解決済み
mineoマイページログアウト出来ない脆弱性
mineoマイページにログイン後
ログアウト操作を行い
ログアウトしましたの表示画面から
左上のmineoマイページリンクを
おすと認証無しでマイページが表示されます。
9 件の回答
ベストアンサー
ベストアンサー獲得数 1 件
私も同じ症状が2月途中から出ています。
mineoの相談窓口(チャット)で相談したこともあったのですが、
ブラウザの問題はお答えしかねてしまいす。
という回答でした。
ですので、AndroidのGoogleChromeと相性が悪いのであって
mineoのシステムのせいではないということかもしれませんね。
私は家族(離れて暮らす両親や独り身の伯母たち)のアカウントを管理しているのに、先月はアカウントのログアウトができなくて、合計15GBも無駄にしてしまいました。
今後、このような悲しい思いをしたくなかったので、
致し方なくmineoのマイページを操作するときにはFirefoxのブラウザを使用することにしました。
本来なら通常使っているGoogleChromeの設定でどうにかするべきなのかもしれませんが、
ひとおり見てみましたが、キャッシュを閲覧が終わるたびに消してしまうと、そのほかの作業がとてもやりにくくなるし、
そもそも、そこまでのITスキルが無いので、Chromeでのマイページ閲覧はあきらめました。
2年前くらいも、同じ症状が出ていた時期がありましたが、
気が付いたら治っていたので、Androidのアップデートなどが行われれば治ったりする可能性もあると思います。
ですが、今、どうにかしたい!ということでしたら、
根本的解決にはならないかもしれませんが、他のブラウザを使用することで対応する方がストレスが無くて良いと思います!
世の中iOSを使用している方の方が多いので、Android系の不具合だと後回し的になってしまうし、話題にも上らないことが多いので、
同じ症状に悩まれている方が他にもいらっしゃることがわかって
少し安心いたしました。
mineoの相談窓口(チャット)で相談したこともあったのですが、
ブラウザの問題はお答えしかねてしまいす。
という回答でした。
ですので、AndroidのGoogleChromeと相性が悪いのであって
mineoのシステムのせいではないということかもしれませんね。
私は家族(離れて暮らす両親や独り身の伯母たち)のアカウントを管理しているのに、先月はアカウントのログアウトができなくて、合計15GBも無駄にしてしまいました。
今後、このような悲しい思いをしたくなかったので、
致し方なくmineoのマイページを操作するときにはFirefoxのブラウザを使用することにしました。
本来なら通常使っているGoogleChromeの設定でどうにかするべきなのかもしれませんが、
ひとおり見てみましたが、キャッシュを閲覧が終わるたびに消してしまうと、そのほかの作業がとてもやりにくくなるし、
そもそも、そこまでのITスキルが無いので、Chromeでのマイページ閲覧はあきらめました。
2年前くらいも、同じ症状が出ていた時期がありましたが、
気が付いたら治っていたので、Androidのアップデートなどが行われれば治ったりする可能性もあると思います。
ですが、今、どうにかしたい!ということでしたら、
根本的解決にはならないかもしれませんが、他のブラウザを使用することで対応する方がストレスが無くて良いと思います!
世の中iOSを使用している方の方が多いので、Android系の不具合だと後回し的になってしまうし、話題にも上らないことが多いので、
同じ症状に悩まれている方が他にもいらっしゃることがわかって
少し安心いたしました。
この回答はベストアンサーに選ばれました。
- 11
ベストアンサー獲得数 54 件
amiyy
iPhone SE (第2世代)(povo)
あっ。 さん こんにちは
Q&A(王国教室)は、『マイネ王メンバーの皆さん同士で質問・相談したり、その質問に回答したりできるQ&A機能』なのでWebサイト脆弱性を報告しても対応できません。
https://king.mineo.jp/helps/guide/103
あと脆弱性だとお考えであれば、いきなり公開情報にすると被害拡大や二次被害を発生させる可能性があります。
まずは非公開で問い合わせ窓口などからケイ・オプティコムに対処を依頼することをオススメします。
http://support.mineo.jp/inquiry.html
Q&A(王国教室)は、『マイネ王メンバーの皆さん同士で質問・相談したり、その質問に回答したりできるQ&A機能』なのでWebサイト脆弱性を報告しても対応できません。
https://king.mineo.jp/helps/guide/103
あと脆弱性だとお考えであれば、いきなり公開情報にすると被害拡大や二次被害を発生させる可能性があります。
まずは非公開で問い合わせ窓口などからケイ・オプティコムに対処を依頼することをオススメします。
http://support.mineo.jp/inquiry.html
- 4
HTC U11 601HT SoftBank(Y!mobile)
- 7
Aterm(MR04LN)SIMフリー(mineo(au))
こんにちは
環境はAndroid + Chromeでしょうか?
