・数字組み合わせの10桁をMIRUPASSで発生させた物に置き換えました。
  • by Anonymous Coward on 2014年06月25日 19時31分 (#2627775)

    今まで流出元って明らかになっていないよね?

    • by Anonymous Coward

      今までどっかでもれたIDとPassのペアだろ

      分かるとしたら、該当者が「**のサービスと同じIDとPass使ってました!」ってtwitterにでも書けば分かるんじゃね?

      • by Anonymous Coward

        確実に分かるとすれば、該当者が「**のサービスと同じIDとPass使って侵入ました!」ってtwitterにでも書けば分かるんじゃね?

        # twitter ならそういうのもありえるかも

    • by Anonymous Coward

      〜 うちじゃない どこかで 〜

    • by Anonymous Coward

      ちなみにそれは重要な事なんだろうか。いや揚げ足取りじゃなくて。
      パスワード流出自体は既報の所で、今は会社名が伏せられてるってこともあるのかなと。

      「他社サービス」って、ある程度パスワードの入手経路を特定してる言い回しに聞こえる。

      • by Anonymous Coward
        完全に同じパスワードを使い回しているユーザーがいる一方で、パスワードを忘れにくくするために、
        パスワードの全体、あるいは、一部にサービス名を使っているユーザーもいるでしょうね。

        そうすると、不正なログインがあるということで、
        ログイン関連のパケット履歴を眺めていれば(そんなことが許されるのかどうかは別問題)、
        他社サービス名のパスワードがあることが分かったみたいな。

        一方で、そんな方法でログイン試行を監視して、流出元のサービスが分かりましたとは言えないですよね・・・。
      • by Anonymous Coward

        分かればそこのユーザで他の所に使いまわししてる人に確度の高い危険さが注意喚起が出来るだろうけど、流出元は上を下への大騒ぎになるな

        リストが1箇所からの物だとすれば数百万件単位以上(ニコニコとはてなへのログイン試行回数から)だろうし、
        既報のうちのどこかならパッと思いつく心当たりは3つか4つくらいあるかな

    • by Anonymous Coward

      A社で流出したものが、B社で悪用され、、
      B社で流出したものが、C社で悪用され、
      C社で流出したものが、A社で悪用され、
      A社・B社・C社が揃って「他社で流出したものが使われた!」と叫んでいる

      なんてことはないよな?

      • by Anonymous Coward

        ありうるんじゃない?
        OpenIDみたいなマネして
        他社のアカウントで認証できるサービスとかもあるし。

        これだけ大量だとパスワード使い分けてる人でも流出経路という点で安全ではないな

    • by Anonymous Coward

      自社の会員IDに紐付かないログイン試行が一定数以上あれば
      他社から漏れたリストと言えるんじゃないかしら。

    • by Anonymous Coward

      2ch、PSN、Adobe等、結構いろいろ明らかになっていたはずですが。
      とはいえ、攻撃者がどこの流出元の情報を元に攻撃しているかは、攻撃を受けている側からは知りようがない。
      まぁ、IDに○○PSNとか○○adobeとかが使われていれば、流出元は分かるのだろうけれど、
      それを公開してしまうのはメリットデメリット両方あるのではばかられるのでしょう。

  • by Anonymous Coward on 2014年06月25日 20時33分 (#2627796)

    heartbleedと何か関連があるのでしょうか?

    • by Anonymous Coward on 2014年06月25日 21時36分 (#2627827)

      ほぼないと思われます。

      heartbleedでパスワードを頑張って抜けないことはないだろうけど、効率が悪すぎるので。

      heartbleedってサーバのメモリ上のデータでガチャをやる話なので、 根気よく大量のheartbeatアクセスを繰り返して意味のあるデータがポツリポツリ抜けることがあるかも知れないし それが運よく生パスワードだったらいいねという、投入する労力・計算資源に対して得られるものが少ない方式です。

      そんなことをしている間にPOPだとか適当なWebサービスにボットネットからのリバースブルートフォースをかけてみたり、 あるいはスマホ用のマルウエアでも撒いたりすれば脆いID/パスワードの組が割とザクザク採れるでしょう。

      親コメント
  • by Anonymous Coward on 2014年06月25日 20時54分 (#2627805)

    1. 流出パスを蓄積
    2. 定期的に流出パスで入れるかチェック
    3. 入れたら本人側の変更確認を取れるまでアカウント停止を示唆

    ってなチェック機関というか団体作れないのかね。
    プライバシーマークみたく企業からの申請形式にして。
    運営は、加入料や過去に漏らした企業の懲罰金からで。

    • by aruefu (34582) on 2014年06月26日 17時13分 (#2628348) 日記
      Adobeから流出があったとき、数日後にEvernoteから次のようなメールが来ました。(前半部のみ抜粋)

      ---------- 

      件名: Adobe社の個人情報流出問題に関する重要なお知らせ

      先日、Adobe 社のネットワークが攻撃され、メールアドレス、Adobe パスワード、パスワードヒントを含む数百万人分もの個人情報が流出した可能性があるとの報道がありました。 そして、被害を受けた Adobe アカウントの一覧がインターネット上で公開されています。このリストにあるメールアドレスを弊社にて Evernote ユーザのメールアドレスと照合した結果、今回流出した Adobe アカウントの一覧に、お客様が Evernote のアカウントにご登録されているメールアドレスが含まれていることが判明しました。

      Evernote の情報は漏洩しておらず、今回の問題には何ら関係はありませんが、もし Adobe と Evernote で同じパスワードをご使用の場合、Evernote のパスワード変更を強くおすすめします。

      ---------- 

      この警告メールはとても助かりました。その時は同じパスワードを使用していたのですぐに変更しました。

      #これ以降に全部のパスワードをMIRUPASSでの生成と管理に切り替えました。
      親コメント
    • by Anonymous Coward

      それ単なる不正アクセスだろ

      • by Anonymous Coward

        企業(管理者)からの申し出(許可)ならOKだろ

  • by Anonymous Coward on 2014年06月25日 22時17分 (#2627847)

    IDが丸見えだったと思うんだけど(IDがURLになってた、だいぶ昔に使ってたが、今は違う?)

    IDがわかってしまうと他のサービスよりも狙われ易いだろうなぁって思ったことがある。
    しかもブログを見れば誰かもわかるので、個人情報に近いパスワードを使っていると簡単にやぶれちゃうでしょうね。

  • by Anonymous Coward on 2014年06月26日 9時39分 (#2628003)

    のは目が悪いからだろうか。
    一瞬、Amazonに見えて青くなった。

    • by Anonymous Coward

      自分も空目してAmazonのパスワード変更した。

typodupeerror

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

読み込み中...