Hotmail、Yahoo!、Gmail で大規模なアカウントリークが発生 38
ストーリー by reo
フィッシングされたと気付けないのが一番恐ろしい 部門より
フィッシングされたと気付けないのが一番恐ろしい 部門より
あるAnonymous Coward 曰く、
Computerworld.jpの記事によれば、Hotmail のパスワードを含むアカウント情報が大量に公開されている事が確認されたそうだ。Microsoft の公式発表では「数千件」とされているが、Neowin.netによれば、Hotmail だけではなく @msn.com, @live.com なども含む 2 万件、もしくはそれ以上の規模になるとレポートされている。
原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。この規模はフィッシング被害としては最大規模の物になる。Microsoft ではこの件に関する QandA を公開するとともに、流出したアカウントを一時ブロックし、本来のユーザがアカウントを復旧する手段を提供すると発表している。
また、Trend Micro 社の Malware Blog の記事の続報によれば、上記の公開が行われたのと同じサイトでさらに Hotmail だけでなく Gmail、Yahoo!、Comcast、Earthlink のアカウントも公開されたという。SANS の Internet Storm Center Diary の記事によれば、これら人気のある Web メールのパスワードをすべて変更せよとのこと。
参考記事;パスワードの分析 (スコア:4, 興味深い)
盗まれたパスワードのリストが先週末にクリップボード・サイトの『PasteBin』に掲載された。
流出した1万件のうち、2000件近くのパスワードは、長さが6文字しかなかった。
最もよく使われているパスワードは「123456」だった
パスワードの42%では小文字の「a〜z」のみを使用
とのこと。
Re:参考記事;パスワードの分析 (スコア:2, 参考になる)
ちょっと前にfc2からパスワード変えろってメール [fc2.com]が来て、
変えようとしたらこれがまた何文字以上の英数字に加えて記号まで必ず使えという
ものすごい奴(私からすれば)で、まあそういう時代かということで
普段使っている他のサイトアカウントもまとめて変更したんですが、
記号がNGなところも多く文字数が8文字までのところもあるし
もーどうにも。パスワードの最低制限はある程度統一してくれないかナーと思った次第です。
# もちろん統一しない方がセキュアなことはわかってますが。
# gmailもまとめて変更したのにまたしろだって・・・!
SUZUKI,Ichiro (スコア:1)
その程度であれば、簡単ですよ。
パスワード チェッカー [microsoft.com]で判定すると、"SUZUKI,Ichiro"は「強」という結果になりました。因みに、","ではなくスペースで区切ると「中」になりました。"Jackson,Michael"は「最強」。
私は日本語入力に月配列を使いますが、それで自分の名前を打つと、意味のないアルファベットの文字列ができるものの、判定は「弱」でした。"Bill Gates"でさえ「中」なのに。
感覚的には納得いかないのですが、機械的にはそうでもないってことなんですかね。
Re:SUZUKI,Ichiro (スコア:2)
辞書単語に対するリスク評価はチェッカーによってばらつきがあります。
たとえば英単語の辞書しかもってないチェッカーは日本語のローマ字をランダム文字列とみなします。
リンク先のMSのサービスは辞書による評価を行ってないようですので
そこのリスクは利用者側で積んであげる必要があります。
ちなみにSUZUKI,Ichiroなんてパスワードはローマ字辞書を持ってるクラッカーに即破られます。
絶対に使ってはいけません。
Re:SUZUKI,Ichiro (スコア:1, おもしろおかしい)
>ちなみにSUZUKI,Ichiroなんてパスワードはローマ字辞書を持ってるクラッカーに即破られます。
R.Tanaka.Ichiroだったら大丈夫だね!
#キャラクター辞書とかアイドル、スポーツ選手等の辞書もあるそうな。
Re:参考記事;パスワードの分析 (スコア:1)
たかがフリーアドレスのどうでもいいアカウントだからではないですかね?
