Microsoft、Hotmailの深刻な脆弱性を修正 21
ストーリー by headless
修正 部門より
修正 部門より
Microsoftは4月27日、Windows Live Hotmailのパスワード再設定に関する深刻な脆弱性を修正したことを発表した。この脆弱性を利用したとみられる攻撃によりHotmailアカウントがハックされ、スパムの送信に使われたといった報告が4月に入ってから相次いでいた(Microsoft Security Responceチームのツイート、
Ars Technicaの記事、
BBC Newsの記事、
本家/.)。
Hotmailのパスワード再設定機能では、登録した電子メールアドレスあてにトークンを含むリンクが送信される。しかし、トークンが正しく検証されていなかったため、任意のHotmail/MSNアカウントのパスワードを攻撃者が変更できる状態となっていた。この脆弱性をVulnerbility Labが発見したのは4月6日。20日に報告を受けたMicrosoftはすぐに修正を行ったとのことだが、すでに多くのアカウントが攻撃を受けた後だったという。
今回の修正に伴ってHotmailユーザーは特別な操作をする必要はないが、攻撃を受けたアカウントではパスワードの再設定が必要だ。ただし、再設定に必要な情報を攻撃者が変更している場合、回復が困難な状態になっている可能性もある。なお、アカウントが攻撃された形跡があっても以前のパスワードでログインできる場合(/.J記事)、別の方法で攻撃されたものとみられる。
Hotmailのパスワード再設定機能では、登録した電子メールアドレスあてにトークンを含むリンクが送信される。しかし、トークンが正しく検証されていなかったため、任意のHotmail/MSNアカウントのパスワードを攻撃者が変更できる状態となっていた。この脆弱性をVulnerbility Labが発見したのは4月6日。20日に報告を受けたMicrosoftはすぐに修正を行ったとのことだが、すでに多くのアカウントが攻撃を受けた後だったという。
今回の修正に伴ってHotmailユーザーは特別な操作をする必要はないが、攻撃を受けたアカウントではパスワードの再設定が必要だ。ただし、再設定に必要な情報を攻撃者が変更している場合、回復が困難な状態になっている可能性もある。なお、アカウントが攻撃された形跡があっても以前のパスワードでログインできる場合(/.J記事)、別の方法で攻撃されたものとみられる。
今さら発見? (スコア:1)
自分のHotmailに、身に覚えのないパスワード再設定のメールが毎日やってくきて何なんだと思って、再設定をキャンセルってリンクをクリックした日から
広告メールとか変な欧文サイトの登録メールがいっぱいやってきてめっちゃ緊張したことが2年前の経験
なぜかパスワードが変わられてなかったから速攻で変えてたんだが
次の日にまた再設定メールがやってくる
クレカ登録済みのXbox Liveアカウントにまで被害は及んでなかったのが不幸中の幸い
Re:今さら発見? (スコア:2)
これはマジレスしていいのかボケ返すべきなのか判断に困る ;^^)
Re:今さら発見? (スコア:1)
どっかのバカがアカウントを覚え違いしていて、コメ主のアカウントを自分のだと信じて、
そのメールアドレスを使っていろんな所に登録し、さらには
「あれ、ログインできないぞ。パスワード覚え違いかな? しかたない、再設定をポチッとな」
「あれ、メール来ないなぁ。しかたない、もう一度ポチ」
ってなことをやってた、というのに一票。
Re: (スコア:0)
#すると、ウチの会社のSE達が使っているPCも、あらかた疑わなきゃな。
あれほどHotmailは禁止だと言ったのに・・・
Re: (スコア:0)
凄い高度な釣り。
本当に釣りに見えない点が、凄腕。
Re: (スコア:0)
それ、ユニークなトークンの付いたURLだったんで、メアドをハーベスティングされたんじゃないの?
# と返していいのか判断に困る
Re: (スコア:0)
こういう人が標的型攻撃とかにあっさり引っかかるんだろうなあ…
スラドでコレなんだから世間一般の情報セキュリティ意識の低さはヤバイですよね
関連リンク (スコア:0)
GmailからHotmailへの移行を試したIT編集者、2週間で断念 の脆弱性の元ネタですか・・・
担当者首つらなければいいが・・・
#IT は地獄だな
Re:関連リンク (スコア:1)
攻撃者が変更できるとなっているから、違うんじゃないか?
英字7文字って所のほうが問題なような気がする。
Re: (スコア:0)
最後の1文からすると、別の話のようだね
Re: (スコア:0)
#ITを@ITに空目した。
※まぁ、あそこも運営はIT Mediaだし。
影響範囲 (スコア:0)
Hotmail のアカウントって今は Windows Live のアカウントと共通だよね。
ってことは、お金に関わる被害もあるはずだから、触れた方がいいような気がする。
Xbox Live, Games for Windows Marketplace, Windows Phone Marketplace くらいしか思いつかないけど。
Re:影響範囲 (スコア:1)
Re:影響範囲 (スコア:1)
Live ID じゃないのって、Office 365 だけかな。
よくあること (スコア:0)
Re:よくあること (スコア:1)
ありますね。
でも1通のメールでCCなりBCCで大量の宛先を指定されると、
例えば1日あたり1000通までと指定してCC/BCCを1通あたり
500件までとしていたら、トータルで50万件の宛先に送れて
しまいます。
ISP側できつめの制限かけると、それはそれでクレーム
入れてくるユーザーもいるので面倒っちゃ面倒ですね。
ユーザー自身で指定できる機能があったらすばらしいかも
知れないけど、一般的にspam送信に使われるユーザーが
その設定をすることはないですね。
他、アカウントのパスワードが漏洩していたら意味ないけど、
SMTP AUTHという手はあります。OP25Bでは基本的に
SMTP AUTHを実施しているので、それでかなり防げているはず。
Re:よくあること (スコア:1)
> でも1通のメールでCCなりBCCで大量の宛先を指定されると、
> 例えば1日あたり1000通までと指定してCC/BCCを1通あたり
> 500件までとしていたら、トータルで50万件の宛先に送れて
> しまいます。
例えばpostfixだと、確か時間あたりの送信制限は
smtpd_client_message_rate_limit で指定したと思うけど、これは
bcc/ccを含めた数のはずなので上記のようなことには
ならないですけど。
これか (スコア:0)
25日あたりにやられてオランダなIPアドレスからアドレス帳の宛先にspam一通送られたorz
Re: (スコア:0)
ひとつ前のストーリーの方か
ほらね (スコア:0)
MSのサービスで問題発生
→ユーザーが悪い
→ユーザーが悪い
→ユーザーの勘違い
→問題は確認されていません
→ユーザーが悪い
→ユーザーの勘違い
→ユーザーの勘違い
→修正シマシタ
→ユーザーが悪い
→ユーザーの勘違い
→直ってないじゃん
→ユーザーが悪い
→解決されてます
→解決されてます
→解決されてます
→ユーザーが悪い
→問題は確認されていません
→ユーザーが悪い
→直ってないって
→ユーザーの勘違い
→ユーザーが悪い
→ユーザーが悪い
・・・
・・・
いつものパターン
Re: (スコア:0)
> MSのサービスで問題発生
確かに、この長々と続くパターンは面倒ですね。
他社のように簡潔なパターンを見習うべきです。
Appleのサービスで問題発生の場合:
→「問題は確認されていません」で終了
Googleのサービスで問題発生の場合:
→「ご報告ありがとうございました」の受付確認メールで終了