mineoでSIMスワップが起こっている可能性はない???⇒ごめんなさい違うかも
先日から2件の掲示板で、mineoマイページを誰かに乗っ取られたかのような書き込みを見ました。ちょっと心配になっています。
ご本人たちは、サポートに電話しているみたいですが、なんか何の対処もされていない様子の書き込みです。
どこまで本当の話か、正確な話かわかりません。あまり技術的に詳しい話ができる状態でも無さそうですので、思い違いの話が書かれている可能性もあります。
でも2件続けて見たので心配しています。考え過ぎ?
⇒その後 【2】に関しては多分乗っ取りとかでは無さそうな感じだとわかって来ました。良かった。
【1】「マイネオにログイン出来ない」
https://king.mineo.jp/reports/308486
概要は、
●自分は何もしていないのに突然、パスワードの変更完了メールが届いた
●続けて連絡先メールアドレスの変更完了通知が届いた
●ログインできなくなった
⇒サポートに電話して、パスワード変更SMSを待っているとのこと
その後どうなったのか書き込みがありません。
【2】「マイページのIPアドレスについて。」
https://king.mineo.jp/reports/309420
概要は、
●勝手にプラン変更をされて4万以上の被害を受けた
●モバイルデータ通信がONにできずモバイルルーターで通信しているらしい
●mineマイページのログイン履歴を見たのが90日以上過ぎてたので確認できない
●警察と消費者センターに連絡したが思った対応をしてくれない的なコメント
⇒えっSIM乗っ取られていない?大丈夫!?
---
追記 上記2番と同じような話がありました。
投稿ユーザーさんは違いますが同一人物ですかね?
「ログイン履歴のIPアドレスについて。」
https://king.mineo.jp/reports/309242
他にもありました。全体をざっとしか見ていませんがSIMスワップでとかの問題では無さそうですね。失礼しました。
「全く身に覚えのない10分かけ放題への変更について。」
https://king.mineo.jp/question-answer/データ通信/音声通話 音声通話/41152
-----
今まで調べた所…
■1段階でのログインは、本人の端末が無くても情報があれば出来てしまいます。以下の5パターンのいずれか
1.SMS認証(二段階認証)ありの場合
(1)登録の契約者携帯電話番号、カナ氏名、生年月日
(2)登録の契約者携帯電話番号、登録の連絡用メールアドレス
(3)登録の契約者携帯電話番号、初期eoID、初期eoIDパスワード
2.多要素認証なしの場合
(1)初期eoID、初期eoIDパスワード、カナ氏名、生年月日、登録の契約者携帯電話番号
(2)初期eoID、初期eoIDパスワード、カナ氏名、生年月日、登録の連絡用メールアドレス
■2段階認証は、一度解除すればずっと有効みたいです
前回のログインから60日以上経過後にログインした場合のみ、連絡用メールアドレスにメールが届くだけ。(メールを使った認証は無い)
という事で、仮に闇ルートに初期eoIDなどの名簿が出回っていたとしたら本人の知らぬ所で第三者に乗っ取られてしまう可能性があります。2018年にハッキングがありましたからねー
私はmineoが悪者にされてる印象を受けました。
>> docoa@プロフ画像は変更不可 さん
消さないですよmineoマイページ乗っ取りがあった場合でも、悪いのは犯人です
>> さと さん
そこじゃない。そりゃ犯人が悪い。んじゃなくて、mineo「だけ」でないって事です。
色んな携帯電話会社でもある話なので、
mineo「を」決め打ちにするのはおかしいのでは?って事。
んで、決定的で明白な立証が出来ない・証拠がない状態で、
第3者で外野の1ユーザーが、行動を起こすのが正しいのか?
って事です。
さとさんが被害者の当事者なら私は同意できるんですが…
>> docoa@プロフ画像は変更不可 さん
別に同意してもらわなくても良いですよーそれぞれの考え方でOK>> docoa@プロフ画像は変更不可 さん
あなたは、さとさんの投稿をとやかく言う以前にご自身の投稿姿勢を見直したほうがいいと思います。あなたの時折マイネ王の掲示板を自分の日記帳か何かのように思っているかのような要旨不明の投稿のほうが私には引っかかります。
例えば、私の場合UQモバイル使ってますけど、my UQ mobileのアプリのログイン一つでも当該ID契約回線経由でないと最初のログインできないなど、いろいろやってますもんね。
mineoのような簡単ログインが大手キャリアでも出来たら、すでにSIMスワップは起こっていても全然不思議じゃないと思いますね。
あまり面倒くさくなるのもイヤですけど、難しいところだと思います。
>> 退会済みメンバー さん
さっき知ったのですが、mineoマイページは二段階認証無しに設定出来るのですね。これでは乗っ取られる可能性がありますね。
>> さと さん
契約者数130万超(でしたっけ?)とはいえまだ大手キャリアと比較したら少数派だから今のところ攻撃者のターゲットになってないだけというのが実のところかと思うんですね。ハッカーが、どうせならMAC OSじゃなくてWindowsを攻撃するのと一緒で。
SIM、盗まれて電波出せずに投稿できないとかだったらまずい。
でも、慌てて焦りまくって書いてるっぽい文面が可愛いですね。
さとちゃ。
>> 退会済みメンバー さん
スレ本文の【1】の話が本当であれば、少なくともmineoマイページは第三者に乗っ取られている事になります。その後の経過がわからないので、一体何だったんでしょうね。気になります。
>> がんばるじゃん@中世"JAP"ランド さん
何も書き込みが無いという事は、安泰だと想像していますが、どうなんでしょうね。メールアドレスは何に書き換えられていたんでしょう。(最後の1行は何でしょう 気味が悪いです💧)
>> 退会済みメンバー さん
>my UQ mobileのアプリのログイン一つでも当該ID契約回線経由でないと最初のログインできない回線認証は便利ですね。特にwifiルータにSIMを入れたときに。でもauPAYに回線認証はやりすぎ。
povo2.0はアプリにログインはメアドで2段階認証。MNPで転出はSMSで2段階認証でしたが。
>> docoa@プロフ画像は変更不可 さん
ニーメラーの詩を挙げるまでもなく「知らんぷり」は良くないとされますが、どうなんでしょうね。「コメントに以下に該当する表現が含まれているため、投稿できません。」
とでて詳細が書けませんが。
>> がんばるじゃん@中世"JAP"ランド さん
ニーメラーの詩をググりましたが、結構興味ありますね。私としては、この書き込みの問題が「問題」になってるなら、
マイネ王でワーワー言っても意味ないと思っているんですよね。
(mineoなり警察が動いているって意味で)
感情論や過激な正義論を振りかざすのは…って思っております。
これは今の仕様では可能なんです。多要素確認無く変更できます。
こちらに詳細を書いています。
https://king.mineo.jp/ideas/308575
これは自分でパスワード変更をするなどの防御ができない情報なので、防ぐ事が出来ません。初期eoIDパスワードや誕生日なんて変えられませんからね。
その上で、自分で二段階認証をオフにしている人は、そのまま突破されてしまいます。
つまり【1】のパターンは不思議でも特殊な事でも何でもなく、闇名簿が流通していた場合に起こり得ると素人でも思い付きます。
どちらかを塞ぐ必要があるんじゃないですかねー。少なくとも二段階認証の解除がずっと出来てしまうのはかなりヤバいのでは、と思って来ました。
「mineoマイページの二段階認証を原則必須にする」
https://king.mineo.jp/ideas/309687