そのパスでクレジットで買い物が出来たり、
自分の口座から送金出来たりするような場合でもそうだとしたら、残念極まりないですが。
# 俺の銀行のログインパスは簡単です。
# 送金のパスは別なので他人にログインされても別にかまわないので。
Re:参考記事;パスワードの分析 (スコア:1)
他人にログインされて送金パスワードを三回ほど間違えてもらったら停止食らうと思うんですが.......。
変えろ、今すぐパスワードと認識を変えろ (スコア:0)
犯罪者にとっては残高だけでなく口座そのものにも価値がある。
マネーロンダリングやらオレオレ詐欺の送金先やらに使われて、意図せずとも犯罪の片棒担ぎ。
濡れ衣を着せられる前にパスワードを変えるんだ、今すぐ!
Re: (スコア:0)
話が反対で、そういうパスワードだからアカウントを盗めたんじゃないの?
Re: (スコア:0)
Re: (スコア:0)
サービス側の問題じゃないなら (スコア:3, すばらしい洞察)
> 原因は Hotmail がクラックされた訳ではなく、フィッシングによるものだとみられている。
だったら
× Hotmail、Yahoo!、Gmail で大規模なアカウントリークが発生
○ Hotmail、Yahoo!、Gmail のアカウントが大規模にリーク
だろ。Hotmail、Yahoo!、Gmail に共通の脆弱性でも発見されたのかと思いかねない見出しはどうかと思うぞ。
Re: (スコア:0)
Twitterの/.Jボットの見出しで知って、サービス側から漏れたのか!?と思い
「な、なんだってー!?(AAry」状態で記事を読んだら違ったという罠
#タイトルってホント重要ね
#でも逆に「サービス側から漏れた」と読み取れなかったらすぐには見なかったかもしれない
フィッシングじゃないじゃね?という意見も (スコア:3, 興味深い)
ありますよ。スパイウェアの可能性もあるようで。
Hotmail/Gmailアカウント流出、専門家がフィッシング攻撃説に疑問符
http://www.computerworld.jp/topics/vs/164189.html [computerworld.jp]
Re: (スコア:0)
知ってはおったのですが、 (スコア:3, 参考になる)
やっとこ時間がとれたので、パスワード変更しました。
また、この際、各パスワードがバラバラでランダムになるようにしました。
# アカウント管理をKeePassに移管できていたので、楽だった。
うーん、こういうこと見ると、ほんとうはOpenID(で、なにかトークンつかうようなの)+各サービスアカウントがいいんだけどねぇ
なかなか上手くはいかんね
# 複数のアカウント管理してると、パスワードは同じになりがちだし、変更も大変だ
安全と便利の両方があがるような技術革新がほしいところですね...
M-FalconSky (暑いか寒い)
YahooもGMailも (スコア:2, 参考になる)
これだけ大規模だと (スコア:2, 興味深い)
Re:これだけ大規模だと (スコア:1, すばらしい洞察)
パスワードを変更するためにアクセスした先が、ニセサイトというオチ...嫌すぎます。
でもすでにこのニュースを本文にしたフィッシングメールが流れていてもおかしくないのと、対象になったサービス向けは、さらにサービスからのお知らせを装ったものが流れるのは必至ですね。
# スパマーの仕事の早さは異常
これを機に (スコア:1, すばらしい洞察)
などという意味不明な制限を設けるのはやめましょう、どこぞのカード会社さん。
Re:これを機に (スコア:3, すばらしい洞察)
あと定期的な変更の強制もな。>どこぞの銀行さん
これをやると、回数を重ねていくうちに規則的な文字列になっていく人が多くなることに気付けよ。
Re: (スコア:0)
↓
そろそろパスワード変更しろ命令
↓
適当なパスワードに変更
↓
即座に元の簡単なパスワードを再設定
ということをしてるバカな僕。
何度も何度も変更してたら忘れちゃうんだもん。
毎回リマインダの世話になってた頃もあったなぁ。
Re: (スコア:0)
長くてランダムで他人には推測不能だけど自分は指が覚えたパスワードを設定
↓
そろそろパスワード変更しろ命令
↓
同じく覚えているもうひとつのパスワードを設定
↓
即座に元のパスワードに変更
Re: (スコア:0)
Re: (スコア:0)
変更することによって得られる安全度は
辞書攻撃などで既にそれまでにテストした文字列である場合安全だろうけど
そうでないなら同じですよね?
