mixiで約1万7千件の不正ログイン、身に覚えのないつぶやきが投稿される 21
ストーリー by headless
流用 部門より
流用 部門より
ミクシィは2月28日、「mixi」のユーザーアカウントの一部で不正ログインが行われていたことを発表した(
ミクシィのお知らせ、
INTERNET Watchの記事)。
不正ログインが確認されたIDは16,972件で、28日2時45分~14時に発生。つぶやき(mixiボイス)に身に覚えのない投稿がされていたという。ミクシィによると、他社サービスから流出したアカウント情報が使われた可能性が高いとのこと。同社では不正なつぶやきを削除するとともに、不正利用者のアクセス制限、対象ユーザーへのパスワード変更の依頼などの対策を行ったとのことだ。mixiでは2月上旬にも同様のアカウント情報を使用したとみられる不正ログインが370件発生しており(ITmediaニュースの記事)、他社サービスと同一のパスワードを使用している場合や長期間パスワードを変更していない場合には、変更することを強く推奨している。
不正ログインが確認されたIDは16,972件で、28日2時45分~14時に発生。つぶやき(mixiボイス)に身に覚えのない投稿がされていたという。ミクシィによると、他社サービスから流出したアカウント情報が使われた可能性が高いとのこと。同社では不正なつぶやきを削除するとともに、不正利用者のアクセス制限、対象ユーザーへのパスワード変更の依頼などの対策を行ったとのことだ。mixiでは2月上旬にも同様のアカウント情報を使用したとみられる不正ログインが370件発生しており(ITmediaニュースの記事)、他社サービスと同一のパスワードを使用している場合や長期間パスワードを変更していない場合には、変更することを強く推奨している。
非SSL (スコア:2, 興味深い)
いつまで非SSL認証の入り口をDefaultにしておくんだ、ここは
http://mixi.jp/ [mixi.jp]
SSL認証ページもあるがデフォじゃあない
SSL認証で入ってもLogut時にでてくる再Loginページは非SSL認証のページ
Re: (スコア:0)
つい先日にページを改訂したか何かいじった時には、
SSLのページで入力しても非SSLのCGIにpostする記述になってましたよ。
Firfoxが非SSLに投げようとしているが良いのか?と警告を出してくれたから分かりました。
2~3日後に直りましたけど。
不正ログインが確認されたIDは16,972件 (スコア:1)
なのに、「他社サービスから流出したアカウント情報が使われた可能性が高い」か。
それなら同時期mixi以外でも似たような大規模な不正アクセスがあってもおかしくないんだけど、
mixi以外は知らないふりでもしているのか。
モデレータは基本役立たずなの気にしてないよ
Re:不正ログインが確認されたIDは16,972件 (スコア:3, 興味深い)
うちの知り合いも被害に会いましたが、他サービスと共通のパスワードにはしていなかったそうです。
但し、非常に簡単な(文字数の少ない)パスワードにしていたとのことで、mixiから漏れたというよりは
パスワードリスト攻撃+αみたいな併用があったのかなと想像しています。
純粋にパスワードリスト攻撃での不正ログイン件数が多いのであれば、最近になってパスワードリスト
攻撃の認識が一般にも浸透してきて利用中のサービスはパスワードを変えるようになっても、昔利用
してたサービスはそのままだからヒット率が高い、とかですかね?
