「パスワード」カテゴリーアーカイブ

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思いま...

はてなブックマーク - 第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会 はてなブックマークに追加

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会

第595号コラム:上原 哲太郎 副会長(立命館大学 情報理工学部 教授) 題:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 皆さんの組織でも、重要な情報を含むファイルをメールで外部に送付する際に、その漏洩防止等のため、何らかのルールを設けておられるところが多いのではないかと思いま...

はてなブックマーク - 第595号コラム:「私たちはなぜパスワード付きzipファイルをメール添付するのか」 | コラム | デジタル・フォレンジック研究会 はてなブックマークに追加

GPUでZIPパスワードを解析する – Qiita

GPUでZIPパスワードを解析する - Qiita

GPUでZIPパスワードを解析する - Qiita

企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要...

はてなブックマーク - GPUでZIPパスワードを解析する - Qiita はてなブックマークに追加

GPUでZIPパスワードを解析する – Qiita

GPUでZIPパスワードを解析する - Qiita

GPUでZIPパスワードを解析する - Qiita

企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要...

はてなブックマーク - GPUでZIPパスワードを解析する - Qiita はてなブックマークに追加

GPUでZIPパスワードを解析する – Qiita

GPUでZIPパスワードを解析する - Qiita

GPUでZIPパスワードを解析する - Qiita

企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要...

はてなブックマーク - GPUでZIPパスワードを解析する - Qiita はてなブックマークに追加

ラクマ不正ログインとその後の高額取引についてまとめてみた

2019年10月頃*1より、Twitterやブログへラクマの不正ログイン被害の報告が複数投稿されています。不正ログイン後に、第三者により高額取引や売上金振込が行われたとする報告もあります。ここではこれらの報告内容をまとめます。
2019年6月以降、運営会社の楽天から不正ログイン発生についての報告や注意喚起などは出ていない*2ため、非公式の情報をソースとしている点に留意ください。

ラクマ不正ログイン後に起こること

f:id:piyokango:20191112173128p:plain

  • 報告されている内容より不正ログイン後に起こることは主に3つ。
  1. 被害アカウントの情報の書き換え
  2. 被害アカウントが保有する楽天キャッシュ/ポイントの利用
  3. 被害アカウントの保有する売上金の出金
(1) アカウント情報書き換え
  • 不正ログイン後にアカウントの情報が第三者のものに変更される。*3
  • メールアドレスも変更されるため、ラクマアカウントへ元の情報を使ったログインができなくなる。但し、連携済みのサービス(楽天ID)からログインは出来る。
  • 勝手に変更される主な情報
    • 氏名(カナを含む)
    • 郵便番号、住所
    • 電話番号
    • 銀行口座
    • メールアドレス
(2) 楽天キャッシュ/ポイントの利用
  • 楽天キャッシュ・ポイントを使ってラクマに出品されている商品が購入される。
  • 売上金を楽天キャッシュに変換されて購入される場合もある。*4
  • *5 *6や靴、椅子等で数万円の高額設定品の購入手続きが行われ、取引が成立する。*7 *8
  • 取引相手とは「ご愛顧ありがとうございます。」「これで取引は完了です。」といったメッセージがやり取りされる。*9 「山口組の小次郎」と名乗り、触れ回るとトラブルを招くと脅迫するようなメッセージを受けたという投稿もある。*10
  • アカウント保有財産全てが使われるため、人によっては数万~数十万の被害*11 *12 *13 *14 *15が報告(解決済のものを含む)されている。中には80万超の被害(既に解決済)のケースもある。
(3) 売上金の出金
  • (1)で変更された内容を受け、第三者の銀行口座宛に売上金の振り込み申請が行われる。
  • 不正アクセス元が行ったとみられる振込申請を受けて、システムより自動的に本人確認の書類提出依頼が届く
  • これにそのまま答えてしまうと出金が完了してしまう場合がある。

