NAVERのパスワード漏えいはNAVER以外のサービスにも影響あるよねぇ

【NAVER】NAVER会員情報への不正アクセスに関するお知らせとパスワード変更のお願い

7月17日20時51分から18日10時57分まで不正アクセスに関する痕跡を確認。
流出した可能性のある情報
Eメールアドレス、ハッシュ化されたパスワード、アカウント名（ニックネーム）

流石にパスワードはハッシュ化されていたと見えるが、これも同じハッシュ値だと同じパスワードだとわかるので、犯人が前から保有していたNAVERアカウントを持っていれば、自分が設定したパスワードと同じハッシュ値を検索することでパスワードが分かってしまうアカウントもあるかもしれんな。
（パスワードだけでハッシュ値を求めるような関数ではなく、アカウント名とパスワードを組み合わせてハッシュ値を作るとよいのかもしれんな）

で、（めでたく）NAVERアカウント（Eメールアドレス）とパスワードが一致した場合、今度は犯人は別のサービスでそれらを組み合わせてログインを試みる可能性がある。勿論、いろんなサービスで同じパスワードを使うなよという突っ込みはあるだろうが、みんな結構使い回してるのが現実じゃないのかな？

※日本以外で提供しているNAVERサービスのアカウント、およびTwitter・Facebook・livedoorアカウント等でログインするOpen ID認証システムにより生成されたアカウントは対象外となります。

というのはOpenIDを使ったアカウントの場合はの場合はハッシュ化されたパスワードを格納するレコードには何もないのかもしれんな。
NAVERアカウントを登録したい - NAVERヘルプセンターには

NAVERアカウントの登録画面でご利用になるユーザー名、メールアドレス、パスワードを入力してください。このメールアドレスがログインIDとなります。

と書かれている。日本で提供しているNAVERサービスを利用するためのNAVERアカウント169万2,496件に影響があったということは、犯人は169万2,496件のメールアドレスの束を入手したことになるね。
で、スパムメール業者にこれが売られたとなると、もうNAVERとしては「パスワードがハッシュ化されてるから大丈夫だよね、ね？」というわけにはいかないであろう。
で、このメールアドレスを使って悪意のある第三者が「あなたのNAVERアカウントは流出しました、いますぐこちらでパスワードを変更してください」と偽のフィッシングサイトへ誘導してパスワードを入力させたりするような事態が起きなきゃいいけどねぇ・・・

ちなみに、【重要】NAVER会員ログインパスワード変更のお願いから「パスワード再設定」を押すと「500 - Internal Server Error」になるんだがｗ
大丈夫か？NAVER？

iGoogleの代替として検討していたPageFlakesのページ、なんか怪しくないか？

iGoogleがいよいよ終了するのでマイポータルサイトを本格的にさがしている。
NetvibesやMy Yahoo!でもいいのだがちょっとしっくりきていない。そういえば、PageFlakesってのがあったなと思い調べてみた。
サイトはあったのだが、どうもこのサイトはちょっとおかしい気がする。

【注意】以降のページでE-Mailとかパスワードの情報を入力しないようにしよう。
http://www.pageflakes.com/
にアクセスしたが、サインアップの画面がポップアップで表示される。
なんか怪しい。
しかもSSL接続ではないっぽい。
Pageflakes - Wikipedia, the free encyclopediaを見てみるとPageflakes Homepage[dead link]、Pageflakes Company Page[dead link]、Gallery of all available Flakes[dead link]となっている。
どうもやはり怪しそうである。これは個人情報を入力するのをためらってしまうな。
やっぱ他のを探さなければ・・・

候補としてはこんな感じか？

• Netvibes
• My Yahoo!
• -まとみ-
• iSoople

うーむ、どれも決定打にかけるな。
なんかいいのないですかねぇ。

Facebookに「電話番号を追加してアカウントの安全を確保しましょう。」と表示された

あまり最近アクセスしてないFacebookにアクセスしたところ、こんなメッセージが表示された。

電話番号を追加してアカウントの安全を確保しましょう。

ん？電話番号を追加するとアカウントの安全が確保される？？
ちょっと意味がわかんなかったんだが・・・

どうもいろいろ調べたらFacebookに登録する際、電話番号は登録していたっぽい。Facebookログイン認証の時にSMS認証としてケータイ電話の番号をつかってたっぽい。で、それと同じものを入力したかどうかをチェックしているという意見があった。