iOS + Safariは大丈夫でした。
僕の環境だと以下でログアウトできました。
①mineo マイページをログアウト
(ログアウト画面のまま)
②Chrome 設定(Android 7.0)
やるのことは下記の2点です
・パスワードの保存(my.mineo.jp)を削除
・閲覧履歴データの「Cookie」でmineo.jpを削除
例)↓はHUAWEI P10 liteの場合です。
・パスワードの保存→自動ログイン ◻︎(チェックを外します)
・詳細設定のプライバシー→閲覧履歴データを消去する→「Cookieとサイトデータ」☑️(こちらはチェックを入れます)
※閲覧履歴 ◻︎(チェックを外します)
※キャッシュされた画像とファイル ◻︎(チェックを外します)
→同じ画面内の下の「データを消去」をタップします。
「サイトのストレージを消去しますか?」
とアナウンスが出るので、mineo.jpのみチェックして「クリア」をタップします。
③ログアウト画面に戻り、画面左上のmineoロゴ(緑に白ヌキのmineoマイページ)をタップします。
今回のメンテナンス後にメンバーからの相談で気がつきましたが、他のメンバーは以前からあったとも言っています。
事象から、認証プログラムのサーバー側に問題があるように思います。
環境はAndroid + Chromeでしょうか?
iOS + Safariは大丈夫でした。
僕の環境だと以下でログアウトできました。
①mineo マイページをログアウト
(ログアウト画面のまま)
②Chrome 設定(Android 7.0)
やるのことは下記の2点です
・パスワードの保存(my.mineo.jp)を削除
・閲覧履歴データの「Cookie」でmineo.jpを削除
例)↓はHUAWEI P10 liteの場合です。
・パスワードの保存→自動ログイン ◻︎(チェックを外します)
・詳細設定のプライバシー→閲覧履歴データを消去する→「Cookieとサイトデータ」☑️(こちらはチェックを入れます)
※閲覧履歴 ◻︎(チェックを外します)
※キャッシュされた画像とファイル ◻︎(チェックを外します)
→同じ画面内の下の「データを消去」をタップします。
「サイトのストレージを消去しますか?」
とアナウンスが出るので、mineo.jpのみチェックして「クリア」をタップします。
③ログアウト画面に戻り、画面左上のmineoロゴ(緑に白ヌキのmineoマイページ)をタップします。
今回のメンテナンス後にメンバーからの相談で気がつきましたが、他のメンバーは以前からあったとも言っています。
事象から、認証プログラムのサーバー側に問題があるように思います。
- 10
退会済みメンバーさん
ビギナー
本件、ケイ・オプティコムとIPAへ報告したところ、3月30日に脆弱性の改修が完了したとの連絡がありました。
IPAの対応も完了し、ケイ・オプティコムも秘密にする意図はないようでしたので、こちらへ書き込みます。
スマートフォンやPCでchromeを使用していた場合、マイページのログアウトボタンを押しても、実際にはログアウトされませんでした。
chromeのウィンドウが1つでも残っていると、次にパソコンやスマホを使用した人に、以下の情報を見られている可能性があります。
・契約者氏名
・契約者住所
・電話番号(固定電話など)
・生年月日
・秘密の質問(設定した質問と答えが表示される)
・連絡用メールアドレス
・暗証番号(設定した4桁の数字が画面に表示される)
・mineoメールアドレス
・初期メールパスワード
・eoID
・初期eoIDパスワード(初期値) (パスワードの変更も可能?)
