はじめに

あなたは情報漏えいの被害者になったことはないだろうか? Dropbox 等のサービスは漏らしまくっていたことを知らない人がもしかしたらいるかもしれない。 結構漏れてます。

Have I Been Pwned: Check if your email has been compromised in a data breach

こちらからチェックできます。 (こういう情報をチェックできることも不正ログインの手助けをしていることになるので本当なら消えて欲しいサイトだ。もっと消えるべきは不正に情報を取得し、拡散している連中だ。極刑になってもいいレベルだと個人的には思っている。)

重大な被害を被る不正ログイン

「iPhone X」不正購入被害1000件 「ドコモオンラインショップ」に不正ログイン、リスト型攻撃で - ITmedia NEWS

どうやら日本もターゲットになってきているらしい。 Ponta あたりもメールで不正ログインがあったことを臭わせる文章を送ってきた。

2段階認証で防ぐことができるのか?

NISTが警告、SMSでの二段階認証が危険な理由 - ZDNet Japan

SMS での 2段階認証は危険とう記事がある。 そう、ドコモが率先してやるであろう SMS による認証だ。 SMS は雑に言えば、ただの電話なので傍受なんて仕様さえわかれば簡単である。 そんな中、「2段階認証を設定していれば防げた」と迷走する流石ドコモだ。

顧客に責任を押し付けるドコモ

リスト型攻撃は、他社などから流出したID・パスワードのリストを使って不正ログインする手法のため、被害を防ぐには、同じID・パスワードを使い回さないことが重要だ。またドコモは、「2段階認証を設定していれば、今回の被害は防げた」とし、ユーザーに対して改めて、2段階認証の設定を呼び掛けるとしている。

顧客に一方的な責任を押し付けている。 2段階認証ではなく、高額な商品を取り扱うのであれば決済情報を保存しない、または、再利用しない事が重要だ。 手を抜くなドコモよ。

リアルだと契約書に判子を押すことになるであろう契約の儀がWebだとボタンクリックで終わる。 簡単なスクリプトで大量に送信することなんて造作もない。 しかも、なんらかのルートで漏洩したパスワードであれば、ヒット率が高く、試行回数が低い状態となってユーザーとの区別がつきづらい。 フルフェイスヘルメットを被ってきた客を既存の顧客だと勘違いして、こっちで決済処理しときますんでと言わんばかりに勝手に引き落とす 致命的な欠陥 をドコモはWeb上で行ってしまっている。 これを修正しない限り、再発を招くだろう。

おわりに

Dropbox で被害を受けているのでどうにかしたいと思っているが、いろいろなサイトでメールアドレスをIDとして利用させてくるので非常に困っている。 人間のほうが解を出すのが早い仕組みをもって認証してほしいと個人的には思う。

あと、国外にほとんど行かないので、IPチェックして国外であればすべて遮断して欲しい。 日本企業なら日本語をパスワードのパターンとして加えるとかアクセス制限とかやれることたくさんあるのでもっと頑張れよ。ほんと。セキュリティで世界1位になろうや。