ハッキング被害に対するmineoとのやり取り
パスワードリスト攻撃の被害者の一人となってしまったようでmineoからIDの停止などの
連絡とフリーダイヤルへの電話をしてほしい旨の連絡が来ました。
以下、現状でmineoとしたQ&Aです。
※誤字脱字についてお許しください。
※IDパスワードが他サイトで使用していたものと同じだった点については完全に自己責任だと理解しています。
以下は流出した個人情報についてmineoに対する問い合わせです。
Q.個人情報が流出したかどうか教えてほしい。
A.現状では二次被害などが出ていないため個人情報は流出していないと考えている。
Q.ログインされたのに個人情報が流出していないとはどういう意味か?ログインした瞬間そこが個人情報ではないのか?
<2分ほど「状況がわかる人間に話を聞きに行く」と電話が保留>
A.申し訳ございません。
Q.mineoのページはログインしたら画面全部が見えなくなるの?
<2分ほど「状況がわかる人間に話を聞きに行く」と電話が保留>
A.申し訳ございません。
この時点ですでにオペレーターは質問に答えなくなる。
何を質問しても「わかる人間に聞きに行きます」といって保留にされる。
何を質問しても結局は「申し訳ございません」としか言わない。
Q.ログイン後の不正アクセス者のログイン後の各URLへのアクセスログは残っているのか?
<2分ほど「状況がわかる人間に話を聞きに行く」と電話が保留>
A.残っています。
Q.では「どのページを閲覧されたか」を教えてほしい。二次被害を出したくない。
<2分ほど「状況がわかる人間に話を聞きに行く」と電話が保留>
A.分かりかねます。
こちらとしては最大の問題として「お客さま情報照会(eoID等)」のページにアクセスされると「秘密の質問」とその「答え」が見られてしまうことに懸念がある。
これで全く違うパスワードでも「秘密の質問」経由でアクセスされるページが出てきてしまう可能性があるからです。
Q.ログが残ってるならどのページを閲覧されたか分かるはず。分かる人間に回答させてほしい。
A.わかりました。折り返し電話いたします。
※この時点で朝の10:30です。
このあと一切電話がかかってきません。
20:00の時点でしびれを切らして再度電話します。
Q.折り返しかけてくるって話はどうなった?連絡するつもりはないのか?
A.申し訳ありません。必ず折り返させます。
その後、5分して折り返し電話がかかってくる。
完全に折り返し電話を忘れていたようである。
Q.どのページを見られたか分かったか?
A.分かりかねます。
Q.各ページへのアクセスログがあって不正アクセスの対象IPからが6000件しかない。アクセスの日時もわかっている。なのになぜ分からないのか?
A.調査中としかお答えできません。
Q.必ず調べて連絡してくると言う約束で10時間放置されたがどういうつもりだったのか?
A.申し訳ありません。
Q.結局のところ、個人情報は流出したのか?
A.個人情報は現時点では流出しておりません。
Q.どのページを見られたかも分からないのに?ページログインした瞬間に個人情報が流出してるでしょ?
A.いいえ流出していません。どのページを見られたか現状ではわかりませんが個人情報は流出しておりません。
色々細かく聞くとmineo的には、被害が出たら「個人情報が流出した」、出なかったら「個人情報が流出していない」という見解らしい。
Q.これ電話切ったら二度と連絡して来ないよね?本当に調べてるの?
A.調べています。
Q.じゃ明日の18:00にもう一度電話してほしい。そこで各ページへ閲覧ログの解析結果を教えてほしい。
A.了解しました。必ず電話いたします。
翌日18:30、mineoから電話がかかる。
以下、カオスなやり取り。
Q.調査結果は出た?
A.お客様個人でログ情報を確認できるページがございます。
Q.本当に?それはこちらが見落としていた。教えてほしい。
A.mineoのマイページにログインいただければ、使用量の円グラフの上にログイン情報が表示されています。
Q.え?IDロックされてるのにどうやってアクセスするの?
A.あ、申し訳ありません。
沈黙が訪れる。
Q.別アカウントでログインしてページ確認できるけど、それで確認しても良い?
A.はい。不正アクセス被害アカウントでなくともページの表示位置は確認できます。
ここで妻のアカウントを借りてページを確認。
そんなもの全く無い。
Q.え?そんなの一切ないよ。どこにそんな項目やページリンクがあるの?
