【３万人流出】クロネコメンバーズにパスワードリスト攻撃、顧客アカウント3,467件に不正ログイン発生

**孤高の旅人 ★** · 2019/07/25(木) 13:21:26.79

クロネコメンバーズにパスワードリスト攻撃、顧客アカウント3,467件に不正ログイン発生
2019.07.25
https://cybersecurity-jp.com/news/32587

ヤマト運輸株式会社は2019年7月24日、同社ウェブサービス「クロネコメンバーズ」の顧客アカウント3,467件に、特定のIPから不正ログインが確認されたと明らかにしました。
異常を検知した同社が調査を進めたところ2019年7月23日に、不審なIPからのアクセスを約3万件ほどを確認。これにより顧客アカウント3,467件が、不正ログインを受けたとの見方を示しています。

**名無しさん＠１周年** · 2019/07/25(木) 13:21:56.69

またか、ここもセキュリティはザルだな

**名無しさん＠１周年** · 2019/07/25(木) 13:23:10.93

PSNがお漏らししたせい

**名無しさん＠１周年** · 2019/07/25(木) 13:24:09.63

確かここも2段階認証って？w
のレベルだったろ？

**名無しさん＠１周年** · 2019/07/25(木) 13:26:24.00

これが日本のＩＴのレベル
残念とかいうレベルじゃない
人を育てない、教育しないということはこんな結果を招くってことだ。

**名無しさん＠１周年** · 2019/07/25(木) 13:27:26.05

アベトモメンバーズのお漏らしまだ？

**名無しさん＠１周年** · 2019/07/25(木) 13:27:49.74

で、誰がやったわけよ

**名無しさん＠１周年** · 2019/07/25(木) 13:28:14.15

海外の犯罪組織に日本はザルだってバレたか

**名無しさん＠１周年** · 2019/07/25(木) 13:28:19.06

金を持ってそうな人の住所を探してんのかな？

**名無しさん＠１周年** · 2019/07/25(木) 13:28:30.18

そのなかに自分のIDがあるかどうかは分からないの？

**名無しさん＠１周年** · 2019/07/25(木) 13:28:35.98

>>5
いやいやいや

**名無しさん＠１周年** · 2019/07/25(木) 13:28:46.23

犯人はミクシィの社員

**名無しさん＠１周年** · 2019/07/25(木) 13:28:48.20

特定のIPってどこだよ

**名無しさん＠１周年** · 2019/07/25(木) 13:31:06.35

これなんか得すんの？

**名無しさん＠１周年** · 2019/07/25(木) 13:31:15.94

>>10
個別にメールくるらしいよ。
それと、ログイン時にパスワード変更求められたら該当者。

**名無しさん＠１周年** · 2019/07/25(木) 13:31:15.98

クロネコメンバー

**名無しさん＠１周年** · 2019/07/25(木) 13:31:17.92

>>10
ログインすれば対象者はパスワード変えろと言われるらしい

**名無しさん＠１周年** · 2019/07/25(木) 13:32:25.30

>>14
住所と名前バレるんじゃね
あとアマゾンと連携できたはずだからやばいんじゃない

**名無しさん＠１周年** · 2019/07/25(木) 13:33:27.24

昨日はコーナン、今日はクロネコ

**名無しさん＠１周年** · 2019/07/25(木) 13:33:45.42

クレカ登録してないから実害は無さそうだけど
困ったもんだ

**名無しさん＠１周年** · 2019/07/25(木) 13:34:04.99

>>14
閲覧された可能性のある項目：
クロネコID、メールアドレス、利用の端末種別（パソコンまたは携帯・スマートフォン）、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報（カード番号の下4桁・有効期限・氏名）、アドレス帳情報（氏名・住所・電話番号）

だから何？って感じだな・・・

**名無しさん＠１周年** · 2019/07/25(木) 13:34:14.89

クロネコが持ってそうな顧客データの利用方法が思い浮かばない

**名無しさん＠１周年** · 2019/07/25(木) 13:35:11.23

>>21
バカそう

**名無しさん＠１周年** · 2019/07/25(木) 13:37:06.44

どっちなんだろう。NTTは強制的に変更させるし、りそなは毎回アラート出してくるけど。

ヤマト運輸
　お客さまへのお願い
　お客さまには不正ログイン防止の観点から、定期的なパスワードの変更をお願いいたします。

総務省
これまでは、パスワードの定期的な変更が推奨されていましたが、2017年に、米国国立標準技術研究所（NIST）からガイドラインとして、
　サービスを提供する側がパスワードの定期的な変更を要求すべきではない旨が示されたところです（※１）。
　また、日本においても、内閣サイバーセキュリティセンター（NISC）から、パスワードを定期変更する必要はなく、流出時に速やかに
　変更する旨が示されています（※２）。
（※１） NIST SP800-63B（電子的認証に関するガイドライン）
（※２） https://www.nisc.go.jp/security-site/handbook/index.html

