パスワードを忘れた? アカウント作成
11600709 story
情報漏洩

ヤマト運輸のクロネコメンバーズWebサービスに不正ログイン 44

ストーリー by headless
他猫 部門より
ヤマト運輸は26日、同社の会員制サービス「クロネコメンバーズ」のWebサービスで1万件を超える不正ログインが行われ、個人情報が閲覧された可能性があることを発表した(ニュースリリース時事ドットコムの記事)。

クロネコメンバーズは主に個人の利用者向けの会員サービス。25日15時~26日17時の間に特定のIPアドレスからの不正なログイン試行が約19万件確認されたため、同社では該当IPアドレスからのログインを遮断するなどの措置をとったという。不正ログイン件数は10,589件。閲覧された可能性があるのはクロネコID、メールアドレス、端末種別、氏名、電話番号、住所など。ただし、メールアドレスを登録していない会員に関しては、被害を受けた可能性はないとしている。

不正なログイン試行に使われたIDとパスワードは同社で使用していないものが多数含まれていたため、他社サービスから流出したIDとパスワードを使用したパスワードリスト攻撃である可能性が高いとみられる。なお、不正ログインの被害にあったクロネコIDは、パスワードを変更するまで使用できないようになっており、該当する会員には同社から個別に案内するとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年09月27日 14時39分 (#2683700)
    > 児童ポルノをダウンロードして逮捕された男、「これは猫がダウンロードしたんだ」と主張
    > 「猫がクリックした」ソフトウェアライセンス契約は有効?それとも無効?

    クロネコ関係ないやろ
  • by Anonymous Coward on 2014年09月27日 13時48分 (#2683683)

    ここまで使い回しのID、パスワード攻撃が続くと大手は狙われると思った方がいい。

    IDもパスワードもユーザが任意に決められるタイプのサイトだと、
    Google や Amazon 、 Apple ID あたりはどのように対応しているんだろう。
    真っ先に狙われそうなんだか。

    • by Anonymous Coward

      ハニーポット的に囮IDをメジャーサイトに定期的に仕込んでおいて、それが使われたらすぐアラートだすとかどうだろう?すでに実施されてるかな

    • by Anonymous Coward

      ログインに失敗したIPを記録して規定数以上失敗しているようであれば数時間ログイン拒否が一般的な対策。
      (15分間に5回失敗で1時間拒否とかなら、1IPで1日に試せる回数は単純計算で120回になるよね)
      +するならいつも利用している国とかホストとかユーザーエージェントと比較とかとか

      #1番良いのは2段階認証を強制することかな

      • by Anonymous Coward

        その対策方法くらいしか実用的なのはないか。あんまり制限を強くしすぎると同一のIPにたくさんのご家庭がぶら下がってるマンションとか、会社さんとか、アオリ食らって大変そう。

        まあ、20万回もの試行をたったの1IPで仕掛けてくるほうも何だかなとは思う。そして、それに耐えられてしまう強力なサーバがうらやますぃ。

        • by Anonymous Coward

          「特定のIP」であって1IPではなかった。勘違いで投稿申し訳ない。

    • by Anonymous Coward

      実害を考えると、アマゾンや楽天で勝手に買物してコンビニで受け取る感じですかね。
      ブックオフに転売するには身分証明書が要るし、ヤフオクは技術が要るし。

      たとえばチケットぴあはメールアドレスをIDにできますが
      すでに本名や電話番号が漏れてるとすると
      要らんチケットを大量に買ったところで転売は技術が必要なんですよね。

  • by Anonymous Coward on 2014年09月27日 14時29分 (#2683696)

    被害として考えられるのが
    ・住所氏名電話番号などが流出
    ・ポイントでもらえる景品をかっさらわれる
    ・登録情報をでたらめに書き換えられる
    ・到着前の荷物の配達先を変えて荷物を奪われる(?)
    ・荷物の受け取り頻度とかを監視しようと思えばできるような気がする

    このあたりかな。
    荷物を奪うのは可能かなぁ…、配達先変えて後の受取人チェックをどのくらいチェックしてるか次第かな

    • by newfuture (30517) on 2014年09月27日 15時10分 (#2683714) 日記

      今回の件に関係なく、荷物は玄関先に堂々と立ってれば簡単に奪えるような気がしてます。

      引っ越して間もないころのことですが、自宅前の道路で子供と遊んでいるときに玄関前に配達のトラックが止まりました。玄関に向かい歩きながら挨拶すると、何の確認もなく荷物を受け取れました。
      後に何度か同じようなことがあり、どこの会社も同じようです。

      # せめて玄関を開けるとこくらいは確認するべきでは?

      親コメント
      • by Anonymous Coward

        そういや家の前にヤマトの車が止まってた時に丁度帰宅が重なった事があったが、こっちが扉を開けるのを待ってから声をかけてきたっけな。
        ちゃんと確認してるドライバーと、横着なドライバーがいるんだろう。

      • by Anonymous Coward

        俺も何度もあるけど、必ず鍵を開けるところを確認していたよ。

    • by NAZZ (13040) on 2014年09月27日 22時52分 (#2683913) 日記

      とりあえずポイント使ってきた
      まあ今月末で消える分が結構あっただけとも言うけど

      荷物の配達/再配達は伝票番号が判ってないと変更できなかったはずだから
      個人的にはほとんど実害がないなあ

      親コメント
  • by Anonymous Coward on 2014年09月27日 17時44分 (#2683793)

    この記事見る直前にクロネコ再配達依頼出したわ

    普通にログインできたから大丈夫だったってことやね

    まー他のサイトと同一passは使ってないから大丈夫だけど

  • by Anonymous Coward on 2014年09月28日 13時09分 (#2684077)

    IDにmail addressしか使えないサービスってやめて欲しいわ

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...