A.え?PC版ですか?すいませんPC版を確認してみます。
この時点で電話口の向こうで何の画面を見て連絡してきているのか全くわからない。
5分以上放置される。
A.すいません。違うページでした。eoの公式ページにアクセスください。
Q.一体何調べて連絡してきてるの?これ大丈夫なの??
A.申し訳ありません。
Q.で、どこを見ればよいの?
A.「ログイン履歴」をご確認ください。これでログインの履歴が見れます。
これでよろしいでしょうか?
Q.え?何言ってるの?大丈夫?理解して電話してきてる?
不正アクセスされてるから不正ログインがることなんか分かってるんだよ。
こちらが要求しているのは「どのページを閲覧されたか?」の情報。
丸二日かけて何を連絡してきてるの?
A.申し訳ありません。
Q.ちゃんと引き継ぎされてるの?
A.申し訳ありません。
Q.ページの閲覧ログは本当にあるんだよね?
A.あります。
Q.じゃどのページ見られたか教えてほしい。
A.申し訳ありません。
これ以降何を聞いても「申し訳ありません」の無限ループ。
さらに黙りこくって一切発言しなくなったりする。
Q.丸二日かけて何も伝わらず、これ調査とかどうなってるの?
A.申し訳ありません。
Q.これアクセスログは本当に存在するんだね?
Apacheのログしかなくてセッション情報とも紐付いていないから何もわかりませんとか言い出さないよね?
(Apacheログでも特定IPからの不正アクセスだから十分情報拾えると思うけど……)
A.ログは絶対にあります。
Q.いつになったら閲覧されたページ教えてくれるの?
秘密の質問と答えも漏れてるかもしれない。これってパスワード漏れと同じでしょ?
A.申し訳ありません。
頭痛が痛い状況になる。
Q.6000件程度の不正アクセスなんだから直ぐに閲覧ページわかるでしょ?
A.申し訳ありません。
Q.調査してるんだよね?ちゃんとアクセスページ連絡してくれるんだよね?
A.はい、調査ができしだい、お客様には個別に連絡いたします。
Q.明日も経過情報ちゃんと連絡してきてほしい。
状況をちゃんと理解して、調査結果を教えてほしい。
「なにか保証しろ」という話ではなく「どのページがアクセスされたか」だけ教えてくれ言ってるだけ。
「秘密の質問」をマスクせずに垂れ流してるせいで二重被害が起きるかもしれない。
すぐにでも教えてほしい。
A.わかりました。明日連絡いたします。
現状は以上です。
パスワード流出は自身が悪いので仕方がありませんがmineoとのやり取りがぐだぐだで欲しい情報を教えてもらえず苦しんでいます。
不正アクセス被害で閲覧されたページを教えてもらえた人は存在するのでしょうか?
『パスワードを含めたアカウント有効性の確認』なので、ログインできた時点でそれ以上情報を閲覧せず「このパターンであれば不正アクセスが可能というフラグを記録する」だけ、という行動に出る場合もあります。
※その場合、しばらくして再度同じアカウントにログインし、その上で
重要な情報を閲覧→全て内容を確保し、そこから有効性の高い情報を
絞り込んでまとめた情報を転売する。
あとはアングラマーケットで流通することになりますね。
今回の件はまず「ログインできてしまったこと」が本来であれば「突破できると困る防壁を超えられてしまった」訳で、それについては「システム管理側・利用側、双方の認識が甘かった」のも一因だと言えます。
かといって管理側だけに詰め寄っても仕方がないので、まずは「現状のステータスをきちんと確認し、その上でどうするのか」を双方で共有して可能な限り被害を防ぐしか無いでしょうね。
個人的な感覚では「早い段階で情報公開するのは重要」だと思いますし、現状判明している限りでまずは対策を打つのが今の動きとケイ・オプティコム側が考えている節もありますし、それ以上、例えば実際の被害が発生した場合は個別事案となるか否か?辺りまで共有しておく必要はあると考えます。
解決祈ってます。
お気を悪くされたらすみません、
閲覧されたページを知って、あと、どうされるのでしょうか?
