ハッキング被害に対するmineoとのやり取り(その2)
mineoと継続してやり取りをしました。
何点か再調査をお願いしたのでその報告は明日以降回答をもらってからにします。
※前スレッドが長くなったのでこちらに分けてみました。
※mineo担当者と当初のやり取りと話題の趣旨が変わりつつあるかもしれません。
質問回答を掲示板に載せることの了承はとってあります。
基本的にmineoの正式見解であるという言葉も頂いています。
まず最初に書いておきますが回答いただいた担当の方もかなり苦しんで言葉を用意されていました。
こちらも納得できず語気を荒げた部分などありましたが、それに対しても真摯に回答いただいた担当の方に感謝します。
Q.ログイン後に閲覧されたページをを教えてほしい。
A.個別に回答することはない。今後も絶対にない。
ここでかなり喧々諤々のやり取りになりましたが「絶対に教えない」「今後も教えることはない、これは弊社の正式見解である」と回答を頂いたので事実上の終了となりました。
2日掛けてご覧の有様です。
このやり取りの人物も最初の電話の時点(8/19)では調べて教えてくれるという話だったのですがこの変わり様です。
多分mineo上層部の方針が正式に決まったのでしょう。
Q.昨日の別人が掛けてきた、その人物と約束したので変わってほしい。
A.絶対に変わりません。今かけている私が今の担当者です。
Q.あなたは昨日約束したのに電話を掛けてこなかったのはなぜか?別人が対応してその人と約束したんだが?
A.お休みを頂いていました。
Q.では昨日の人に変わってくれ。約束と違う。
A.絶対に変わりません。どれだけおっしゃられても電話は変わりません。
ここで変われ変わらないの押し問答になりましたが結局こちらが折れる状況になりました。
mineoの見解として「担当者」は毎日変わるらしく継続性はまったくないので「担当者と名乗る人物を信じて話をしても意味がない」ということがわかりました。
Q.どんな被害者にもページの閲覧情報を教えないと言うのが公式見解でいいのか?
A.そのとおりです。
超重要な正式見解を頂きました。
Q.平文で「秘密の質問」と「回答」を閲覧できるページがある。このページを覗かれたかどうかだけでも良いので教えてほしい。
A.絶対に教えません。
Q.平文の「秘密の質問」と「回答」が流出したのはmineoの問題ではないのか?これの対応はどうなるのか?
A.お客様が同じ「秘密の質問」と「回答」を使っている他のサイトを回って全部修正していただければよろしいかと。
Q.それはmineoの公式見解?本当にその回答で大丈夫?
A.はい。公式見解です。
この部分は正直なところmineoが心配になったので何度も確認しました。
これを掲示板等に載せるけど良いかも確認しましたが問題ないとのことだったので記載しています。
二次被害を回避するのはユーザーの作業であるということでした。
ここら辺でこちらの心が折れたので質問を変えました。
以下は要約ですが正式に回答をもらえた分だけ記載します。
Q.今現在もハッキングは続いているのか?
A.はい、続いています。現状の被害状況についての公式見解は弊社発表のものです。
これはきっぱり答えてくれました。
Q.mineoとしては一体何の対応をしてるの?
A.不正アクセスが行われたIPのブロックのみです。
Q.すぐにでも全ユーザーに周知しないと駄目じゃないのか?
A.その様にできるように対応いたします。
Q.二重パスワードなどの対応は取れないの?
A.大掛かりなシステム改修となるので直ぐに対応は難しいです。
これは事実だと思います。
システム改修は容易ではないでしょう。
Q.不正アクセスはmineoのページだけ?
A.いえ、eoIDを使用しているサービス全てです。
Q.mineoからメールが来たのでmineoのマイページが不正アクセスされたと思っていたのだが違うの?
A.どのサービにeoIDで不正サクセスされたのかもお答えできません。
mineo、eo本体、ララコール等など多々あるeoサービスのどれに不正アクセスされたのか教えてもらえません。
なかなか厳しいですが、ここは担当者さんも苦しんでおられました。
こちらとしては今までmineoへの不正アクセスだと思っていたのですが、実際はそうではなくeo全般の何らかのサービスへの不正アクセスだということに衝撃を受けました。
ただ考えてみれば当たり前のことでもあります。
Q.閲覧されたかもしれないお客様番号を変えてもらうことはできるのか?