うーむ、いろいろわからんことが多いな。
このへんを読んで勉強してみるばい。

【Facebookアカウントが不正アクセス（ログイン）されていないか（乗っ取りがないか）確認しました】ログイン承認（認証）の設定もしました | 今村だけがよくわかるブログ
【Facebookのログイン承認（認証）機能は「ある操作」をすると強制的に解除されることがわかった】 | 今村だけがよくわかるブログ

WordPressのセキュリティ向上に最低限必要な12の設定

最近いろんなWebサービスが攻撃対象になり、各種サービスでは開発者が其々セキュリティ対策にサービスを更新する日々が続いている。既存サービスの場合は開発元がセキュリティ対応してくれるのだが、WordPressなどのような自分でCMSサービスを設置するタイプのものは自分でこのセキュリティ対策をし続けなければならない。

どこまでやればよいか悩ましいところもあるが、WordPress Securityに良く知られた定番のものから忘れがちな設定までまとめられていたのでメモっとくばい。
どれも直ぐに使えるものばかりなので一度設定してみるとよいですな。

1. 最新バージョンにアップデート

各種セキュリティ対応した最新バージョンにアップデートしておきましょう。プラグインについても更新しておこう。

2. ログインのカスタマイズ

デフォルトのAdminユーザのままではなく独自のユーザを作成し管理者権限を付与するようにしましょう。念のためデフォルトのAdminユーザは削除しちゃおう。で、この管理者用に作った独自ユーザは投稿用に使わないようにしましょう。管理者用アカウントを見せないほうがよいですな。

3. WordPressのバージョンを隠しましょう

どのバージョンを使っているかわかってしまうとそのバージョンに対する脆弱性を突かれる可能性があるよ。

4. ファイルシステムの権限を制限しよう

ファイルの権限はchmodを使って適切に制限しておこう。

5. バックアップを取っておこう

こまったときのバックアップ。バックアップのためのプラグインも幾つか出ているので活用しよう。

6. プラグインのアクセスを制限しよう

www.your-domain.com/wp-content/plugins/ とかにアクセスしたときプラグインファイルの一覧などが出てこないように空のindex.htmlを置いたり.htaccessで制限をかけたりしましょう。

7. データベーステーブルの接頭辞を変更

デフォルトの「Wp_」ってのはやめて別の接頭辞を使おう。

8. デフォルトの秘密鍵を変更しよう

secret-keyジェネレータにアクセスして AUTH_KEY , SECURE_AUTH_KEY , LOGGED_IN_KEY , NONCE_KEY , AUTH_SALT , SECURE_AUTH_SALT , LOGGED_IN_SALT , NONCE_SALT の値を変更しておこう。

9. セキュアなログインページ

ログインページのエラーメッセージを削除するようにしよう。

add_filter('login_errors',create_function('$a', "return null;"));

こうするとユーザ名とパスワードの部分に表示されるエラーを表示しないようにできるようです。

10. セキュアなデバイスを使おう

PCとサーバのウィルス対策、OSのアップデートはしておこう。

11. ログイン情報を共有しないようにしよう

他人とログイン情報を共有しないようにしよう。ソーシャル・エンジニアリング対策には限界がある。最もセキュリティ的に弱いのは人間ですな。

12. コンテンツを保護しよう

コンテンツをアップロードする際、意図せずにマルウェアなどをアップロードしてしまうことがあるかもしれない。更新作業は慎重にやりましょう。

なお、11にも少し言及されているがWordPressを動かすためのApache , PHP , MySQLやPostgreSQLなどのデータベースに代表されるミドルウェア及びLinuxなどのOSそのもののセキュリティ対策は別途必要である。