不正ログイン原因の言及確認できず

  • piyokangoが確認した限りでは、不正ログインを受けた被害原因を言及している投稿は確認できず。(例えばパスワードを使いまわしていた等)
  • ラクマは電話番号認証を提供しているが、出品やコメント投稿時に要求されるものでログイン機能には対応していない。

f:id:piyokango:20191112170038p:plain
設定後もログイン時に要求されることはなかった

f:id:piyokango:20191115062734p:plain
アプリで表示されるお知らせ

被害を受けたら運営へ連絡

  • 被害後はサポート窓口へメールsupport@fril.jpへ連絡する。
  • ラクマ側と連絡が付き確認が取れればラクマアカウントの復旧はすぐに行われる。
  • 被害が発生していたのかは不明だが、楽天IDも同様に楽天から停止される場合がある。
  • 被害金額の補填に関してはラクマの利用規約では管理不十分の場合は以下の記述がある。

第4条(ログインIDとパスワードの管理等)

2. ログインIDおよびパスワードの管理不十分による情報の漏洩、使用上の過誤、第三者の使用、不正アクセス等による損害の責任はラクマ会員が負うものとします。万一、ログインIDおよびパスワードが不正に利用されたことにより当社に損害が生じた場合、ラクマ会員は当該損害を賠償するものとします。

  • ポイント等の補填対応は投稿を見る限り行われている。但し個別対応とみられ解決に時間を要している人もいる。

更新履歴

  • 2019年11月13日 AM 新規作成
  • 2019年11月15日 AM アプリ内の注意喚起が行われていたため記事を修正

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しない...

はてなブックマーク - セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞 はてなブックマークに追加

クロネコメンバーズの不正ログインについてまとめてみた

2019年7月24日、ヤマト運輸は同社のサービス「クロネコメンバーズ」のWebサービスに対し、不正ログインの被害があったことを発表しました。ここでは関連する情報をまとめます。

被害の状況

不正ログイン件数 3,467件
不正ログイン試行件数 約3万件
不正ログイン試行期間 2019年7月22日夕方~24日朝
試行件数あたりの不正ログイン成功率 約10%
  • サービス登録者数は約2800万人。
  • 調査を通じてリスト型攻撃による不正ログイン被害と発表。
  • リスト型攻撃と判断したのは試行されたID、パスワードが同社のサービスで使用されていないものが多数含まれていたため。
  • ヤマト運輸は個人情報の悪用や金銭などの被害は確認していない。
  • 不正ログインが確認された利用者へはメールにて連絡。パスワード変更を必要とする措置を実施。
  • 2014年に同様の攻撃を受けたがその時の被害件数は約1万件。
  • 今回の被害対象にメールアドレス非登録者は含まれていない。

不正ログインにより以下の情報が盗み見られた可能性がある。

  • クロネコID
  • メールアドレス
  • 利用端末種別(パソコンまたは携帯・スマートフォン)
  • 氏名
  • 電話番号
  • 性別
  • 郵便番号、住所
  • クレジットカード情報(番号下4桁・有効期限・カード名義)
  • アドレス帳情報(氏名・住所・電話番号)

インシデントタイムライン

日時 出来事
2019年7月22日夕方 クロネコメンバーズに対して不正ログインの試行が始まる。
2019年7月23日昼頃 ヤマト運輸が特定のIPアドレスからの不正ログイン試行について認知。
不正ログインを試行するIPアドレスを遮断。
2019年7月24日 ヤマト運輸が不正ログイン被害を発表。

piyokangoが気になる事項

  • 大量アクセス時に自動遮断する仕組みが導入されていたが今回は機能しなかった。*1
  • IDは登録済か確認する機能が存在するが、発表には「使用されていないID(およびパスワード)が含まれていた」とあり、スクリーニング用途に悪用されたかは不明。

f:id:piyokango:20190727035035p:plain

  • 二段階認証はPC向けのサイトのみ有効で、スマホ向けsmp-cmypage.kuronekoyamato.co.jpや携帯向け9625.jpでは設定後も二段階認証は行われない。
  • 二段階認証の設定は既定で無効。今回の事案においても推奨項目に含まれていない。

f:id:piyokango:20190727035222p:plain

更新履歴

  • 2019年7月27日 AM 新規作成

クロネコメンバーズの不正ログインについてまとめてみた

2019年7月24日、ヤマト運輸は同社のサービス「クロネコメンバーズ」のWebサービスに対し、不正ログインの被害があったことを発表しました。ここでは関連する情報をまとめます。

