スポンサーサイト  このエントリーをはてなブックマークに追加

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

My SoftBankで不正ログイン、糞仕様のせいでユーザーがiTunesコード不正購入の被害に遭う事案が発生  このエントリーをはてなブックマークに追加

お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について | 企業・IR | ソフトバンク
http://www.softbank.jp/corp/group/sbm/news/info/2014/20140228_01/


My SoftBankに不正なアクセスがあり、不正にログインされた例が発見されたそうです。
しかしこれ、タイトルの軽さとは裏腹に、実はかなり深刻な内容です。

タイトルと中身を見ても一切わかりませんが、この不正ログインによりiTunes Store、App Storeで利用出来るiTunesコードが不正に購入される被害が発生しています。
そして、この被害が発生したのはソフトバンクの糞仕様によるものなのです。
--

スポンサードリンク


--
今回の件では、どこからか流出したIDとパスワードを元にログインを試みるといういわゆる「リスト攻撃」が行われたとの事です。
期間は2014年2月24~25日。

「My SoftBank」に外部漏洩のパスワードで不正アクセス - ケータイ Watch
http://k-tai.impress.co.jp/docs/news/20140228_637620.html

ソフトバンク会員サイトが不正ログイン被害 - 344名の情報が閲覧された恐れ | マイナビニュース
http://news.mynavi.jp/news/2014/02/28/524/


えーと、同一IPからの大量ログイン操作が行われているのに、アクセスを弾いたりしないものなのでしょうか。
まあ2日間掛けて行われたようなので、そのあたりは制限回避するようなログイン操作数にしていたのかもしれませんが・・・1万5000回のログイン操作だそうですので、最低でも1時間300回以上は試行してる計算になるんですが・・・弾かないんですね。


また、My SoftBankではIDは通常、契約している電話番号が使われるのですが、なぜかYahoo! JAPAN IDでもログイン出来るようになっていたりします。

My SoftBankにYahoo! JAPAN IDでもログイン可能に | モバイル | ソフトバンク
http://www.softbank.jp/mobile/info/personal/news/support/20131018a/


Yahoo! JAPAN IDとMy SoftBankのログインアカウントを連携させる事が出来るんですって。何の意味があるのでしょうか。
つまり、これを連携させるとMy SoftBankにログイン出来るIDが2つになるという事になるんですが、これってつまり流出の危険度が2倍って事になるんですが。「倍危険ダブルID」とでも名付ければ良いでしょうか。倍速ダブルLTE(笑)みたいな感じで。

Twitter上で「リスト攻撃はYahoo! JAPAN IDとパスワードを組み合わせたものを使われたのでは?」と考える人がいましたし、俺もそれは可能性あるなと思ったのですが。
しかし、Twitter上に書き込んでいた被害者の方に質問してみたところ、Yahoo! JAPAN IDとの連携やYahoo!プレミアム for SoftBankへの加入も無いとの返信を多数頂きました。
とすると、Yahoo! JAPAN IDではなく電話番号とパスワードがセットで漏れている可能性が高いという事になります。
これ自体も結構ヤバい。
というか、携帯の電話番号を登録するようなサービスってどれぐらいあるもんなんでしょうかね。案外少ないと思うんですが。どこから漏れたか特定出来そうな気がします。


で、どうして俺が被害者を発見出来たのかというと、記事タイトルにもなっている通り、不正ログインに伴いiTunesコードを不正に購入されるという被害が発生したからです。




ソフトバンクからの告知ではこんな被害が発生していた事は全く分かりません。
ソフトバンクの発表したページでは「不正なコンテンツ購入の可能性」というボカした表現がされていますが、ぶっちゃけこれiTunesコードの事ですし、可能性ではなく実際に発生しています。また隠蔽ですか、ソフトバンク様。

まあマイナビニュースではコンテンツ購入の被害発生を伝えていたりしますが、ソフトバンク広報部によるとユーザーから「不正にコンテンツを購入された可能性がある」との申し出を受けた件数は83件・・・これ申し出た件数であり、実際の被害件数ではないですからね。もっとあるでしょ。
不正ログインされたのが344件とか言ってますが、これも怪しいもんです。


で、なぜiTunesコードの不正購入なんて被害が発生したのか。

ソフトバンクでは、「ソフトバンクまとめて支払い」によるiTunesコードの購入が可能です。

世界初!携帯電話の利用料金とまとめてiTunes コードの代金支払いが可能に! | モバイル | ソフトバンク
http://www.softbank.jp/mobile/info/personal/news/cm_campaign/20131107a/


iTunesカードの発送ではなく、コードのみを発行するという仕組みになっています。
世界初とか言ってますが、現在ではauもiTunesコードの販売を行っています。
携帯電話料金と一緒に支払う事が出来るため、実質的なキャリア課金と言っていい状況になっています。

ソフトバンクでのiTunesコード購入にはMy SoftBankのIDとパスワードが必要になります。
つまり、今回の不正ログインにより不正に購入されてしまうわけで・・・と、ここで疑問が。
普通、携帯電話の利用料金と一緒に支払う手続きをするには暗証番号の入力が必要になるはずです。

オンラインでの販売は日本初の試み!『ソフトバンクまとめて支払い』でiTunesコードの購入が可能に。24時間必要な時にいつでも購入ができて非常に便利! | SoftBank | ぶらり@web走り書き
http://burariweb.info/mobilecarrier/softbank/softbank-online-itunes-code.html


こちらのサイトにもある通り、暗証番号の入力が必要になるはずです。
では、今回の事例では暗証番号まで漏洩していたという事でしょうか?