トラブった時のmineoサポセンの酷さは私も経験してますから、容易に想像ができます。
全てのスタッフがそうだとは言いませんが、すぐにバレるような嘘をついてその場を誤魔化す事も平気でする(されました)スタッフは実在しますから、しっかり記録を取りながら粘り強く取り組むしかないと思います。
残念ですが、マイネ王のこのスレも、通話の内容をオープンにしないでくれ、とか、不快とか晒しを理由に削除要請が来る可能性はあります。
電話サポセンも、最終的に「すみません」の連発で、根負けするのを狙って来ると思います。
たとえ道理に合わなくても、mineoサポセンは完全ゼロ回答で押し通すかもしれません。
お腹立ちでしょうし、大変でしょうが、理屈や道理が通るとは限らない相手なのです。
誠実な回答が得られない事もしばしばある、mineoサポセンとはそういう相手なのだと認識した上で対応なさる方が良いかもしれません。
真っ当な回答が帰って来る事をお祈りしております。
大変でしょうが、頑張ってくださいね。
なかなか回避できないネット社会の被害なので文句の言い先は無いのが現状かも知れませんです。実害(不正カード使用等)が無いのでしたら静かに見守ればよろしいかと思います。
私も同じ疑問(どのページを閲覧されたのか)を持ってました。興味あります。
秘密の質問と回答が平文であるんですね。
一応変更しておきました。
是非結果のアップをお願いします。
私のところには、本日(8/20)の20:55に連絡がありました。
このタイムラグって何なんでしょうね?
(もしかして被害が拡がってるとか…)
まだ連絡が来るのですか? 対象でないと安心していました。別IPで攻撃は続いているという事ですかね?
パスワードと秘密の質問の回答、どっちが推測しやすいか。。。
変なジョークはやめてください。ビックリしました(^^)
私の過去の経験からの予想。
連絡してこない 50%
連絡してきて、「これ以上説明することはありません」 49%
その他 1%
別IPで攻撃が続いているという可能性は低いにしても、
>まだ連絡が来るのですか? 対象でないと安心していました。
という質問に対しては、本日(8/20)の20:55に連絡が来たくらいですので、明日以降に連絡が来る方もいる、と考えておいたほうが宜しいかと思います。
念のため、パスワード、秘密の質問変更して、
ログイン履歴チェックしてます。
(その場ですぐ変更できてしまいました。。。
登録メールに変更用urlを送って、と言う段階式に
した方が良くないでしょうか・・・)
パソコンの場合
https://login.eonet.jp/auth/Login/myPage
からログインするとログイン履歴が見れます。
そうですね。まだ連絡来る可能性はありそうですね。
Dark Side of the Moon さんも対象だったんですね。使い回しだったのですか?
だんだん心配になってきたので確認しちゃいました ^^;IPアドレスも不審な点はなく一安心……
漏れてようが漏れていなかろうが不正アクセスされた時点で秘密の質問なり同じパス使ってたやつなり確認して変えるしかないだろ。
ログを細かく解析した結果どうしたいの??
絶対に秘密の質問は漏れてませんって言われんの期待して、仮に漏れてなかったらよかったーっていって秘密の質問をこれからも同じものを使い続けるの?不毛。
解約しても解決にはならない。
解約したらログイン方法変えるとか無いかな。
クレジットは、残ってませんが
氏名
住所
連絡メールアドレス
秘密の質問回答等残っています。
また顧客の不安解消にも繋がります。
入口防ぎましたから後はOKですでは無いです。
mineo側で見えて無かった(軽く考えていた)面もユーザー指摘により改善に繋がる事もあるかと思います。
細かく分析して行くとやはり情報が漏れていたと言う結果になるかも知れません。そうなると問題もさることながら、漏れた原因を再調査をしないといけなくなります。
後手後手な事しているとどんどん突っ込まれますね。
私には連絡は来ていませんが…https://login.eonet.jp/auth/Login/myPage
で、ログイン履歴を見たら
5月と6月に私はアメリカからログインしていた様なので先ほどPWを変更しました。