他にもいろいろあるのかもしれんが少なくとも上記12個はやってみたほうがよいですな。
（ via WordPress Security ）

SSLをログイン情報入力画面から使用していない脆弱性のあるサイトを調べてみた

2005年あたりから高木浩光先生がこんな指摘をされている。
高木浩光＠自宅の日記 - SSLを入力画面から使用しないのはそろそろ「脆弱性」と判断してしまってよいころかも
理由としては上記日記から引用するが

SSLをパスワード送信先の画面からではなく、入力画面から使わなくてはなら ない理由のもうひとつの重大な理由は、パケット改竄可能な状況での盗聴が可能になってしまうからだ。

ということのようだ。
あれからもう7年以上経過しこれは浸透しているのかなと思ったがまだログイン画面がSSLに対応していないところもあるっぽい。「SSLでのログインはこちら」とSSL利用、非利用のログイン画面を分けているところもある。個人的にはSSLのログインのみ可能にしていればよいと思うがhttpでのログインを何故用意しなければいけないのか合理的な解答が思いつかないので識者の方、教えてください。

まあ、Webの最北端に書いてあるこのページの情報はそんなに目にされることはないのでどの程度効果があるか知らんがGoogleさんで調べてみた結果をまとめてみることにした。

Googleで検索したのはこんな検索式。

intitle:ログイン画面 inurl:http://
intitle:ログイン inurl:http://

どのようなサービスをやっているのかは今回の調査では特に調べず、あくまでも上記検索式にヒットしたサイトを幾つか紹介するという感じである。
(SSLのログインを併用しているサイトもピックアップしています。上記検索式にヒットしないが、この手のサイトでダメな例によく取り上げられるのがmixi(ミクシィ)ね。)
で、その結果がこんな感じ。

1. Ameba (アメーバ)｜いっぱい遊べる！コミュニティ&ゲーム SNS
2. JALマイレージバンク - 会員ログイン
3. ログイン｜Ponta [ポンタ]
4. nanacoギフト / ログイン
5. ログイン - ポイントタウン byGMO
6. 「アクセスメール」-　ログイン
7. ログイン - ハンゲーム
8. ログイン｜無料ゲーム・オンラインゲームはネクソン
9. ログイン | Capcom Online Games(カプコンオンラインゲームズ)
10. 日本最大級のPC・スマートフォン対応アフィリエイトサービスA8.net
11. 会員ログイン｜FX｜外為オンライン　FX取引 − あなたの為の、外為を。
12. ログイン｜FXなら安心と信頼のFX セントラル短資ＦＸ
13. お客様ログイン | FXCMジャパン証券
14. 野村證券健康保険組合−ログイン
15. マイナビ2013 - ログイン画面
16. ログイン画面 | 転職・求人情報サイトのマイナビ転職
17. ログイン 日経BPビズボード
18. にほんブログ村 ログイン
19. ログイン｜パーソナルクラウド・データ保存・ファイル共有はマイポケット
20. ログイン｜ポイント＆懸賞でお得なネットライフをお届け！ フルーツメール
21. ログイン｜ひかりＴＶWeb会員
22. ログイン - Stickam JAPAN!(スティッカム)
23. ログイン 企業ユーザー向けライセンス版ダウンロード McAfee
24. ABC Cooking Studio 会員専用サイト　ログイン画面
25. ログイン画面｜速レポ〜お支払計算書・各種提供データ内容照会サービス｜法人・加盟店サービス｜ジャックス
26. 楽天トラベル：楽天会員ログイン画面
27. 【たのめーるインフォ】ログイン画面
28. Cisco Entrepreneur Institute: ログイン画面
29. 見積ログイン | 三井ダイレクト損保（クイックナビゲーション）
30. 山口県立大学YPU Mail for Students - ログイン
31. JTB旅ホ連ネット：ログイン画面
32. 群馬物産館eCommerceユーザログイン画面 - 日本医薬品販売株式会社
33. 社団法人 日本産科婦人科学会　ログイン画面
34. 文京学院大学・短期大学学習支援サイト: ログイン画面
35. アクアネオス ログイン画面
36. PubMedCLOUD ログイン画面
37. 日清医療食品会員さま専用ログイン画面
38. ログイン画面｜医中誌Web
39. ログイン画面|CROOZブログ
40. SPCグループウェアログイン画面
41. ログイン画面−学習の高速道路・高校生向け映像教材、映像授業｜ベリタス・アカデミー
42. デマンドモニタリングシステムログイン画面
43. Alliant International University: ログイン画面
44. アヴァンス　法務事務所　お客様ご利用履歴照会　ログイン画面
45. JOVY加盟店様サイト　ログイン画面
46. トータルマリアージュサポート　ログイン画面
47. 岡山おもてちょうサイト-ログイン画面ページ
48. 臨済禅　黄檗禅　公式サイト ： ログイン画面
49. よそうかい.com　ログイン画面
50. LOGIN - BPRESSONE -