・利用番号と請求金額
・通話明細(データ専用なので中身はわかりませんが)
・プレゼントコード(Amazonギフト券のコードなど)
「次にパソコンやスマホを使用した人」がいない場合や、家族なので上記情報を見られても問題ない場合などは、特段気にする必要はありません。秘密の質問と答えが恥ずかしいくらいです。
ただ、暗証番号をキャッシュカードやクレジットカード、端末の暗証番号と共通にしている場合、同居の家族でも見られるとまずい場合もあるでしょう。
必要であれば、すべての暗証番号を変更してしまった方がよいと思います。
メールやeoIDを初期パスワードで使用している場合も、パスワードを変更してしまった方がよいでしょう。
心配な方は、秘密の質問も変更してしまいましょう。
「本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です」とのことですので、本件を把握することで「本件事象を起因」とする何らかの問題が発生していないことをご確認ください。
また、何よりも「本件事象を起因として何らかの問題が発生」しないよう、必要な方は暗証番号やパスワード等を変更してください。
IPA(独立行政法人情報処理推進機構)へは、以下のページの「ウェブアプリケーション脆弱性関連情報」として届け出ています。
https://www.ipa.go.jp/security/vuln/report/
───────────────────────────────────────────────────────
○○さま
K-OPT CSIRT PoCを担当しております△△と申します。
平素より弊社サービスをご利用いただきありがとうございます。
また、今回は弊社Webの脆弱性についてご連絡いただき深く感謝申し上げます。
今回、○○さまからご指摘いただいた脆弱性に関する対応状況につきましてご報告させていただきます。
■脆弱性の改修状況
3月30日にWebの改修を完了しました。
■IPAへの報告
3月30日時点でWebの改修が完了している旨を本日4月2日に報告しました。
以下、○○さまからCSIRT宛にいただきましたお問合せに対して回答させていただきます。
■連絡先について
弊社ではプログラムやWebの脆弱性に関する専用のお客さま窓口は設けていないため、お客さまサポートセンターの電話やメール等が通常のお客さま窓口となります。
なお、私どもCSIRTは社内におけるインシデントハンドリングに加えて、他社のCSIRT組織や業界団体との連絡窓口としての役割を担っております。
■初動体制の構築について
今回、○○さまから最初にお問い合わせを頂きました窓口で間違っておりませんでしたが、弊社内でのCSIRTへのエスカレーションが遅れて、○○さまにIPAに申請していただくようなお手間をかけてしまい誠に申し訳ございませんでした。今後は初動が遅れることのないよう、エスカレーション体制を徹底させました。
■お客さまへの周知について
現在、お客さま全体への周知は予定しておりません。
ただし、本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です。
今後とも弊社サービスをご愛顧いただきますようよろしくお願い申し上げます。
ありがとうござました。
───────────────────────────────────────────────────────
IPAの対応も完了し、ケイ・オプティコムも秘密にする意図はないようでしたので、こちらへ書き込みます。
スマートフォンやPCでchromeを使用していた場合、マイページのログアウトボタンを押しても、実際にはログアウトされませんでした。
chromeのウィンドウが1つでも残っていると、次にパソコンやスマホを使用した人に、以下の情報を見られている可能性があります。
・契約者氏名
・契約者住所
・電話番号(固定電話など)
・生年月日
・秘密の質問(設定した質問と答えが表示される)
・連絡用メールアドレス
・暗証番号(設定した4桁の数字が画面に表示される)
・mineoメールアドレス
・初期メールパスワード
・eoID
・初期eoIDパスワード(初期値) (パスワードの変更も可能?)
・利用番号と請求金額
・通話明細(データ専用なので中身はわかりませんが)
・プレゼントコード(Amazonギフト券のコードなど)
「次にパソコンやスマホを使用した人」がいない場合や、家族なので上記情報を見られても問題ない場合などは、特段気にする必要はありません。秘密の質問と答えが恥ずかしいくらいです。
ただ、暗証番号をキャッシュカードやクレジットカード、端末の暗証番号と共通にしている場合、同居の家族でも見られるとまずい場合もあるでしょう。
必要であれば、すべての暗証番号を変更してしまった方がよいと思います。
メールやeoIDを初期パスワードで使用している場合も、パスワードを変更してしまった方がよいでしょう。
心配な方は、秘密の質問も変更してしまいましょう。
「本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です」とのことですので、本件を把握することで「本件事象を起因」とする何らかの問題が発生していないことをご確認ください。
また、何よりも「本件事象を起因として何らかの問題が発生」しないよう、必要な方は暗証番号やパスワード等を変更してください。
IPA(独立行政法人情報処理推進機構)へは、以下のページの「ウェブアプリケーション脆弱性関連情報」として届け出ています。
https://www.ipa.go.jp/security/vuln/report/
───────────────────────────────────────────────────────
○○さま
K-OPT CSIRT PoCを担当しております△△と申します。
平素より弊社サービスをご利用いただきありがとうございます。
また、今回は弊社Webの脆弱性についてご連絡いただき深く感謝申し上げます。
