My SoftBankに再び不正ログインとコンテンツ不正購入発生。何の対策もしてなかった事が判明  このエントリーをはてなブックマークに追加

My SoftBankで不正ログイン、糞仕様のせいでユーザーがiTunesコード不正購入の被害に遭う事案が発生」でも書いた通り、今年2月にMy SoftBankに不正ログインされ最大10万円ものiTunesコードが不正に購入される事件が発生しました。
もちろん、この不正購入被害についてはソフトバンクは完全に隠蔽しています。

で、この約2ヶ月後、不正ログインが再び起こったそうです。
不正なコンテンツ購入も再び行われたそうです。

お客さまへのMy SoftBankパスワード管理のお願いと不正アクセスへの対応について | 企業・IR | ソフトバンク
http://www.softbank.jp/corp/group/sbm/news/info/2014/20140430_01/

「My SoftBank」などに外部漏洩のパスワードで不正アクセス -INTERNET Watch
http://internet.watch.impress.co.jp/docs/news/20140430_646621.html


こいつら、この2ヶ月何してたんですかね?
あと、お知らせのタイトルが前回と全く同じとかありえないんですが、逆SEOですか?

ソフトバンクと契約するとこれだけのリスクがあるんだよ、という事を改めて皆さんに認識していただきましょう。
--

スポンサードリンク


--
今回は4/14~28の15日間で724件の不正ログインがあったそうです。成功件数は前回の倍以上ですね。(※どちらもあくまで公表値)
これに関してソフトバンク広報からの言い訳がクソ笑えます。

ソフトバンク、「My SoftBank」に2度目の不正アクセス--手口がより巧妙に - CNET Japan
http://japan.cnet.com/news/business/35047313/

ソフトバンクは2月28日にも不正アクセスによって、MySoftBankの344件の顧客情報を流出させたばかりだ。この点について、同社広報は「今回もリスト型の攻撃だが、手口がより巧妙になっている。2月の不正アクセス後に体制を強化したが、また発生してしまった」とコメント。すでに監視体制やサイトへの認証機能を強化しており、今後はさらに検知システムなどを強化するとしている。


他所で流出したデータを元にログイン試行するというリスト型攻撃に巧妙も糞も無いんですが。スーパーハカーですか?(笑)
「一定時間内の同一IPからのアクセス回数を減らす」程度しかやる事無いでしょうし、それを巧妙ねぇ(笑)。
で、ソフトバンクはどうせ対策やってたとしてもログイン試行回数制限とかその程度しかしてなかったでしょうし、今回こうやって被害が出た上にコンテンツ不正購入まで発生していたのを見ると、対策など何もしてなかったのだと思います。

結局、ユーザーが被害を訴えてようやく気付いたのだと思われます。能動的に気付いてるなら、もっと早く気付いてますから。
4月の該当期間中、「なぜか料金が高い」というツイートを見掛けましたが、この被害に合ってる可能性があるかもしんないですね。違ったとしても酷い話ですが。

ちなみに不正購入の被害に遭った人はソフトバンクにわざわざ連絡入れないと料金確定してしまうそうです。
ソフトバンクの言う「個別に連絡した」とは一体何なのでしょうか。メール送りつけて終わりですか、そうですか。


まあここまでゴチャゴチャ書いてますが、一言でまとめると、

再度やられるなんぞありえない

ですよ本当に。まさに前代未聞ってやつです。
2ヶ月経って同じ手口で再度やられるなんぞ聞いた事が無い。
そもそも電話番号がIDの時点で脆弱ですし、だからこそauはSMS(Cメール)を使った2段階認証を用意してるわけで。
こんな杜撰なログイン仕様はありえませんよ。

また、ここに輪を掛けるのが前回不正購入されまくったiTunesコードの販売の再開と仕様変更です。
恐らく4月26日にiTunesコードの販売をシレっと再開したのですが、購入の際にSMSで送られた認証コードを入力するようになってるんです。

えーと。

それ、ログインに実装しないの?

ソフトバンクはこのSMSコード認証をMy SoftBankのログインには実装せず、iTunesコード販売には実装しました。
要するに、ソフトバンク曰く「ユーザーの情報なんぞ守る気は一切ありません、漏れたところで知ったこっちゃない。でもこっちに実被害が発生するiTunesコード販売には全力で対応しました!」という事です。
ソフトバンクは公式に、「ユーザーの個人情報は守らない」と宣言したに等しいです。
このSMS認証がログインに実装されていれば、少なくとも数日は不正ログイン被害を免れたはずなんですが。ああ、ソフトバンク的には不正ログインは「被害」だと思ってないんでしょうねw

さらにもう1つ言っておくと、そもそもソフトバンクまとめて支払いを利用するiTunesコード販売に何でSMS認証などという面倒な仕組みが必要なんですか?
もともと全ユーザーに、ユーザーごとの認証番号があるじゃないですか。

暗証番号というものが。

不正購入された原因は、ソフトバンクだけの暗証番号省略設定の存在でしょうが(前記事「My SoftBankで不正ログイン、糞仕様のせいでユーザーがiTunesコード不正購入の被害に遭う事案が発生」参照のこと)。
これが無ければ、不正購入の被害は防げてるんですけどね。
なぜユーザーはソフトバンクの尻拭いをさせられなければならないのでしょうか。意味不明過ぎて頭がどうにかなりそうです。


で、ソフトバンクはこの2度目の不正ログインを受けて、リスト攻撃に対するアホな対策を開始しました。
それがこれ。いわゆるCAPTCHAというやつですが・・・



少し前に話題になったCapy CAPTCHAを採用しているようで、スマホからも操作出来るようです。

が、これ、PCやスマホ初心者殺しにしか見えないんですが。
右の図形って何なんでしょうか。左の図形とは? どれが図形か、この指示でわかりますか? あと、下手するとドラッグすらわかりませんよ?
ユーザビリティの欠片もないゴミサイトへと変貌を遂げたMy SoftBankです。
というか、何でログインごときにドラッグ操作が必要なんだ、アホ過ぎるだろw 見た事ねーよw

というか初心者じゃなくてもこれはかなり戸惑うと思うのですが。
図形をはめ込むように見えないですし、1色塗りつぶしというアホ仕様のおかげで、途中でドロップするとピースが見えなくなりますw
オモシロ仕様に失笑しか生まれません。



なぜソフトバンクの不備をユーザーが尻拭いしなければならないのでしょうか。

あとこれ、色弱の方にもやさしくない気がするんですが気のせいでしょうか。

--

という事で、相変わらず芋づる式に酷いネタがズルズルと収穫出来てしまいます。
ソフトバンクと契約する事がこれだけのリスクを孕んでいる。その認識を皆様持っていただけますでしょうか。
そして、認識したなら即刻解約しましょう。何らかの被害に遭った場合なら、クレーム入れまくれば違約金無しで解約出来る可能性大です。

こんなゴミ企業に金と時間と個人情報を払うのはやめにしましょう。
関連記事
スポンサードリンク  
 
このエントリーをはてなブックマークに追加  にほんブログ村 携帯ブログへ


テーマ : 許されない出来事
ジャンル : ニュース

Twitter
no_softbankをフォローしましょう
ふぉろみー。
最新記事
amazon
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク