ビックカメラ.com、ユーザーのパスワードをリセットしてサービス再開。しかしパスワードの変更は不可 77
ストーリー by hylom
まさかこうなるとは 部門より
まさかこうなるとは 部門より
あるAnonymous Coward 曰く、
不正アクセスによりユーザー情報が流出、そのためサイトを一時閉鎖していた通販サイトビックカメラ.comが、サービスを再開した。しかし、アカウントを登録していたユーザーに対しては安全性確保のためパスワードのリセットが行われ、新パスワードがメールで送られてきたのだが、そのパスワードでログインした後にパスワードの変更が行えないという、常識では考えられない運用になっている。
会員メニューによると、
下記の個人情報表示に制限を設けています。
段階的に、制限の解除を行っていく予定になっております。(現時点では未定です)
ご不便をおかけしますが、ご了承くださいませ。
万一、情報の変更が必要の場合、当社サポートセンターにご相談をよろしくお願いします。
[制限事項]
「登録内容の変更」:ご利用いただけません。
「パスワードの変更」:ご利用いただけません。
「住所録」:ニックネームのみの表示/変更・削除不可(追加登録のみ可能)。
「メールマガジンの変更」:登録メールアドレスの表示不可。(********@********で表示)
「ご購入履歴」:お届け先住所・氏名情報の表示不可。とのことで、メールでパスワードを送ってきたにもかかわらず、それが変更できないというまさに「これはひどい」状態。さっそく各所で話題になっているようだ。
ヘッダ (スコア:4, 興味深い)
送られてきているメールのヘッダ情報を確認したら、
送信元サーバがシエラ株式会社になっていて、
メールが本物なのか判断する材料がありません。
本当に恐ろしいことです。
Re:ヘッダ (スコア:3, 参考になる)
ビックカメラから届いたメールの送信元は support@cc.biccamra.com になっていて、送信元IPアドレスは s3806.siella.jp [59.106.105.182]
一方、Sender-ID/SPFでは、
と、パスしています。
とりあえず biccamera.com からのメールとして、なりすましではないと判断できるかと思います。
#MITM的に改竄されてないって保証はありませんけど…
Re:ヘッダ (スコア:2, 参考になる)
普段は「Received: from bsmtpホゲホゲ.biccamera.com」から送ってくるのに今回は「Received: from sホゲホゲ.siella.jp」だし、パスワードだけっつーのがねぇ。
登録している名前とパスワードで送ってくる、あるいは「今回のメールだけsiella.jpから送信します」とアナウンスしているならともかく、これじゃ信用ならないですね。
MUFGのネットバンキングでは (スコア:1)
一昔前のフィッシング詐欺の経験からでしょうが・・・
個人的にはIDやPWといった重要なデータを平文で送信しているのも気になりますねぇ。
作りかけ (スコア:4, すばらしい洞察)
「安全性強化のため [biccamera.co.jp]」などと戯言を言っていますが、どう見ても開発途中です。本当にありがとうございました。
(それとも、利用者に不便を強いることをセキュリティーと勘違いしているのでしょうか。そういう人、たまにいますけれど……。)
パスワードが変更できないのは問題ですけれど (ビックカメラのパスワードを間違えて別のサイトで入力してしまったら、即座にパスワードを変えたいのに、このシステムではそれができません)、それより根本的に、作りかけのシステムでサービス再開ってのは嫌ですね。
11月25日は株主総会 (スコア:1, 興味深い)
Re:11月25日は株主総会 (スコア:2)
なんと、そういうことですか。確かにそれはありそうです。
ビックカメラの株主総会の様子 [webry.info]を詳しくブログに書いてくれている人がいました。どの程度正確に書かれているかは知る由もありませんが、本件に関しては、
とあるだけでした。この程度で株主総会が荒れたりはしないみたいですね。
メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
パスワードをメールで送付していたのは知ってた [srad.jp]けど、まさかそのPWが変更不可だったとは知らなかった。
通勤の乗換え駅にビックのリアル店舗があるから、ちょくちょく消耗品の購入で利用し、そのつどポイントは全額使用するからネットショップの運営が杜撰でもオイラにたいした実害はないからいいけど…
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:3, 興味深い)
ちなみに、当初サイトトップ [biccamera.com]で「メールもしくはDM(ダイレクトメール)にて順次送付」 [gigazine.net]だったのが今は単に「順次パスワードを送付」と変更され、送付方法に関しては言及されてませんね。
さすがに、メールでパスワード送付する危険性を認識したのでしょうか?