私はIDとPWの使いまわしはしていないし、結構強力なPW(英数字+特殊文字10桁)にしているのですがねぇ~(>_<)
連携変えた時になるらしい。
https://king.mineo.jp/question-answer/サービス全般/申込方法 その他/19540
参照
有用なコメントにチップを送りたいのですがeoIDがロックされており現状できない状況です。
mineoが「郵送で新しいIDとPASSを送ってくると約束していますが現状手元に到着しておりません。
申し訳ありません。
昨日の報告で忘れていたのですが現状eoIDが無効になっているにもかかわらず、メールアドレスは生きています。
mineoはメールパスワードを初期化すると「mineoメールアドレス変更/パスワード初期化」ページにパスワードが平文でしばらくの期間表示されます。
ハッキング被害の連絡は「mineoメール」で来ますのでハッキング後にメールを盗まれると、その被害に気が付かないということが有り得そうです。
この辺のことは被害ダイヤルに連絡してもオペレーターは理解していません。
平文で「秘密の質問」と「回答」が存在することも理解していませんでした。
ちなみにオペレーターとのやり取りを各所で公開することは電話口で了解を頂いています。
以下長くなりそうなので幾つか分けて回答します。
現状ステータスの確認をmineo側と取りたいのですが今の所うまく行っていない状況です。
無差別ログインでIDとPASSが生きているかの確認だけなのかと当初思ったりもしたのですがアクセス後にそれ以下のページをDLすることなど、いとも容易いので全情報が取られているという覚悟と認識ではいます。
mineoの見解では「個人情報は漏れていない」が「どのページを閲覧されたかログがあるけど分からない」状況のようですが…
>ふみえもんさん
何が行われたか、何を持っていかれたかは、被害を知る上で非常に重要だと思っています。
泥棒に入られたあとに「何持っていかれたかとか関係ない。泥棒に入られたのは事実だし。鍵変えておしまい。」とはならないと思います。
mineoの見解では「個人情報は漏れていない」ということなので、アクセスログから状況解析されればそれが「本当」であるかどうかも確認できます。
また「平文」で閲覧可能な「秘密の質問」が覗かれていた場合、mineoはその事実を被害者だけでなく「全ユーザー」に伝えるべきだと考えています。
>wagamiさん
サポセンの噂は聞いていましたし、どのキャリアでもサポセンが酷いことは多いと思います。
ただ「約束した折り返し電話が掛かってこない」「催促の電話を入れたら5分で掛かってくる」のあたりはかなり閉口しました。
忙しいのは分かるのですが……。
あと計3人のオペレーターと話しをしましたが基本的に回答に困ると「申し訳ありません」を会話の文脈と関係なく繰り返すだけになるので全く会話が噛み合いません。
またオペレーターが会話を理解していないので引き継ぎ後に出てくる次のオペレーターが以前の話の流れや内容を一切理解していません。
約束では本日の18:00以降に連絡が来ますがまた一から同じ話をしなければならないという覚悟をすでに決めています(^^;
こちらが折れるのを待ってそうですね。
>マイネ神さん
「秘密の質問」が「平文で閲覧できる」問題についてmineoは「全ユーザーに周知する」or「閲覧できなくする」のどちらかの対応を取るべきですね。
これがなければまだ被害としてマシだったと言えるのですが……。
継続してmineoと話を続ける覚悟をしていますので、都度状況報告できればと思います。
>Dark Side of the Moonさん
オペレーターの見解として「順次報告している」との事をおっしゃられていたので、未だに不正ログインの確認とその被害者に順次報告が行われているのかもしれません。
またmineoの対応として「問題となったIPアドレスからの接続を遮断した」だけなので別IPから今後の第一次の被害者以外のユーザーに対して攻撃が行われた場合mineoが防いでくれるかどうかは分かりません。
ただ公式見解にないだけで同一IPからの連続ログインに対する対応もしてくれていると信じたいですが。
どうでしょう?