A.出来かねます。
これはこの系統のIDを振り直してもらえるかどうかの確認のために聞きましたが駄目だそうです。
上記外に幾つか細かいことをお願いしてそれについての回答は明日調査後に教えてくれるそうです。
大きな問題もあるのですがこれは担当者が上と掛け合って情報を勝ち得てもらえるかどうかですが…
明日、また連絡を頂いたら報告いたします。
長文になって申し訳ないのですが、これだけは最後に。
現在被害にあってないユーザーでも、自身を含め、友人知人、少しでも多くの方に完全にユニークなパスワードの変更を周知、実行させてください。
今現在もパスワードリストアタックは続いておりmineoはIP遮断の対応しか取れていません。
今は傍観者の方々も被害者になる可能性が存分にあります。
今後も被害は拡大する可能性が存分にあります。
mineoだけでなくeoIDサービス全てがアタックの対象です。
eoIDを持っているユーザーは全てパスワードを完全ユニークなものに変更すべきです。
ここのプレスリリース読む限りは、そうは読み取れないですね。
http://www.k-opti.com/announce/180815/
「既に緊急対応済み」で、一旦は終息しました、という風にしか読めないですよね。
となってますけどね。
A.その様にできるように対応いたします。
との事なので、お知らせが来ると信じます。
「eoユーザー全てのIDとPWをリセット、登録住所に封書で送る」
のが最善かもですがコストが・・・
素人の私が知ってる情報なんて意味無いかも知れないけど
JPCERT/CCで何か対応してくれるかも知れないし、相談には乗ってくれると思う。フィッシングサイトの閉鎖働きかけなどをしてくれる所。
http://www.jpcert.or.jp/form/#adv
秘密の質問と回答を変更しなかったユーザーの責任になるのでしょうか?
今回はドコモみたいに免除の可能性もあるのかな?
でも1年後とかだとどうなんだろう、関連性って立証できるのかな?
2次被害はユーザーの責任なんですよね。
パスワードが分からなくても、初期ID、初期パスワード、秘密の質問、回答があれば、パスワードを初期化できました。
閲覧されたページを知りたいとの事ですが、どのページが閲覧されたかと
いうのを分かった所で、絶対に閲覧されていないという保証は出来ない為
情報として出せないという事はあると思います。
ただ、「すぐにでも全ユーザーに周知しないと駄目じゃないのか?」に
関しては仰る通り必要でしょうね。
全ユーザーに対して注意喚起しないと、パスワードを使いまわしをしている
が、まだ被害に遭ってないユーザーが被害に遭うリスクがあるので、これは
必要だと思いました。
新端末発売やキャンペーンに関してはメール配信を行っているのに、だに
パスワードリスト攻撃に関する情報は当該ユーザーのみでその他のユーザー
に対して一斉配信していないのは問題だと感じます。
>mingmingさん
そうした場合は規約上は利用者の責任という事にはなっていますが実際は、
おそらく個別対応になるのではないかと思います。
また、ドコモのように免除される可能性もあるとは思いますが、そうなら
ない様にパスワードの使い回しをしない等の自衛する必要があるでしょう。
記事を見つけましたので掲載させて頂きます。
・大流行中の「パスワードリスト攻撃」に企業はどう対策すべきか
https://news.mynavi.jp/article/20130911-passattack/
WAFというパスワードリスト攻撃を検知した際、ログイン失敗回数等の一定の
条件を検知した際に攻撃者に対しては、正しいIDとPWでもログイン失敗と
偽の表示が出るようにする仕組みがあるそうです。
うーん、知らない機能が多くて、何をしたらいいか分からなくなってきました。
eoショッピングは登録してないし、キャリア決済offにして、Lalaコールも使ってないし、ちなみにLalaコールってアプリで一回認証すれば、こっちでパスワード変えても関係ないんですよね?
mineoでんわアプリもそうなのかな? これも解約した方がいいのかな?
調べてみましたが、通話系のサービス設定に使うみたいですね。(^^
・暗証番号とはなんですか?
https://support.mineo.jp/usqa/set/other/idpw/4000057_8877.html
今回の件に関してはパスワードの使い回しが少しでも思い当たる場合に
変更すればそれで良いかと思います。
対応者(自称責任者)は絶対に変わりません。
前日の言をひっくり返します。
こちらの質問に何も答えず「答えることがないということがお答えです」と言う。
これがこのグループのデフォルトの顧客対応なのでしょう。
捨てゼリフを吐かなくなったあたりは、多少良い対応になったのかもしれませんね。
以下のやり取りです。
Q.メールアドレスの初期パスワードが平文で閲覧できるが、もし初期パスワードから変更してないユーザーはmineoメールを乗っ取られる可能性はあるのか?