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
リスク評価し利便性と天秤にかけたら受容かなと。
正直、何で通知されることを期待されていますかね。
ざっと考えても
1. httpsで渡す。渡す前の本人確認に完全性がない.
(すでにID/Passが漏れているから)
2. Mail + PGP を使う
メールアドレスにひもづくPGPのキーが手に入れば良いソリューションでしょう。
PGPの利用者がしれているので網羅性に欠ける。
3. 郵便やクロネコ便などで送付。
時間がかかるので利便性に欠ける。
電子メールの経路を盗聴されるのと、配達中に盗まれる、または悪意のある
郵便屋の中の人が覗き見る可能性のどちらがリスクがあるのか評価が必要。
ただし、圧縮葉書(というのかな)などは盗み見られたことを検知あすることは
電子メールよりアドバンテージがあると思われる。
4. Mail で平文
経路途中で盗聴される可能性がある。
5.電話で伝える
電話の発信元認証ができない(発信番号は偽造可能)。
口頭ではパスワードを聞き間違える可能性がある。
電話でも途中経路で盗聴される可能性はある。
6. 1-5を選択できるようにする。
選択させるときの本人認証が困難。
どうでしょうか。これならメールで平文もありかと考えています。
もっと良い方法があれば教えてほしいです。
なおパスワード変更できないと言う点はあり得ないと考えています。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, すばらしい洞察)
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, おもしろおかしい)
『弊社が全ての責任を負います!全額保障します!』宣言だと解釈すれば・・・・・・・
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1)
>『弊社が全ての責任を負います!全額保障します!』宣言だと解釈すれば・・・・・・・
固定パスワードなのだから、破られたらその設定を行った側に責がある..というのは、ちょっと無理だろうね。
安易なパスワードって、どこまでが安易?とか、そういった説明があのサイトにはなかったと記憶している。
Re: (スコア:0)
とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
#危険なパスワードに変更したユーザーの自己責任?それで商売になれば苦労はしない
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
「危険なパスワード」リストを作って、それと一致したら駄目にするとか?
ビックカメラのパスワード変更は「今のところ出来ない」だけのような気がするけど、違うのかな。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, 興味深い)
Re: (スコア:0)
>「今のところ出来ない」
そんな状態でサービス再開するな。変更できない間にメールから盗まれたパスワードで被害が発生したらまた弁償すればいいだけとでも思ってるのか?
吉田町立図書館メソッド (スコア:0)
では初めから全員危険なパスワードにリセット [togetter.com]しましょう。そうすればみんな平等です。
# 「パスワードを平文で保存するなんて頭おかしい(キリッ」とか言われて、システム移行時のパスワード引き継ぎのこととか何も考えないで「対策」に走るとこうなります。
# 何かをすればしないより常に無条件でマシなんてうまい話はそうそう転がっていません。
Re: (スコア:0)
・○文字以上必須
・数字を含む
・記号を含む
・大文字小文字の双方を含む
というパスワード以外には変更できないように設定する。
そしてユーザーから膨大な苦情と「パスワードわからなくなった」メールが……
Re: (スコア:0)
それにしても再開案内を見ててっきり、メール=ハガキで新しいパスワード送ったのかと思ってたらEメールかよ。
第三者機関という名のセキュリティ企業はそれでいいと思ったのか?
Re: (スコア:0)
>とはいえ安易に「危険なパスワード」に変更しちゃうユーザーの存在を考えるとどうするのが良いんだろうね。
・メールアドレスと同じ語句を含むパスワードは設定できません
・パスワードは5文字以上、20字以内でお願いします。必ず数字を入れてください。
みたいなこといわれるけどこのアカウントはさして重要でもないしカネもからんでないし最悪ハックされても文句言わないしそれよりそんな数字入れたりメアドと違えたりすると絶対忘れるんだけどなあ…ってことは時々あります。
五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
Re: (スコア:0)
> 五歳児を見守るママじゃないんだからユーザーの勝手に任せてくれてもいいと思うのだ。
あ・ま・い・!