ブルートフォースくらってるなら通知してあげるってのが一番いいと思う。
困るの? (スコア:0)
アカウントのっとられて困るような用途に使う神経が理解できん。
Re:困るの? (スコア:2, 興味深い)
(Gmailはメール送信時にFromアドレスを登録した別アカウントに変更できる)
もしかしたら「ナイジェリアからの手紙」のようなスパムに使われているかもしれない。
という話を最近聞きました。
所詮フリーメールなんで、乗っ取られて困るようなクリティカルな用途に使う人は少ないでしょうが、
アカウントを悪用される可能性もあるということで。
#上記の件がほんとにスパムに悪用されたかどうかは分からないのですけどね
Re: (スコア:0)
>所詮フリーメールなんで、
所詮メールなんて、じゃないの?
自分の管理するメールサーバに圧倒的な自信があるならともかく
Re:困るの? (スコア:1)
>所詮メールなんて、じゃないの?
自分ではそう思っていても、会社で無条件に与えられて名刺に刷り込まれているメールアドレスに
クリティカルな情報がたくさん送りつけられてきます。
業界にも依ると思いますが、世間一般の認識はその程度です。たぶん。
なのでこれはパスが割れるor通信を盗聴されるとだいぶ困ります。
Re:困るの? (スコア:2)
msnはまだしも、gmailは被害甚大でしょう。
だって、AdWordsやAdSenseなどお金に直結する機能も同じID/PWで管理してるんだから。
他にも、会社をまたがるプロジェクトの管理にGoogle使ってる中小企業も少なくないから、マル秘情報まで漏えいするかも。
msnをメールのためだけに使ってる人は多いと思いますが、Googleをgmailだけのためにで使ってる人って少ないと思いますよ
Re:困るの? (スコア:1)
> アカウントのっとられて困るような用途
って言われても共通なんだからどうしようもない
eOpen - サイン イン [microsoft.com](ボリュームライセンスの管理とかです)
> このサイトを初めてご利用になるお客様は、Windows Live(TM) ID を
> 使用してサインイン名およびパスワードを登録する必要があります。
サインインを押した先 [live.com]
> 1 つの Windows Live ID で新規登録すると、Windows Live、MSN、
> または Microsoft Passport のどのサイトにもサインインできます。
Re:困るの? (スコア:1)
>アカウントのっとられて困るような用途に使う神経が理解できん。
これが結構あるんですよ
某中小企業でgmailを基幹メールと使うとかね。
もう、あほかと...小一時間なわけです。
Re: (スコア:0)
たとえ捨てアドだって漏れたらめんどくさい。
Re: (スコア:0)
よくわからんのだけど (スコア:0)
フィッシングってことはユーザが自分でアカウントとパスワードを入力したってことだよね?
なんか、流出というとサービス側に何か問題があったかのような印象を受ける。
リンク先が英語 (スコア:0)
リンク先が英語...MSの日本語でのアナウンスはないものか....orz
一方アレゲな人に対する一般人の反応 (スコア:0)
それ、なに?食えるの?旨いの?
脳的スローライフのススメ (スコア:0)
自前で乱数表を作って、数桁のキーだけを憶えるようにしました。
乱数表だけ盗まれても解読はできませんしね。
キーも忘れてたらID再発行します。
手続きのための数日の遅れは許容するようになりました。
生活に特に支障はありません。
唯一恐れているのは、口座を開設していたことを忘れてしまうことです。
#そんなお年頃ですもの