被害の状況

不正ログイン件数 3,467件
不正ログイン試行件数 約3万件
不正ログイン試行期間 2019年7月22日夕方~24日朝
試行件数あたりの不正ログイン成功率 約10%
  • サービス登録者数は約2800万人。
  • 調査を通じてリスト型攻撃による不正ログイン被害と発表。
  • リスト型攻撃と判断したのは試行されたID、パスワードが同社のサービスで使用されていないものが多数含まれていたため。
  • ヤマト運輸は個人情報の悪用や金銭などの被害は確認していない。
  • 不正ログインが確認された利用者へはメールにて連絡。パスワード変更を必要とする措置を実施。
  • 2014年に同様の攻撃を受けたがその時の被害件数は約1万件。
  • 今回の被害対象にメールアドレス非登録者は含まれていない。

不正ログインにより以下の情報が盗み見られた可能性がある。

  • クロネコID
  • メールアドレス
  • 利用端末種別(パソコンまたは携帯・スマートフォン)
  • 氏名
  • 電話番号
  • 性別
  • 郵便番号、住所
  • クレジットカード情報(番号下4桁・有効期限・カード名義)
  • アドレス帳情報(氏名・住所・電話番号)

インシデントタイムライン

日時 出来事
2019年7月22日夕方 クロネコメンバーズに対して不正ログインの試行が始まる。
2019年7月23日昼頃 ヤマト運輸が特定のIPアドレスからの不正ログイン試行について認知。
不正ログインを試行するIPアドレスを遮断。
2019年7月24日 ヤマト運輸が不正ログイン被害を発表。

piyokangoが気になる事項

  • 大量アクセス時に自動遮断する仕組みが導入されていたが今回は機能しなかった。*1
  • IDは登録済か確認する機能が存在するが、発表には「使用されていないID(およびパスワード)が含まれていた」とあり、スクリーニング用途に悪用されたかは不明。

f:id:piyokango:20190727035035p:plain

  • 二段階認証はPC向けのサイトのみ有効で、スマホ向けsmp-cmypage.kuronekoyamato.co.jpや携帯向け9625.jpでは設定後も二段階認証は行われない。これは同社のFAQでも説明が行われているものでアプリも対象に含まれている。

f:id:piyokango:20190729065509p:plain
(二段階認証の有効対象を説明するページ)

  • 二段階認証の設定は既定で無効。今回の事案においても推奨項目に含まれていない。

f:id:piyokango:20190727035222p:plain

更新履歴

  • 2019年7月27日 AM 新規作成
  • 2019年7月29日 AM 二段階認証について追記

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー – @IT

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT

@ITセキュリティセミナー:徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」 サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に...

はてなブックマーク - 徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT はてなブックマークに追加

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? – GIGAZINE

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE

by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワー...

はてなブックマーク - セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE はてなブックマークに追加

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では...

はてなブックマーク - 7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル はてなブックマークに追加

高木浩光@自宅の日記 – 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンス...

はてなブックマーク - 高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) はてなブックマークに追加

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さ...

はてなブックマーク - オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを はてなブックマークに追加

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

パスワードを忘れたユーザを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検討する必要があります。 IPAのセキュリティプログラミング講座では、パスワード...

はてなブックマーク - 平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com はてなブックマークに追加

7payの不正利用についてまとめてみた – piyolog

7payの不正利用についてまとめてみた - piyolog

7payの不正利用についてまとめてみた - piyolog

セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 www.7pay.co.jp (セブン&アイHDサイト掲載のPDF) www.7card.co.jp 同日公開していた注意喚起(現在は削除、ア...