A.あります。初期パスワードから変更されていない場合はメールを閲覧されている可能性があります。
この初期パスワードが平文で閲覧できるという無茶苦茶なセキュリティはともかく
ハッキングされたeoIDのIDはロックしているがメールはロックしていないのでここから情報が漏れ続けている可能性があります。
別eoIDを振り直された場合に初期パスワードが変更になるかどうかまで確かめれてないのでこの部分はまた確認予定です。
ハッキング被害のユーザーで初期パスワードの状態でメールを使用していたユーザーはメール内容もすべて漏洩している可能性があります。
※私はパスワードは変更+mineoメールはmineoからの連絡位が一切使用していなかったのでここはマシでしたが……
度々の話ですが「どのページにアクセスされたか?」は被害者に対しても絶対に教えてもらえないらしのでユーザーは可能性のあることは全部起きたという体で対応する必要があるのは確かです。
確かにログイン出来ればメールパスワードは確認できますから、eoIDに
不正ログインされてしまった時点で変更する必要がありますね。
>ユーザーは可能性のあることは全部起きたという体で対応する必要が
>あるのは確かです。
この点に関しては仰る通りだと思います。
(最初、中程、最後だけしか見てません)
以前もDDos攻撃が何日も続いて激重状態が数日改善しなかったようだけど…
担当者の異動が多そうだし、ほぼ外注使ってそうだし、訳わからんのですかね。
放置したら被害者対応が増えて大変になる一方ですもんね。
MrOBさんのレポートには、たくさんの貴重な情報が含まれています、
プレスとは異なる内容(現在も攻撃が続いていること)やプレスにはない内容(被害を受けた当事者にも情報を絶対に教えないということ、二次被害については責任を持たないということなど)が、ケイ・オプティコムという企業の公式な見解として報告されています。
続報ではどんな公式見解が語られるのでしょう。
https://www.macnica.net/lanch/lanch2015/sol03.html/
ログ監視、
ウェブアプリケーションファイアーウォール
それ以外は全部効果なし、って感じの記載ですね。
現状はログ監視→IPアドレスブロック、の人海戦術だったりして。
先週の無対応時よりも被害の増加率が減っているので、ブロックの精度を上げる程度の事はしてそうだけど。
mineoの紹介するつもりだったのに、今回の件で恥ずかしくて、誰にも『マイネオ、オススメなんです。』とは言えなくなりました。
自分もSプランの申し込みを躊躇してます。
何だか怖い。マイネオ!としか言えない。
まあ、mineoは被害者ですしね。悪いのは犯人。
MVNOで二段階認証必須の所なんて多分無いですし。
被害受けても気付いてないか公表していない所のほうが圧倒的多数のはず。
eo光とか、通信を長く生業にしてるんですよね?
ちょっと対応が後手後手じゃないですか?
今も攻撃が続いているというのが、オススメできかねます。
最初からこの対応なら、イライラする事も少なかったかもしれませんね。
リスト型のハッキングと予測されているなら、すでにmineoに登録されている程度の情報はすでに抜かれてる(リストに載っている)と考えるのが妥当かと。
まぁ、私はそう思います。
以前新しいeoIDが送られてきていないのでチップを送ることが出来ません。
申し訳ございません。
※新しいeoIDが届き次第チップを送るよう考えています。
>さとさん
現在も続いていますが公式発表では8/20 12:30時点までの集計の発表のようです。
今後続報も調査次第発表されるという様な趣旨をおっしゃっていましたが、この言葉を信じてよいかどうかは分かりません。
多くのmineoユーザーは今の出来事を対岸の火事、もしくは全く知らないと思います。
そこに火種を巻いて悪評を立てたくないのだと思います。
>TS801661000さん
会社としての立場は全て公式発表の中のコメントだという言葉をもらいました。
サポートに電話すると「個人情報の流出はない」と言い張るのですがこれはニュアンスの問題で以前に対応したオペレーターが正しく理解していないかもしれない発言されていました。
「閲覧された可能性のある情報 … お客さまの住所、氏名、性別、電話番号、生年月日、メールアドレスなど
*口座情報、クレジットカード情報についてはマスキングをしており、流出した可能性はありません。」
これが現状の全てでこれ以上のコメントと立場はない、との回答でした。
これを「個人情報流出」と言うかどうか、人それぞれの取りようである、と。
日本語って難しいですね。
>ghさん
ダメ元で周知をお願いしましたが実際は対応されないと思っています。
担当者は立場上「対処する」以外のコメントはないのかもしれませんが……。