今回、○○さまからご指摘いただいた脆弱性に関する対応状況につきましてご報告させていただきます。
■脆弱性の改修状況
3月30日にWebの改修を完了しました。
■IPAへの報告
3月30日時点でWebの改修が完了している旨を本日4月2日に報告しました。
以下、○○さまからCSIRT宛にいただきましたお問合せに対して回答させていただきます。
■連絡先について
弊社ではプログラムやWebの脆弱性に関する専用のお客さま窓口は設けていないため、お客さまサポートセンターの電話やメール等が通常のお客さま窓口となります。
なお、私どもCSIRTは社内におけるインシデントハンドリングに加えて、他社のCSIRT組織や業界団体との連絡窓口としての役割を担っております。
■初動体制の構築について
今回、○○さまから最初にお問い合わせを頂きました窓口で間違っておりませんでしたが、弊社内でのCSIRTへのエスカレーションが遅れて、○○さまにIPAに申請していただくようなお手間をかけてしまい誠に申し訳ございませんでした。今後は初動が遅れることのないよう、エスカレーション体制を徹底させました。
■お客さまへの周知について
現在、お客さま全体への周知は予定しておりません。
ただし、本件事象を起因として何らかの問題が発生した場合は、誠心誠意、対応させていただく所存です。
今後とも弊社サービスをご愛顧いただきますようよろしくお願い申し上げます。
ありがとうござました。
───────────────────────────────────────────────────────
- 12
あいだの1件を表示
Aterm(MR04LN)SIMフリー(mineo(au))
- 14
退会済みメンバーさん
ビギナー
>>14 619_ak@mnemoさん
よそ様のシステムなので状況は分かりませんが、一般的には以下のような情報があります。「セッション乗っ取り」とは、今回のように自分以外がマイページを表示できることを指します。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/306.html
今回、「(2) 明示的なログアウトの機能」が正しく動作しないことが問題でした。
一番重要なのが黒ぽちの1つ目で、「Webサーバ側でセッションIDを確実に無効にする。その後同じセッションIDがクライアントから送られてきても受け付けない」とある通り、サーバ側のログイン状態を無効にすることで、ログアウト以降はサーバに保存する一切の個人情報を表示しないようにできます。
つまり、事業者のサーバに保存される個人情報を、事業者自身が責任をもって保護できるということです。
以下のURLにマイネオのログアウトページの画像がありますが、結構優秀です。
https://king.mineo.jp/question-answer/アプリ/WEBサービス その他/10552
なぜかというと、「ログアウトしました」と明示するだけではなく、日時を表示することで、たった今の操作によりログアウト出来たことを確認できるからです。基本的には気の利いたシステムと思います。
一方で、実際にはログアウトしていないのに、「ログアウトしました」と表示してしまうのは、一番避けるべき状況です。なので、「セッションIDを確実に無効にする」処理と、「ログアウトしました」と表示させる処理は、近い位置に配置し、ついついセッションIDの無効化処理だけ消してしまわないようにしたりします。
つまり、何かをいじった程度でログアウトに問題が起きないよう、設計から製造を含めて、細心の注意を払うのが一般的です。
また、ログアウトボタンによりセッションIDが無効となることは、個人情報を保護できないということですから、誰もが当たり前に確認しています。
一般論としては上記の通りですが、なぜこんな事になってしまったのかは興味深いところです。
よそ様のシステムなので状況は分かりませんが、一般的には以下のような情報があります。「セッション乗っ取り」とは、今回のように自分以外がマイページを表示できることを指します。
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/306.html
今回、「(2) 明示的なログアウトの機能」が正しく動作しないことが問題でした。
一番重要なのが黒ぽちの1つ目で、「Webサーバ側でセッションIDを確実に無効にする。その後同じセッションIDがクライアントから送られてきても受け付けない」とある通り、サーバ側のログイン状態を無効にすることで、ログアウト以降はサーバに保存する一切の個人情報を表示しないようにできます。
つまり、事業者のサーバに保存される個人情報を、事業者自身が責任をもって保護できるということです。
以下のURLにマイネオのログアウトページの画像がありますが、結構優秀です。
https://king.mineo.jp/question-answer/アプリ/WEBサービス その他/10552
なぜかというと、「ログアウトしました」と明示するだけではなく、日時を表示することで、たった今の操作によりログアウト出来たことを確認できるからです。基本的には気の利いたシステムと思います。
一方で、実際にはログアウトしていないのに、「ログアウトしました」と表示してしまうのは、一番避けるべき状況です。なので、「セッションIDを確実に無効にする」処理と、「ログアウトしました」と表示させる処理は、近い位置に配置し、ついついセッションIDの無効化処理だけ消してしまわないようにしたりします。
つまり、何かをいじった程度でログアウトに問題が起きないよう、設計から製造を含めて、細心の注意を払うのが一般的です。
また、ログアウトボタンによりセッションIDが無効となることは、個人情報を保護できないということですから、誰もが当たり前に確認しています。
一般論としては上記の通りですが、なぜこんな事になってしまったのかは興味深いところです。
- 15