はてなブックマーク - 7payの不正利用についてまとめてみた - piyolog はてなブックマークに追加

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 2019.07.03 キャッシュレス 7id, 7pay, omni7, オムニ7, セブンイレブン 今7payの不正利用の話が広まってますが、そもそも原因として出ていたのが7iDのパスワード再発行がセキュリティ的に最悪なこと。 そもそもパスワード変更なん...

はてなブックマーク - 7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき はてなブックマークに追加

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。

Googleの発表

cloud.google.com

  • この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。
  • 無料のGoogle アカウントへの影響はない。
  • 2つの問題が確認され、いずれも修正されている。
  • 問題を悪用した兆候は確認されていない。
確認された2つの問題
No 発生原因 保存内容 影響期間
問題① 管理コンソールのパスワード設定・復元機能バグ パスワード平文のコピー 2005年以降
(問題のツールは削除済)
問題② ユーザーサインアップ時の暗号化された内部システムへの誤保存 パスワード平文の一部 2019年1月以降
(保存は最大14日間)
  • Googleは問題①を2019年4月に確認。
  • さらに問題①の対応中に問題②の不具合を2019年5月に確認。
  • それぞれの問題の影響を受けたユーザー数は不明。
  • Googleはデータ保護当局へこの問題を報告済み。*1

強制リセットの案内

  • G Suiteの管理者宛にこの問題に対する連絡が行われている。
  • メールは日本時間で2019年5月21日 6時頃に届いたとみられる。
  • 影響を受けた問題に応じた文面で通知される。確認した範囲では英文のみ。
  • メールの件名は「Google Customer Alert」
  • 問題①の影響を受けた場合は以下の対応が案内されている。
対象 強制リセット予定日 対応内容
シングルサインオンユーザー 2019年5月22日 パスワードをランダムな文字列に変更しリセットする。
他のユーザー、管理者 2019年5月29日 5月22日にセッションを終了させ、次回ログイン時にパスワード変更を案内。
29日までにパスワード変更が行われていない場合は強制リセット。(管理者を除く)
  • 問題②の影響を受けた場合は、ユーザーの種別関係なしに22日にログアウト、29日までに対応が取られない場合は強制リセットの措置が取られる。
問題①の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that due to legacy functionality that enabled customer Domain Admins to view passwords, some of your users' passwords were stored in our encrypted systems in an unhashed format. This primarily impacted system generated or admin generated passwords intended for one-time use.

We have reviewed the login information for the user account(s) and have found no evidence that the unhashed passwords were misused.

The following is the list of users impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

Users With Single Sign On: We will reset their password by changing it to a randomly generated secure value. Please note that this will have no effect on their ability to log in using their Single Sign On credentials.
Other Users and Super Admins: We will terminate their sessions and prompt users to change their password at their next login.
In addition, starting Wednesday, May 29, 2019 PT we will reset the password for users that have not yet selected a new password or have not had a password reset. These users will need to follow your organization's password recovery process. Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

問題②の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that between January 13, 2019 and May 9, 2019, an internal system that logged account signup information for diagnostic purposes, inadvertently stored one of your user account passwords in our encrypted systems in an unhashed format. This impacted the user account password provided during the initial account signup process. The log information was retained for 14 days following the signup process, and then was deleted according to our normal retention policies.

We have reviewed the login information for the account and have found no evidence that the unhashed password was misused.

The following is the user account impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday, May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

We will terminate the impacted user’s session and prompt the user to change their password at their next login.

In addition, starting Wednesday, May 29, 2019 PT we will reset the password for the user if they have not yet selected a new password or have not had a password reset. This user will need to follow your organization’s password recovery process. However, Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

更新履歴

  • 2019年5月21日 PM 新規作成

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で – Engadget 日本版

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版

MicrosoftはWindows 10の次期大型更新となるMay 2019 Update(通称1903、または19H1)、およびWindows Server バージョン1903におけるセキュリティベースラインのドラフトを公開しました。 とくに大きな変更となるのは、組織などによっては今でも使われているパスワードの有効期限ポリシーを廃止した点でしょう。これは...