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, 興味深い)
一般的にそういった類の「当方は一切責任を負いません」という規約は無効とみなされますよ。
たとえば「駐車場内で事故があった場合でも当方は一切責任を負いません」と書いてある駐車場でも、駐車場の構造に問題があった場合はそんなこと書いてあろうが無かろうが訴えられたら負けます。これも同じく「警告:あなたの入力したパスワードは推測されやすいパスワードです。このまま使用しても当方は一切責任を負いません」と書いたとしても「警告を出すほどに問題点を認識していたのに、利用可能にしたのだから過失がある」とかなんとか言われるのがオチです。
何かあった時には屁のつっぱりにもならんでしょう。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2, 興味深い)
>パスワード変更不可なんていうサイトはいくらでもある
不勉強ですみませんがショッピングサイトでパスワード変更不可のサイトを20個ぐらい例示してもらえませんか?
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, すばらしい洞察)
パスワードを人が送ってきたそのままで
使用しなきゃならんような"通販"サイトは
まず非常識だよね?問題だよね?
クレジットカード使ったり、住所を含めた個人情報を預けるのに。
Re: (スコア:0, すばらしい洞察)
似た事例としては、国保の保険証を普通郵便で発送する自治体の話かな (スコア:3, 参考になる)
国民健康保険の被保険者証の交付方法の改善について [soumu.go.jp]
予算がとれないからといって葉書を送ってきた希望者にだけ簡易書留で発送し、それ以外は普通郵便で送るアホな自治体もある。そのため札幌では盗難保険証が振り込め詐欺の口座開設書類に利用されたことがあったとか。不在時に郵便受けで盗難に遭って悪用された場合、金欠自治体がちゃんと補償してくれるのかどうか不安だ。
モデレータは基本役立たずなの気にしてないよ
まともなパスワードを設定できなかった会社もある (スコア:1)
話をパスワードに戻すけれど、クレジットカード情報どころか利用者の命を預かっているとある企業のオンラインチケット購入サービスでは、まともなパスワードが設定できなかったことがあります。
「クレジットカード情報を預けるんだから」とそれなりの強度に作ったつもりのパスワード(大文字小文字数字合計たった9文字)では「長すぎます」と蹴られ、「じゃあこれは」と作ったパスワード(小文字と記号わずか8文字)では「英数字のみにしてください」と蹴られました。
頭にきて「abcd1234」と入れたらそれで通っちゃったんでしばらくそれで使ってましたけれど、これってものすごく安易なパスワードですよね。
そういうリスクの高いところで使うために限度額の低い専用のクレジットカードを作って用心してたら、毎月きちんと引き落とし出来てたせいか、クレジットカード会社が勝手に限度額を上げてしまってなんのことやら。
# 勘弁してよJR○日本さん
Jubilee
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2, すばらしい洞察)
>そしてオレオレ視点だとは思いません。
それは例えがマンションだからじゃない?
たとえ話は論点がぼやけるから程ほどにね。
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:2)
>それは例えがマンションだからじゃない?
では、金庫。または財布。
現金に相当する金券の管理手段がメール送付なのだから、妥当なところでは?
Re: (スコア:0)
今回の件の例え話として完全に的外れなんだけど?
Re: (スコア:0)
>>マンションの管理会社が全住民に「全室の鍵を全て変更しました、新しい鍵は普通郵便で送りましたのでポストを確認してください。」と言われたら私なら不安です。
>今回の件の例え話として完全に的外れなんだけど?
そうですよね。マンションの鍵ならユーザーが交換すれば良いだけです 不安になる必要はありません
今回はそれが出来ないから問題になってるのに
Re: (スコア:0)
> マンションの管理会社が全住民に「全室の鍵を全て変更しました、新しい鍵は普通郵便で送りましたのでポストを確認してください。」
という例え話と「同じでは無い」と言う指摘をしているのに、間違った例え話で更に話を進めるとか馬鹿なの?