まあこれでも高木先生のご尽力により減ってきているんだとは思いますが、中には金融系のサイトや企業情報を取り扱うサイト、かなり有名なサイト（驚き）などもあります・・・
個人的な感想としては医療系のサイトに不備が多いように見受けられます。
サイト担当者の方は何かの間違いで検索エンジンに引っ掛かってこのページをご覧になったらWebサイト構築担当者に一度ご相談いただき、是非修正いただきたいものであります。
よろしくばい。

(2013/1/27 23:30 調査サイトを追記)

「暗号化されたページをディスクに保存しない」の設定を推奨するWebサービスはいかんだろ？

どこのサービスとは言わないが「Internet Explorerを使っているユーザの方へのお知らせ」的なページでページの表示に不具合があるので「インターネットオプション→詳細設定→セキュリティ→暗号化されたページをディスクに保存しない」の項目をOFFにしてね、というお願いがされていた。
そもそも、この項目にはどういう意味があるのだろう？

セキュリティの話 Internet Explorerの設定２によると

＜解説＞
暗号化されたページには、クレジットカード番号などの 重要な情報を含む場合がありますので、これは保存せずに 削除したほうが安全です。よってONにしましょう。

つまり上記の設定を推奨するということは

暗号化されたページには、クレジットカード番号などの 重要な情報を含む場合があるけど、ディスクに保存しちゃうよ。でもいいよね？よってOFFにしましょう。

と言っているのではなかろうか？

Internet Explorerのversion 9のバグなのかわからんが、自社のWebサービスの閲覧のために一般ユーザのセキュリティレベルを下げさせることを推奨するってのはなんか違うだろ？
ちょっとどういう意図で上記のような設定を強いるのか謎である。
「暗号化されたページをディスクに保存しない」のキーワードでGoogle検索するとそういうサイトが幾つもあるなぁ・・・

あと「インターネットオプション→インターネットゾーンの設定を中から低にしてください」とか書かれているサイトも同じだな。

頼みますよ、ホント。

退会したはずのLinkedInからメールが来るのは個人情報を削除してないのか？

先日Linkedinのパスワードが漏えいしたようなので退会方法を調べてみたで記載したとおりLinkedInを退会した。元々殆ど使ってなかったのであまり未練はなく、退会完了しスッキリしていたのだが、昨日退会したはずのLinkedInからメールが来た。

From:linkedin@em.linkedin.com
Subject:【LinkedIn】Reid Hoffman（LinkedIn創業者）来日イベントUSTREAM中継のお知らせ 6月18日・19日
内容はLinkedIn 創業者リード・ホフマン × 楽天 三木谷浩史社長 日本応援 LinkedInファンイベント 今こそスタートアップ！を　- LinkedIn navi [リンクトインナビ]のお知らせだったのだが、ちょっと待て。何でオレのメールアドレス握ってるの？
サービス退会したからメールも送信されないのかなと思ったが退会後もユーザーのメールアドレスは保管してるのか？
メールの最後に、

LinkedIn ではサイト活用に役立つ情報を定期的にご案内しています。本メールの配信停止は、 こちら から行ってください。

と記載されているが、リンク先は、「Email marketing from Experian CheetahMail」というドメインだった。
これはLinkedInの登録情報とは別にLinkedInが会員情報をEmail marketing from Experian CheetahMailに送っているということなのかな？謎すぎるな。

