LAWSON 内部から意図的に行われるとは思いもしないことが起きた。

2018/09/11 にある1通のメールが来ていた。

【ローソン】ローソンIDのパスワード再設定のお願い

お客様各位

平素は当社サービスをご利用頂き、誠にありがとうございます。

メールマガジンを取得されていない会員の方も含め、お客様へ重要なお知らせ及びパスワード再設定のお願いについてご連絡させて頂きます。

昨今、悪意ある第三者によって他のサイトから不正取得したメールアドレスとパスワードを流用し、別の複数サイトでログインを試みるという、不正アクセス事例が多発しております。

ローソンIDサイトにおいても、先日来主に海外のIPアドレスから同様の手法にて断続的に不正ログインが試みられております。

今後も引き続きこのような不正アクセスが発生する可能性があることから、大変恐縮ではございますが、会員の皆様のパスワードを9月10日(月)14時をもってリセットさせていただきました。 お客様には大変お手数をおかけしますが、ログインいただく際にパスワードの再設定をお願い致します。

パスワードの再設定は下記ウェブサイトのURLからお手続きいただけます。 https://id.lawson.jp/login/passwordmail/

尚パスワードを再設定される際には、他サイトで利用されているパスワードとは異なるパスワードを設定下さいますようお願い申し上げます。

当社では、今後も引き続きこのような不正アクセスが発生する可能性を鑑み、ローソングループの全てのサイトにおいて、パスワード強化対応等、セキュリティ向上を目的とした、様々な対応を検討中です。 今後もお客様に安心してご利用頂けるサイト運用を心掛けて参りますので、引き続き、ご愛顧賜りますよう宜しくお願い申し上げます。

本件に関するお問い合わせ先 ―――――――――――――――――――――― ご案内メールについてのお問い合わせ、ご要望は、下記URLの下部に設置のお問い合わせフォームよりご連絡くださいませ。 (受付時間:24時間 365日) https://faq.lawson.co.jp/lawson/form/200/

※ 本メールアドレスは送信専用アドレスとなっており、本メールに返信頂くことはできません。 ※ 本メールの無断転載を禁止します。 ―――――――――――――――――――――― 株式会社ローソン 東京都品川区大崎1-11-2ゲートシティ大崎イーストタワー Copyright(c)Lawson,Inc. All rights reserved.

同様の内容は以下のサイトで閲覧できるが、Chrome 曰く、安全ではないコンテンツをブロックしたという警告が出ているので閲覧しないほうがいい。

ローソンID会員様へのアカウントメールアドレス・パスワード再設定のお願い|ローソン

簡単に説明すると「不正ログインされたけど、誰に被害があったのかわからないから、とりあえず全員リセットしとくぜ」。 そして、一部の人は突破されていて、詐欺メールまで送られているようなことを匂わすブログまで登場している。 非常に注意すべきです。 今回のやり方はメールアドレスが相手にバレている状態であることを考慮する必要がある。 バレているメールアドレスへ送られるメールが確実に正しいものとは言えないからだ。 LAWSONに似たサイトURLやメールアドレスで送信してくることも容易に考えられる。 詐欺メールが送信される可能性を考慮したのか? 詐欺を誘発させるかもしれない行為を行ったことへの反省をしてほしい。

で、今回一番言いたいのが、被害を被っていない人たちのアカウントをリセットすることでログインすることができない被害を生んでいる。

LAWSONのサイトのニュースリリースや新着情報には載せていない。 メールもしくは検索で出てくる上記のようなサイトでしか告知していない。 できる限り隠蔽して対処したあたりが、とてもサイバーテロに近い。 この行動はセキュリティを舐めている証拠でもある。

なぜ実装しない?二段階認証

世の中には2段階認証というものがある。 よく利用されるID+パスワードに加えて、パスワード生成器で有効期限の存在する別のパスワードを入力する仕組みだ。 他にも特殊なURLが記載されたメールを送って、そのURL経由でログインすることもある。 しかし、LAWSONはパスワードリセットを行った後でも行う気配がない。 インターネットにおいてセキュリティは最も重要なものであり、セキュリティを蔑ろにする企業は廃るべきである。 Google をはじめとした有名な海外企業はすでに2段階認証を導入している。 日本で2段階認証をしているのは一部の銀行とかだろうか。嘆かわしい。

今回のLAWSONのようなお間抜け企業への対策

どうしても、メールアドレスとパスワードの組み合わせを利用させる企業があれば、Gmail を利用して、エイリアス をつけたメールを登録する方法で複雑性を高める方法がある。

example+unkolawson@gmail.com

このように + をつけた後にランダムな文字列を付与すれば、いつも利用しているメールアドレスとは異なるメールアドレスなので、リスト型攻撃での被害を軽減できる。 あくまで軽減だ。完全に防ぐことはできない。

日本の企業はセキュリティに結構ずさんであり、未だに HTTPS になっていないサイトもたくさんある。 チケットよしもととか会員情報を扱うのに HTTP のままだ。 HTTP のままだと通信会社が勝手に画像を圧縮したり、コンテンツの改ざん、盗み見をされてしまう可能性もある。 実際に画像の圧縮は一時期問題になっており、圧縮しないオプションがサイレントに用意されるようになったことがある。

技術先進国を主張する前にセキュリティ先進国にならないといつまで経っても情報漏えいによる技術の漏洩が起きるよ。 実際何かしら起きてるかワハハ。

日本企業は二段階認証を導入した後にでも日本語をパスワードの入力可能な文字列として使えるようにすべきだ。 海外の人が使わないものを利用することも対策となるのだから。ガラパゴスはセキュリティになる。悪いことではない。 グローバルにしすぎるから地球の裏側から攻められるんだから。