はてなブックマーク - MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版 はてなブックマークに追加

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた

KrebsOnSecurityが関係筋からの情報として、一部のFacebookユーザーのパスワードが暗号化されずに社内のデータストレージに読取可能な方式(平文)で保管されていたセキュリティ上の問題が生じていたと明らかにしました。Facebookはその後、この問題に関する見解を公開しています。ここでは関連する情報をまとめます。

KrebsOnSecurityの記事

問題を明らかにしたBrian Krebs氏の記事。
krebsonsecurity.com

明らかになった問題(Krebs氏の記事より)

  • 一部のユーザーパスワードを平文で保存。
  • 保存されたデータに対して2万人以上のFacebook従業員が検索可能な状態だった。
  • アクセスログから平文パスワードを含むデータに対して約2000人のエンジニア/開発者のアクセスが判明。
  • 約900万の内部クエリが実行されていた。(悪用は確認されていない)

問題の発端

  • 2019年1月に実施された定期コードレビューでセキュリティエンジニアが確認した。

影響範囲

  • 影響を受けるユーザーへの警告を計画中。
  • Facebookは通知件数を以下のように見積っている。
Facebook Lite*1 数億人規模
Facebook 数千万人規模
Instagram 数万人規模
  • Krebs氏の記事によれば2億~6億件が影響を受けた。
  • これまでの調査で問題のデータは2012年までのアーカイブが確認されている。
  • Facebookは3月21日時点で影響範囲(数、期間など)を調査中。*2

現時点で悪用の兆候なし

  • 意図的にパスワード探査するような誤用などは確認されていない。
  • Facebook側は現時点で実害となるリスクはないという認識。
  • Scott Renfro氏によればこの問題によるパスワード再設定の必要はないと説明。
  • 悪用の兆候が見られた場合はパスワード変更を強制する方針。

問題の情報提供元

  • Krebs氏に対してFacebook上級社員が匿名を条件に付いて情報提供。
  • この社員は調査に関わっているが報道向けに話す権限を保有していなかった。

Facebook側の対応

2019年3月21日に問題に関する見解を公表
newsroom.fb.com

  • 確認された問題については解決済みと説明。
  • 問題のデータはFacebook外部の誰にも見られていない。
  • パスワード、およびアカウント保護のベストプラクティスを紹介。

更新履歴

  • 2019年3月22日 AM 新規作成

*1:Facebook Liteは新興国など通信環境が不安定な人向けを想定した軽量版のサービス

*2:Krebs氏の取材に対して回答の準備がまだできていないとコメントしている。

KINEZOは映画館の係員でもパスワードを覗ける – 35歳からの中二病エンジニア

KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア

KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア

KINEZOといえば、映画のチケット予約サービスだけれども、セキュリティー界隈では「数字4桁のログインパスワード」でお馴染みの有名所でもある。平成も終わりに差し掛かっているのにこれを貫いているのには頭が下がる思いだ。今回は新宿バルト9でその更なる深淵を覗いてしまったので、ここに書き記しておく。 暗証番号代...

はてなブックマーク - KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア はてなブックマークに追加

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用で...

はてなブックマーク - bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記 はてなブックマークに追加

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用で...

はてなブックマーク - bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記 はてなブックマークに追加

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) – ITmedia NEWS

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS

今さら聞けない「認証」のハナシ:PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「知識認証」について。 ほとんどの人が日常的に行っている...

はてなブックマーク - PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS はてなブックマークに追加

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

有料会員限定記事 現在は登録会員(無料)の方も閲覧可能です 大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表し...

はてなブックマーク - 宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック) はてなブックマークに追加

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) – @IT

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12):なぜ、パスワードを平文で保存するのですか? 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第12列車は「サービス提供側のセキュリティ」です。

はてなブックマーク - なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT はてなブックマークに追加

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 – Togetter

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter

(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 2019年1月28日 filesend.to/index0128.html pic.twitter.com/TzPbWvPSm9

はてなブックマーク - 「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter はてなブックマークに追加