Re:不正ログインが確認されたIDは16,972件 (スコア:1)
>それなら同時期mixi以外でも似たような大規模な不正アクセスがあってもおかしくないんだけど、
>mixi以外は知らないふりでもしているのか
もう少し、目を開けて世の中見ましょう。
2014年、他社で流出した情報を使われた恐れがある、となっているものを5分ほど検索した範囲。
http://scan.netsecurity.ne.jp/special/229/recent/%E4%B8%8D%E6%AD%A3%E3... [netsecurity.ne.jp]
はてな、ECカレント、JAL、Nifty
http://www.itmedia.co.jp/mobile/articles/1402/28/news147.html [itmedia.co.jp]
Softbank
http://itpro.nikkeibp.co.jp/article/NEWS/20140129/533262/ [nikkeibp.co.jp]
Stylife
Re: (スコア:0)
気づいてないだけじゃないの。
Re: (スコア:0)
はてなにしろ、昨年からいろいろ出てるよ。サイトのログイン画面に合わせて自動化ツール作ってるだろうから同時は無いかも
Re: (スコア:0)
あまりに大規模なんで他社のせいにしてるんじゃないですかねえ
Re:不正ログインが確認されたIDは16,972件 (スコア:1)
>あまりに大規模なんで他社のせいにしてるんじゃないですかねえ
それなんてMt.Gox?
長期間パスワードを変更していない場合には (スコア:0)
長期間パスワードを変更していない場合には、変更することを強く推奨している。
これは過去にパスワード情報が流出していて、オフラインアタックされている可能性があるということだろうか。
パスワード情報以外の個人情報などは大丈夫なのだろうか。
Re:長期間パスワードを変更していない場合には (スコア:2)
いくら言ってもユーザーは結構な割合でパスワードを使い回すし
使わなくなったサービスからアカウントを削除せずに放置する。
そうすると、放置したサービスからパスワードが漏洩したら
mixiのアカウントへの不正ログインに使われるかもしれない。
パスワードを使い回してても、使ってるサービス全てのパスワードを
定期的に変更すれば、放置してるサービスから漏洩した分については
不正ログインに使うことが不可能になるので、何もしないよりはマシ。
・・・なので定期的に変更することを呼びかけてるんじゃないかなぁと。
もちろんそんなユーザーが定期的に変更するとは思わないし
強制したらパスワードの強度が下がるだろうだけど。
Re:長期間パスワードを変更していない場合には (スコア:1)
「パスワードを定期的に変更しろ」というのは「うちは定期的にヤラれている」としか解釈のしようがない
Re:長期間パスワードを変更していない場合には (スコア:1)
そうは思わないけど、そう言っておけば「お知らせはしてました」と言い訳できるだろうな、という気はしてる。
mixi?パスワードなんて10年間一度も変えてない。
Re: (スコア:0)
mixiを忘れないでね
たまにはログインしてよ
ってことでは?
Re:長期間パスワードを変更していない場合には (スコア:1)
当時は広告やら何やらバックグラウンドで動くあれこれやらで酷く重かったのでシンプルかつ軽量なTwitterに軸足移したんですよね。
今書いてるこれと同じマシンなのにw。
これだったらまたmixi使ってもいいかなあ。
Re: (スコア:0)
まだmixiのアカウント持っている人いたんだ と驚き
ピンチはチャンスだ (スコア:0)
今なら何を書き込んでも、「身に覚えがない。アカウントを乗っ取られたせいだ」と主張すれば誤魔化せるんじゃね?
Re:ピンチはチャンスだ (スコア:1)
>今なら何を書き込んでも、「身に覚えがない。アカウントを乗っ取られたせいだ」と主張すれば誤魔化せるんじゃね?
「身に覚えがない。外部から攻撃されたせいだ」とごまかして逃げるのもIT系の定番になりそう。
サービス毎 (スコア:0)
サービス毎にメールアドレスを変えている俺はきっと勝ち組。
…いや本当はメルアドがspammerに流された時に特定するためだったんだけど、こういう利点もありそう。
無尽蔵にメルアドが作れるから成せる技。
Re:サービス毎 (スコア:1)
>無尽蔵にメルアドが作れるから成せる技。
千の仮面を持つメイル受信者というネタが sendmail.cf 職人の間には膾炙していましたね。
// わたしがその一人から実現方法を教わったのは15年位前。オチはない。
決済前のステマだから (スコア:0)
とか言ったら心配になってログインするだろ?
そしてスポンサーに対してアクティブアカウントの数を水増しするだろ?
決済前のステマだから