・・・しかし。ソフトバンクはこの可能性を否定するとんでもない仕様を用意しています。
何と、暗証番号の入力を省略する設定があるのです。

早速ソフトバンクオンラインショップで「オンラインのiTunesコード」購入してみたよ! | 総本家 さいくろん光画録
http://tomohidet.wordpress.com/2013/11/10/…


このブログ記事の画像を見ると、暗証番号入力無しに買える状態となっている事がわかります。
暗証番号入力を求められる際に「次回から暗証番号(4桁)の入力を省略する」のチェックを入れて手続きすると、次回から暗証番号の入力をしなくてもコンテンツ購入が可能という事のようです。
つまり、暗証番号の存在意義が全く無い状態。

これも被害者の1人に質問してみたところ、設定済みの状態だったそうです。

これ本当にヤバいです。もしiPhoneを盗難されたり紛失してしまった場合、iOS7だと保存してあるIDとパスワードが平文で見られるので、ここからMy SoftBankのパスワードが推測される可能性も大です。

【iOS7】超危険!パスコードを設定していないとsafariに保存されているパスワードが丸見えだぞ - アップス!-iPhoneの無料アプリ情報やニュースを配信中
http://www.appps.jp/archives/2094015.html


暗証番号省略設定をONにしてあるアカウントなら、My SoftBankにさえログイン出来ればiTunesコードを不正に購入して手に入れる事が出来るわけですね。


という事で、もし外部で暗証番号の漏洩があり、暗証番号の入力が行われてコードが購入されていたとすると、規約によりソフトバンクの責任が免責される可能性もありますが・・・そういう事は起こっておらず、暗証番号省略設定をしてしまった方が被害に遭っていると思われます。
またソフトバンクがMy SoftBankのパスワードのリセットは行ったものの暗証番号のリセットは行っていない点を考えても、暗証番号が漏れたわけではなさそうです。
まあ念のため暗証番号も変更しておいた方がいいと思いますけどね。

一応、今回の件でiTunesコード不正購入の被害に遭った人は、これらの請求は取り消しされるっぽいです。まあさすがになぁ。


で、前述した通りauも今年2月よりiTunesコードがキャリア決済で購入出来るようになっていますが、auのセキュリティはソフトバンクよりもはるかに強固です。

まずau IDへのログインの段階でリスト攻撃が通用しません。
というのもau IDは2段階認証を採用しており、認証していない端末からログインを試みた際には契約している電話番号にCメール(SMS)が送られます。
そこでログインを試みた端末の認証を行わない限り、ログインが出来ません。
当たり前ですが暗証番号の省略設定なんて糞設定も存在しません。


また、今回の件ではソフトバンクのキャリア決済の限度額の仕様にも触れておきたいですね。
ソフトバンクのキャリア決済の限度額は他キャリアの最大値の倍の10万円で(満20歳以上)、しかも他社よりユルユルな契約期間3ヶ月以上からの適用です(他社の場合、最大値になるには25ヶ月以上の契約期間が必要)。

[ソフトバンクまとめて支払い]限度額を設定できますか? | ソフトバンクモバイル
http://faq.mb.softbank.jp/detail.aspx?id=e4b564e3539376349743541525441476b3038336d2f455364554a454d2b46566432665963663431645355303d#01

auかんたん決済の利用金額に制限はあるの?|ご利用制限|ヘルプ|au ID
https://id.auone.jp/payment/pc/help/limit/1.html

電話料金合算払い : ご利用案内・ご注意事項 | サービス・機能 | NTTドコモ
https://www.nttdocomo.co.jp/service/convenience/keitai_payment/add/notice.html


つまり10万円分のiTunesコードを購入する事も可能なわけで、実際10万円分の被害もあるなど多額の不正購入がなされています。
Androidスマートフォンを契約している人も被害に遭っているようです。まあ当然ですかね。iPhoneやiPad持ってる人しか買えないわけではないし。





あ、ちなみにソフトバンクのスマートフォン・タブレットを契約している回線以外(つまりフォトビジョンといったゴミやフィーチャーフォンなど)ではソフトバンクまとめて支払いは利用出来ないようです。

で、今回の事件を受けて、ソフトバンクではiTunesコードの販売を停止しています。

iTunes コード TOP│ソフトバンクオンラインショップ
http://online-shop.mb.softbank.jp/ols/html/service/itunes_code.html

itunescodestop.png


しかし、当初メンテナンスと称して販売を停止した上、未だに販売停止の理由を明かしていないため、Twitterで苦情が上がっています。



さすが隠蔽体質ソフトバンク。世界一の隠蔽企業です。

--

という事で、ソフトバンクと契約すると罠が多数張られているため、他社では起きない前代未聞の被害が発生します。
お金の被害は最終的に無くなるかもしれませんが、そこまでに浪費した時間は返ってきません。時間の無駄であり大損です。Time is money.
なぜ俺が常々「ソフトバンクと契約するな」と言っているか、こういった事例からも理解していただきたいなと思います。
関連記事
スポンサードリンク  
 
このエントリーをはてなブックマークに追加  にほんブログ村 携帯ブログへ


テーマ : 許されない出来事
ジャンル : ニュース

Twitter
no_softbankをフォローしましょう
ふぉろみー。
最新記事
amazon
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。