要望としては退会後は別システムを使っていようが配信メールのアドレスも削除してほしいってことだな。

LinkedIn、いろいろ気持ち悪すぎるな。

Linkedinのパスワードが漏えいしたようなので退会方法を調べてみた

LinkedInが約650万件のパスワードを漏洩  利用者は今すぐパスワードの変更を！ | Over the Vertex of Technology by 朝山貴生に書かれているようにどうもLinkedInのパスワードが漏えいしたようである。（ ソースはこれか。Linkedin Blog ≫ Updating Your Password on LinkedIn and Other Account Security Best Practices ）
LinkedInの公式ブログを読むとパスワードが盗まれちゃったけど、そもそも「他のサイトで共通のパスワードを使うんじゃねーよ」とか「パスワードフレーズを辞書から使うんじゃねーよ」とか「文字の代わりに似た数字（E→3、o→0）にしたらどう？」とか言訳がましく書かれておるようだな。
で、まあパスワードの変更方法なども書かれているのだが、ここでは既にLinkedInって一度アカウント登録したけどもう使ってないよねという方に退会方法を紹介。

1. LinkedInにログイン
2. 右上の自分のアカウント名から「setting」を選ぶ
3. Account & Settings | LinkedInに遷移するので左下の「Account」から「Close your account」を選ぶ
   
4. 退会理由を聞かれるので理由を答え「Continue」を押す
   
5. 確認画面が表示されるので「Verify Account」を押す
6. ホントにいいのかもう一度聞かれる。本当に退会する場合は「Close Account」を押す

これで退会できると思われる。

ということで殆ど使ってないし退会してみた。気が向いたらまた登録するかな。

退会したグル―ポンから個人情報を完全に削除する方法は絶対おかしい

これまでの経緯：

• グル―ポンというサイトがあるようなので登録してみた。
• しかし、全く使わないことが判明したため退会した。参考：グルーポン(GROUPON)に登録したが、自分には全く関係ないサービスだと気付いたので退会した
• しかし、退会したにも関わらずグル―ポンからお知らせメールが届いた。個人情報が消えてないようだ。参考：退会したグル―ポンからメールが来たが個人情報は消えてないのか？

もうここでおかしいのだが、今日更にへんなtwitterのつぶやきを見つけた。

Twitter / @あちょぷ: @GP_jp 退会してるのにメールを送ってくるのはやめていただきたい。退会してるのにメールアドレス保管してるって事ですよね？

まったくもってそのとおりである。
これに対しグル―ポンはこの返答。

Twitter / @achop 大変申し訳ございません。退会された顧客情報は、情報の保持期間内の為残していたという経緯です。お手数かけますが完全削除をご所望の際は support@qpod.co.jp までご一報いただけますと幸いです。何卒宜しくお願いします。http://bit.ly/eHeCJi

意味がわからん。

そもそも「情報の保持期間内の為」の保管期間て誰が決めたの？
どっか書いてあるの？？

しかも「全削除をご所望の際はsupport@qpod.co.jpまでご一報いただけますと幸いです」ってそれ、どこに書いてあるの？「support@qpod.co.jp」でgoogleで検索してもこのアドレスは殆ど出てこない。グル―ポンのサイトにはこのアドレスが掲載されていないのにここに問合せしろといわれても・・・

仮に削除してくれとsupport@qpod.co.jpにメールを出したとしよう。
しかし、グルーポン(GROUPON) - プライバシーポリシーの「個人情報の開示･訂正･利用停止･削除」の項目を見ると

当社は､本人または代理人から個人情報の開示･訂正･利用停止･削除等を求められた時は､速やかに手続きをします｡ただし､手続きにあたって､本人確認書類(免許証･住民票の写しなど)をご提出していただきます｡

ん？

1. support@qpod.co.jp に退会するぜとメールを出す。
2. 退会したければ本人確認書類(免許証･住民票の写しなど)をだしやがれ

ってことですかい？
twitterでは完全削除にはメールしろとしか書かれてないが、本人確認書類って一体どういうときに使うのか？
削除に必要なため本人確認書を提出して削除したけど本人確認書は削除してくれるんだろうな？