サポートは不正ログインの正式な時間やサイト、閲覧ページなどは一切教えてくれませんが「不正アクセス以降なにか操作されていないか?」は教えてもらえます。
ただその操作を取り消してもらえるかどうか(端末購入など)までは分かりません。
>Kanon好きさん
公式見解として「全ての被害ユーザーに対して一切閲覧情報を開示しない」というのが公表されたので残念ですがこれはここまでです。
被害状況の公表と全ユーザーへの周知については個人的には行われないと思っています。
サポートの立場上「対処する」と言わないと電話を切ることも出来ないでしょうし……。
>detectiveさん
一度電話を切ると次の電話口の人間(これが前回の電話と同じ人物であっても)と会話が連続しないのでかなり辛いです。
こちらは約束を守ってくれると信じて電話を置くのに、悪びれる様子もなく破りますから。
何か試されてるのか、または修行の一環かもしれません(苦笑)
会話すればするほど怒りがこみ上げてくるので聖人君主にはなれそうもありませんが……。
>さと
犯人の意図は分かりませんがIPアドレスさえ変えればアクセスし放題で、さらにログインが成功すればメールパスワードから秘密の質問まで全てが平文で参照できる美味しいサイトですから犯人お立場なら最後までやりきりますよね。
こんな美味しいサイト無いです。
担当者に平文の秘密鍵のページを確認させた時、流石に担当者も黙りましたからね。
その後「全部ユーザーの責任だから、この秘密鍵使ってる他サイトを全部変えて回れば良い。他に秘密の質問なんかいくらでもあるだろう」って言葉を吐かれたときは呆然としましたけど。
<その3について>
内容が薄くなりそうですが「次の電話で終わりましょう」と担当者に伝えているのでどの様な回答が帰ってきても終わりになる予定です。
一応皆様に報告できることは報告して終わろうと思います。
パスワードリスト攻撃は結局どのキャリアでも食らう可能性はあるのでmineoが悪いというわけではありませんがログイン後に色々平文で見えるというのが恐ろしいところです。
ただ今回の事件で流石にいろいろ改善されるとは思いますが。
>かくいちさん
確かに最初から「セキュリティーの関係上、どのサイトを閲覧されたかは公表できない。ただ全ページを見られたという意識で全て対応してほしい。」的な発言ならまだ話は変わったかもしれませんね。
放置+たらい回しと発言がコロコロ変わる事の連続が辛くて……。
とりあえず全情報が抜かれているという立場で対処するのが今回の入り口かと思います。
>IPアドレスさえ変えればアクセスし放題で、さらにログインが成功すればメールパスワードから秘密の質問まで全てが平文で参照できる美味しいサイト
eoIDは、5回ログイン失敗したら「画像に表示されている文字を入力してください。」というのが出ますので、総当たり的なパスワードハックに対応しています。また、ログイン履歴もありますし、ログインアラートもありますので、不正ログインがわかるようになっています。
比較的セキュリティ対策はちゃんとしている方だと思いますよ。
世の中には、不正ログインがあったかどうかさえユーザーも管理者もわからない、なんてサイトは無数にあります。
他スレで書きましたが、旦那はヨドバシカメラで不正ログインされて不正購入されました。ヨドバシは類似犯の特徴からすぐ発見してキャンセルしてくれましたが、ユーザーへの連絡は一切無しです。
「ご自分で警察に被害届出すなりして下さい」という感じです。自分のパスワード管理が原因なのでうちは知らんという感じです。
ケイオプティコムは、アカウントのロックもしてくれましたし、問い合わせ窓口も作っているし、なんか謝ってくれているし、至れり尽くせりな方だと思いますよ。
mineoとしては「ユーザ個別の情報開示には対応しておりません。」ということですね。
この手のケースでは、多くの企業が同様の対応で個別の情報開示に応じたケースは見たことがありません。
別件でauとやり合ったことがありますが、「ご意見として伝えておきます。個別の回答は致しません。」が終始でした。
個別対応をした場合のコストは、現時点でユーザ側に発生している実害に対して桁違いに多いし、そこまで要求するユーザは顧客としても考えてしまうところがあるから、現実的に考えて「個別要望には対応できない」にならざるえないのでしょうね。
あと、ユーザが被害者であることは間違いないのですが、現時点ではmineoも被害者なので、「被害者が別の被害者を責める」みたいな構図にならないことを祈ります。
マイネ王っていつもと違う端末からログインすると、
いつもと違う端末からログインありました。と通知があると思うのですが、
被害者の方には通知きてないのですかね?
私は書き込んでいただいたeoの対応、納得派です。
こんなもんでしょう。
パスワードって自己責任で大事なものですから、やられた方は認識を改める良い機会ではないでしょうか?