mineoは全ユーザーに啓蒙として「パスワードの変更」「秘密質問の削除」は強制させてもよいのではないかと思います。
>ghさん
ありがとうございます。少なくともこのページで8/13-15で見覚えのないIPからログインがあったかどうかだけで自身が被害者となっているかどうかは確かめられます。
※mineoオペレーターに「各ページの閲覧履歴」として案内されたのがこの「ログイン履歴」のページでした。
報告がなく傍観者になっている方も、直ぐにここをチェックすべきです。
>彊華さん
忙しいのは分かるので折返しがないのはキツイです。放置されると精神的にキツイです。電話が来ると思ってずっと待ってないと駄目ですしね。
一応言い訳が「ずっと調査していました」で結果は「分かりませんでした」でしたが。
催促したら5分で掛かってくるところがまたなんとも言えない気持ちにさせられました。
これなら10時間も待たずに1時間程度で催促すればよかったですね。
そうですね解約しても何も解決しません。
漏れた情報を他サイトで使いまわしてないかを根気よく探して潰すしかありません。
未だに新しいeoIDが手元に来ないために自分自身「秘密の質問」の内容が分からないので対応が後手になっていて辛いです。
秘密の質問については親の旧姓、母校名、担任の名前、などなど定番のものが多そうでパスワードと違って事実は曲がらないので厳しいです。
>カポエラさん
mineoがひたすらに「個人情報が漏れていない」とコメントするのは信用に関する様々問題などあるからだと用意に想像がつくのですが、今後被害者の多くが閲覧履歴を求めた場合に事実はネジ曲がらないと思うのですが。
不正ログインされてもその後に被害がなければ「漏れてない個人情報だ!」っていうのも言葉遊びでしかありませんし、今後被害が出てもmineoから漏れた情報での被害かどうかをユーザーは証明できるわけでもありませんし。
今回被害にあって思うのはmineoのサイトは平文管理されている情報が多すぎて、アクセスされたら何でも取り放題だなという事です。
今回の事件でこの辺がいろいろ改善されると良いと思います。
https://mgt.jp/t/country#
で調べて、ドメインの最後が「amazonaws.com」となっていたら問題ないということかな。
閲覧された可能性があるとみて対処するしかないでしょう。
流出したかどうかの情報を確認した所で、それが確かなのか確かめる
方法がないので、確認してもあまり意味がないと思われます。
とはいっても、心配ならメールアドレスや電話番号を変更する、
くらいしか対処法としてはないですが…
・eoIDに対する不正なログインについてのお知らせ
http://www.k-opti.com/announce/180816/
まずは、eo IDだけでなく他のネットサービスのパスワード含めそれぞれ別の
ものに変更し、紙のノート等にメモしておくのが無難だと思います。
それとパスワードの作り方に関しては下記サイトが参考になるかと思います。
・安全なパスワードの作り方!たった2つのルールで使い回しも、覚える必要もなし!
https://www.amamoba.com/pc/pass-rule.html
然るべき社員に相手をしてもらわないと…
mineoも他社と同様の対応を取ると思われますので今後この流出情報で何が起きても知らぬ存ぜぬになる覚悟はしています。
サポートも「個人情報の流出はない」というセリフだけは頑なに言い続けますし「ログインされたらその時点で個人情報の流出でしょ?」の問には頑なに「申し訳ございません」というセリフしか答えませんのでこの部分だけはマニュアル化されて徹底されているのだと思います。
>Kanon好きさん
現在は基本的にパスワードは12桁以上を自動生成してサイト別に使っているのですがmineoはなぜか過去に使っていたパスを使うという愚行を犯してしまっていました。
完全に自分自身のミスです。情けない限りです。
>ふみえもんさん
>テンゴさん
この部分は再度お伝えして置かなければなりませんが一番最初にサポートに電話した際に(電話をするようにmineoからメールが来たので)全く話が噛み合わず、状況をオペレーターが理解していなかったので「分かる人を出してほしい」「理解している人間に変わってほしい」と伝えた結果「詳しく分かる人間から折り返し電話させる」の回答を頂いて10時間放置された次第です。このオペレーターさんは女性でした。
そして掛かってきた電話(この電話口は男性でした)で上記記載のような対応があり「翌日に調査して電話してくる」という回答をいただきました。
結果電話が掛かってきましたが電話口は女性オペレーターで、全く頓珍漢な回答と対応を取られた次第です。
電話をかけてくると約束した「男性」からの電話ではありませんでした。
今日の18:00にまた電話を掛けていただく約束ですが、一体どんな立場の人間がどのような回答を持って電話してくるか検討も付きません。
13〜15日では終結せずに、その後も20日の12時30分まで追加で500件以上の攻撃が発見されたために、20日の案内になったということでした。
この件については先ほど記事が更新され、延べユーザー数も7,131件に修正されましたが、20日の案内メールの時点では更新されていませんでした。
http://www.k-opti.com/announce/180816/
参考まで。
なんとなく予想はついていましたが被害が拡大していますか。
全ユーザーに対して何らかの対応を取らないと被害拡大が続くかもしれないですね。
オペレーターからの回答が当該IPのブロック以外何もしてない感じの回答だったので少しだけ予見できたのですが、まさか現在進行系でハッキングが続いているとは…