ソフトバンクモバイルは30日、同社が顧客向けに提供しているポータルサイト「My SoftBank」に対し、2014年4月14日~28日にかけて特定IPアドレスからの第三者攻撃があったことを明らかにした。
今回の不正アクセスでは724件のログインに成功しており、顧客の氏名・携帯電話番号・固定電話番号・契約内容・利用状況の閲覧や不正にコンテンツが購入された可能性があるとしている。一方で、クレジットカード番号や口座番号と住所はマスキングされており、閲覧ができない状態であったとしている。対象の顧客には個別連絡を行った上で、My SoftBankのパスワードリセット措置を実施するとのこと。
今回の不正アクセスでは、いわゆる「ID・パスワードの使い回し」に起因する問題。例えば、とあるショッピングサイトにおいて利用しているIDとパスワードと、My SoftBankで利用しているものと同一にしていた場合、とあるショッピングサイトにおいて漏洩事故があれば、My SoftBankでログイン出来てしまうことになる。
こういった攻撃手法は年々増えており、特にオンラインゲームにおいてはID・パスワードを各ゲーム間で共有しているユーザーも多く、被害が多発していた時期があった。
サービスによってはSMSによる二段階認証を設けているものも多く、そういった安全措置を講じることが望まれる。
ソーシャルシェア
著者
サイト管理と記事の執筆を担当しています。ガジェットなら何でも食べる雑食。メーカーや技術方式にこだわらず、いろいろな製品をタッチ&トライ!
こればっかりはSoftbankが防ぎようもないからな
責められん
ということは、これ個人情報の宝庫であるキャリアに毎回攻撃すれば得だよね
なんで今回だけ明るみに出たんだ?
IDパスワードの管理めんどくさいから使い回しする気持ちはわかる
こういうの見るたびにIDとかパスワード変えないとなーって思うけど結局めんどくさくて変えないんだよなー…。
短時間に同一IPからの複数IDログインを禁止してなかったSoftBankが悪い。
そんなことを言い出せば全ての人を悪人にすることだってできてしまうな
言ってること分かるか?
お前のはただ責任を押し付けてるだけ
そんな制限入れたら、ケーブルテレビとかのNAT経由の正規アクセスに支障が出るんだけど。
botネット使われると、余裕で千を超える複数IPから攻撃きたりするし
IPSに引っかからないようにランダム性を持たせたりとか、当たり前のようにやってくるのだが
狙われたら、ほぼ何処も助からんだろ
狙われやすい状況を放置して居た場合でも無い限り、責めにくいんだよな
これは何処でも起こりうるからなあ
怖いなあ、嫌だなあ
パスワードを使い回してなければこれに関しては起こり得ないだろ
外部漏洩パスワードと、どうして断定できるの?
何処かから流失したのが出回ってるから、
そこのデータと照らし合わせれば一発やろ
ペーストBINとか見てると、知らなければよかったと思う様な
怖い情報とか出てくるわけで
ていうか、つい2ヶ月前である2月にも同様の不祥事があったというのにね。
外部漏洩に起因するというのは、2回もの漏洩に対する批判をかわすための言い訳に聞こえても仕方がない。
さすがにこれはSBじゃなくて顧客側の問題だろ
IE脆弱性とか新しいインターフェイスになったFirefoxとかは取り上げないの?
Tポイントの関係かいつの間にかYahooIDでもログインできるようになってたからそっちから漏れるのも怖いんだよな
ていうか2段階認証にしてくれ
Yahooと連携させなきゃいいんじゃない?
あまりメリットないし…
Heartbleedと関係あったりするのかな?
他社も発表してない(もしくは感知できてない)だけで同じことされてるんじゃないかね
最近パナソニックであったのと同じか
でもログインが必要なサイト毎にパスワードを変えるって
相当難しいよね
それを紙に書いて所持するってのもリスクあるし
何か良いやり方ないのかね
覚えればいいじゃん
毎日使ってりゃ一週間くらいで十数個のサービスのパスワードなんてすぐ覚えられるだろ
毎日使うようなサイトなら覚えられるだろうけど
たまにしかログインしないような所は無理や…
うーん、なら敢えて長くしてアナグラムするとか
俺は自分のフルネームをアナグラムにして語尾に@0とか123とかの記号部分をいくつか候補作っておいて使いまわしてる
十数個あっても組み合わせとしてかぶることもないし
まあホントにほとんど使わないようなアカウントならもうオフライン端末のメモ帳にでも書いとく方がいいかもね
1Passwordとかのパスワード管理ソフト使うとか
でもこういうのってこれが破られたら全滅するよねw
iCloudキーチェーン( ・`ー・´) + キリッ
定型のパスワードフレーズにサービス名自体を組み込んでしまえば
ある程度楽に管理できる
例えば、twitterならpass1234twitterというパスワードを
googleならpass1234googleといった具合に
ただしセキュリティは保証できないが
それに大文字小文字加えて微妙に変えたりしてる
TwitterならtwitTarとか
簡単な暗号を考えればいい
あいうえお⇒a1a2a3a4a5
みたいにね
いみふ。
使い回しを避けるため、今まで突き合った彼氏の名前をパスワードにすればOK
はいはい、面白くないから。
パスワードどころか登録したかすら覚えてないのがちょいちょいある(´Α`)