個人としては他社へ乗り換えの準備を始めました。
会社は対応を決める権利があるし、我々は利用する会社を選ぶ権利がありますからね。
K-OPT: 不正アクセスがありました。
ユーザー: 何の情報が漏洩したのですか?
K-OPT: 絶対に教えません。
対応に関してはこんな感じですかね?
ユーザーA: ログイン履歴に見知らぬIPがあります。
K-OPT: IP遮断しました。
ユーザーB: ログイン履歴に見知らぬIPがあります。
K-OPT: IP遮断しました。
他社と比べてどうなのかは分かりませんが、IP遮断以外の対応ってないのかな?
それにしても攻撃止んだのかな?
こんなスレがあって複数の方が同じIPアドレスからログインがあったと書かれているので、被害者の方にメールは行っていたと思います。
https://king.mineo.jp/my/44789462249e8d39/reports/38508
被害者Aです。
(容疑者だとXとかの印象ですが、被害者なので素直にAで。)
疑問の「ログインすると通知」の件ですが、確認したのですが海外からという通知がなかったです。
同じPCからログインしても、毎回、通知は送られてきていたのですが、今回、通知を確認したら全て日本からでした。
余談ですが、サポートダイヤルに電話する前、そもそも、電話番号が怪しいと思いネットで検索したら、他社(通信とは無縁な企業)サービスの勧誘電話に対する苦情がヒットしたので、電話対応を外注したんだと思いました。
当方の場合、「情報流出しました。しかし、現在被害は確認されておりません。大丈夫です。安心して下さい。」と言われ、後半の「大丈夫です。安心して下さい。」は何を根拠に言っているのか、そんなことを軽はずみに言っていいのかと疑問に思い問いましたが、連呼されました。まあ、外注の担当者では仕方ないですな。
了解しました。
同じPCからログインで毎回通知が来てしまいますと、不正アクセスがあった場合に見落としそうですね。
因みに今回の件は、リストアタックみたいですが、アカウントとパスワードの使いまわしなどを行っていましたか?
使いまわしがなければ、関電内からの流出になりますので気になるところです。
横から失礼します。
>>同じPCからログインで毎回通知が来て....不正アクセスが....見落としそうですね。
同じPCからのログインだと毎回通知が来ない仕様かと思います。
同じPCでCookie情報を削除した後には、ログイン通知メールがありました。
*連絡先メールアドレス宛に送信されていました。
=================================
eoIDによるログインがありました
━━━━━━━━━━━━━━━━
eoID:xxxxxx
日時:2018年03月27日 06時17分07秒
端末:Mac OS X (Chrome)
IPアドレス:xxx.xxx.30.113 (日本)
平素は弊社サービスをご利用いただき、厚く御礼申し上げます。
本メールはセキュリティー対策の一環(eoID/eoIDパスワードの漏えいによる不正アクセス対策)として、以下の条件に当てはまった場合にお送りしています。
●ご利用の端末より初めてeoIDでログインを行った場合
●前回のログインから60日以上経過後に再びeoIDでログインを行った場合
※初回ログインの判定は、ご利用のブラウザーに保存されているCookie情報を元に行います。端末の初期化やCookieの削除後に、eoIDでログインした場合は初回ログインとして判定されます。
eoIDでのログインを行った覚えがなく本メールが届いた場合は、eoIDパスワードを変更いただきますようお願いいたします。
▼eoIDパスワードの変更はこちら
⇒ https://mypage.eonet.jp/EoIdPassword/initChange
▼eoIDについて詳しくはこちら
⇒ https://eonet.jp/eoid/
ログイン通知メールが不要な場合は下記より変更いただけます。
▼ログインアラート設定はこちら
⇒ https://mypage.eonet.jp/LoginAlertSettings/change
IDとPWのご質問への回答です。
現在、同じものを使っているサイトはないハズです。
マイネオで反省すべきは、簡素なIDとPWでした。
他サイトは英字と数字の組み合わせとか、最低文字数が8文字以上とか縛りがあるので、マイネオで使っていた簡素なIDとPWの組み合わせだと使えません。
ただ、他サイトで使っていたIDやPWより推測して試行錯誤すれば可能性はゼロとは言えません。
他サイトと似たようなIDとPWで、かつ、他サイトよりも簡素なので。
もう記憶にない10年位前だと他サイトも簡単だったので、ここで使っていたIDとPWの組み合わせを、どこかで使っていた可能性はあります。
因みに、ログインの度にmailが来ていたのは、chromeのシークレットモードを利用して、PCを切ると履歴が自動で消えるからだと思います。
(PCが重くて、毎回、キャッシュを掃除していたのですが、面倒になってきたので)