どうなってんの？この会社？
やっつけすぎじゃねーか？
個人情報の取り扱いに全く一貫性がねーな。
不誠実な企業だなぁ・・・

もう爆発しろ！！

退会したグル―ポンからメールが来たが個人情報は消えてないのか？

ちょいとグルーポン(GROUPON)とやらにかなり文句をいいたい。

先日グルーポン(GROUPON)に登録したが、自分には全く関係ないサービスだと気付いたので退会したでも書いたようにグル―ポンを退会した。
もう使うことはないなと思い退会したのだが、登録だけしておいて使わないという選択肢も実はあった。グル―ポンから来るメールは迷惑フォルダに振り分ける設定にしておけばよいという考えもあったが、使わないサービスに個人情報を預けておくのもよくないので退会するに至った。
で、退会は正規の手続きで退会したわけだが、昨日グル―ポンからこんなHTMLメールが届いた。

ホーホーホー！
グルーポン・サンタより皆様にちょっと早めのクリスマスプレゼント。
今、グルーポンで会員登録された方に12月24日(金)まで使える500円割引チケットプレゼント。
友達に、家族に、恋人に。。。そして自分にグルーポンをプレゼントしよう！


こちらのURLから 会員登録をお願い致します。
※12月24日（金）23:59:59までの期間限定のチケットです。

友だち紹介キャンペーンもやってるよ！ サンタ企画とあわせてHAPPYになってね！！



皆さまから のご意見・ご要望を心よりお待ちしています！
support@groupon.jp


Groupon Japanチーム一同より
http://www.groupon.jp/special/?sp=ChristmasSpecial2010


デイリーグルーポンアラートにご登録いただきました方を対象にメールマガジンを配送しております。
配信解除をご希望な方はいつでもこちらよりお手続きいただけます。
個人情報の取扱いに関しては「プライバシーポリシー」をご覧ください。
【お客様サポート受付時間】 　平日：10:00〜17:00
※土日祝日のお問い合わせは、翌営業日での受付となりますので、ご了承願います。

COPYRIGHT (c) 2010 Groupon Japan, Inc. ALL RIGHTS RESERVED.

うーむこういうのって退会したはずなのに何故届くのだろう？

ホームページを見てみるとこんな文章が掲載されていた。

ご案内メール「グルーポン・サンタよりクリスマスプレゼント」の誤送信について
2010年12月7日にデイリーメールにご登録頂いているお客様を対象に
お送り致しましたスペシャルメールの送信時にて、
過去にグルーポンをご利用され、退会されているお客様に対しましても、
同内容のメールを誤って配信してしまいました。

皆様に大変なご迷惑をお掛けしましたことを、改めて深くお詫び申し上げます。

なお、登録解除手続きを行っても、『登録されていません』と表示される
お客様に関しては、正常に退会処理が完了しております。

弊社としましても、以後このようなことが発生することの無いよう、
気を引き締め、更なるサービスの向上に努めさせて頂くと共に、
引き続き皆様に愛されるサービスとなるよう、
スタッフ一同努力をして参る所存でございます。

今後とも、グルーポン・ジャパンを、何卒ご愛顧の程宜しくお願い申し上げます。

なんとなぜこんなことが起こるのか？

気持ち悪いのでデイリーメールの解除をしたのが、そもそも退会と同時にお知らせメールも解除されないのか？
おかしいなと思い、上記配信解除希望のリンクからメールアドレスを入力しデイリーメールの解除を依頼した。
解除確認のメールがやってきて、「以下のURLをクリックしてお知らせメールの解除を完了してください。」というのでクリックしてみると、

大変申し訳ございません登録されていません。

となっている。
そしたらこのメールアドレスはどこで管理されているのか？
グル―ポンのサービスの会員情報でもなく、メールマガジンでもない場所で管理されているのか？
私の個人情報は消えてないのか？
全く以って意味がわからん。

どういう個人情報の管理をしているのか非常に不安なサービスだな。
グル―ポン一層胡散臭さを感じたな。

なぜ、退会した人にメールを送ることができる状態になっていたのか、企業としてキチンと説明が必要だと感じる。
不正に個人情報をストックしてるんじゃないの？
なんだかなぁ、このサービス・・・
ホントにオレの個人情報消されてないのか？