Re: (スコア:0)
加えて普通郵便の送り主が「○×管理会社」って手書きで書いてある状態で、
送り主が本物かどうかすらわからない状態ですね。
大きく騒ぎすぎだ、大した情報じゃないんだからという方々に質問なんですが、
ではなぜbicが数日間ものあいだサイトを閉じていたんでしょう?
bicは少なくとも、数日間の売り上げを捨ててでも対処しなければならない情報だと
認識しているように思いますが。
で、そんな対処したのに杜撰な解決方法とりやがった!
というのが今回の騒動(になりつつある)では?
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1, すばらしい洞察)
>恣意的なたとえ話は止めておけ。
たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
Re:メールでPW送付し「安全宣言」する企業の限界 (スコア:1)
>>恣意的なたとえ話は止めておけ。
>たとえ話は具体的な話を理解しない相手に対する自説への誘導として用いられるので恣意的でないたとえ話は存在しない
いやいや、恣意的でないたとえ話は存在し得るでしょう。
たとえば、その例えが一般的に広く使われているようなケースです。
パスワードまで同じ内容だったりして… (スコア:2, 興味深い)
ビックカメラ.comが勝手にパスワード変更してメールを送りつけてきた! [zapanet.info]というブログを読むと,
とあります.
本文に誰宛か書かれていないようですが,パスワードまで同じ文章が登録ユーザー全員に送られていたりして?
さすがに,そんなことは無いですよね.
kero
Re:パスワードまで同じ内容だったりして… (スコア:5, 興味深い)
私は実店舗でしか買い物をしたことがないので、いつの間にか作ったらしいログインIDも思い出せないわけですが、
ただ送られてきたパスワードに bic が含まれていたので嫌な気分でした。
Re:パスワードまで同じ内容だったりして… (スコア:3, 参考になる)
>ただ送られてきたパスワードに bic が含まれていたので嫌な気分でした。
あ、入っていないから全部同じではないのかな。
Re:パスワードまで同じ内容だったりして… (スコア:1)
同じくパスワードに"bic"は含まれていませんでした。
ってことで全部一緒では無いに1票。
#11月21日がポイント有効期限だったんだよなー
##1月まで延びたけど
☆大きい羊は美しい☆
Re:パスワードまで同じ内容だったりして… (スコア:1, おもしろおかしい)
Re: (スコア:0)
まだパソコン通信が黎明期だった頃、ascii netではデフォルトパスワードが8種類しかなかったそうな。
料金未納でアカウントを止められた人がそれを知っていたため、デフォルトパスワードのままの人のアカウントでログイン(成功確率1/8)し、
アカウントファイルを書き換え(一般ユーザでそれができたらしい)て、自分のアカウントを復活させたとかなんとか。
25年近く前とはいえ、こういうこともあったらしいので安心してはなりません。
# 真偽のほどは不明。
退会できました。 (スコア:2, 参考になる)
退会できました。
通知されたパスワードでログイン→会員メニューから退会→何度か確認されるが退会を選ぶ→ログアウト&再ログイン不可となりました。
Re:退会できました。 (スコア:2, 興味深い)
でもそれ、「退会フラグが立ってるだけでデータは残ってる」可能性が否定しきれない気が。
「再登録があるかもしれないから念のため残せ」という「えらいさん」は実在するので。
まだ誰も書いていないな (スコア:1)
各所で話題 (スコア:0)
特定一か所しか例示していないが
(ここではそれで十分だが)
Re: (スコア:0)
”ビックカメラ パスワード 変更” [google.co.jp]でググッたら約 102,000 件ヒットするので母集団としては十分でしょう。
Re: (スコア:0, おもしろおかしい)
それがすべて/.jだったらどうしようかと恐る恐るリンクをクリック...
それは、ビックに限らず (スコア:1)
明らかにファイル共有ソフトから手に入れたであろう
動画や、音楽等を堂々と流してたやうな。
海外のAppleストアでも問題になったよね。
店舗スタッフが私有ファイル持ち込んで
再生してるとこなんて腐るほどあるし。
ま、違法コピーらしきファイルを見かけたら、
写メをとって著作権者のいる会社の法務部辺りに
チクってあげましょう。非常に感謝されます。
Re:各所で話題 (スコア:1, すばらしい洞察)
それは情報リテラシーではなくコンプライアンスの問題でしょう。