**名無しさん＠１周年** · 2019/07/25(木) 13:37:53.97

例のUNIQLOと同様で、スマホ主体のシステムが原因だろ？
どこの海の物とも山の物ともつかないサードパーティ製アプリケーションソフトウェアを数多に常駐させることだけが命のスマホなんかでリアルタイム決済とか、頭おかしい。

**名無しさん＠１周年** · 2019/07/25(木) 13:38:08.31

詫びミニカーくれよ

**名無しさん＠１周年** · 2019/07/25(木) 13:39:02.10

>>24
定期的に変えられると、ハッキングする側が困るでしょ

**名無しさん＠１周年** · 2019/07/25(木) 13:39:08.93

ここ不正アクセスしても何かお金の足しになるネタなんてないだろ

**名無しさん＠１周年** · 2019/07/25(木) 13:39:26.10

メアドをIDにするサービスは根本的にセキュリティザル

**名無しさん＠１周年** · 2019/07/25(木) 13:39:26.80

お客様各位

https://i.imgur.com/T2FVfjS.jpg

**名無しさん＠１周年** · 2019/07/25(木) 13:39:39.40

防ぎにくいよな。ただリストにあるパスワードで入れるってのもなぁw

**名無しさん＠１周年** · 2019/07/25(木) 13:40:26.73

リトライ制限何回まで?

**名無しさん＠１周年** · 2019/07/25(木) 13:40:49.68

ハリボテ

**名無しさん＠１周年** · 2019/07/25(木) 13:41:07.52

Amazonとかの連携アカウントでログインしてる人は購入履歴とかも漏れてたりして

**名無しさん＠１周年** · 2019/07/25(木) 13:42:37.82

こんなもんに不正アクセスしてなんの得があるのよ？

**名無しさん＠１周年** · 2019/07/25(木) 13:43:07.92

>>21
なにがしたいんだろうな
自分宛に送らせるとか？

**名無しさん＠１周年** · 2019/07/25(木) 13:43:25.89

マジカヨ俺もやられたかな　

**名無しさん＠１周年** · 2019/07/25(木) 13:43:30.93

>>22
再配達の履歴で不在の時間がわかるとか？

**名無しさん＠１周年** · 2019/07/25(木) 13:44:53.16

>>14
つい最近Tポイント連携で１００万ポイント当たるとかいうのやってるんだよ
たぶんこれで自ら呼び寄せた犯罪ってところかな

**名無しさん＠１周年** · 2019/07/25(木) 13:44:58.60

3万アクセスの1/10の当たりか？
会員総数が知りたい

**名無しさん＠１周年** · 2019/07/25(木) 13:45:33.11

パスワード使い回ししてる奴なんていくらでもいる
IDがメアドのサイトならフリーパス

**名無しさん＠１周年** · 2019/07/25(木) 13:46:29.97

普通にアクセスできたから大丈夫そうだな　

**名無しさん＠１周年** · 2019/07/25(木) 13:46:44.16

>>4
> 4. お客さまへのお願い
> お客さまには不正ログイン防止の観点から、定期的なパスワードの変更をお願いいたします。

今どきパスワードの定期的変更を求める会社って…推して知るべし，かｗ

**名無しさん＠１周年** · 2019/07/25(木) 13:46:56.90

>>35
簡単にリストアタックできる仕組みを利用されたと見るべきじゃないか？
当たったIDは別の会員サービスでの有効なログイン確率が高まるじゃないか

**名無しさん＠１周年** · 2019/07/25(木) 13:47:14.99

>>21
まあ、既にリスト型攻撃のターゲットにされてる奴ならとっくに漏れてそうなレベルの情報かな
とりあえず紐付けしておこう程度

**名無しさん＠１周年** · 2019/07/25(木) 13:47:52.72

俺の生体データやられてる

**名無しさん＠１周年** · 2019/07/25(木) 13:48:28.14

>>39
あーYahooにそのバナー良く出てたね
登録しないで良かったわ

**名無しさん＠１周年** · 2019/07/25(木) 13:48:34.67

クロネコメンバーズは悪くないんだろ

**名無しさん＠１周年** · 2019/07/25(木) 13:49:42.52

まじか、登録してるわ
とりあえずパスワード変更して2段階認証設定しておいた
普通に前のパスワードでログインできたし、問題なかったってことかな？
まー12桁のランダム英数文字だからリスト攻撃なら大丈夫だろうが

**名無しさん＠１周年** · 2019/07/25(木) 13:49:45.89

>>14
商品の窃取
→クレジットマスターとか盗難したカード番号で決済
→クロネコメンバーズのアカウントを乗っ取って、連携ID・メールアドレスほか変更して紐付け

→商品が発送されたら無人の宅配ロッカーほかに届け先を変更して勝手に受け取り

通販屋さんが属性確認でNGして、ヤマトさんに配送止め依頼してももう配達店の手前あたり
カード不正はチャージバックされて、通販屋さんか名義人が負担
窃取品を監禁すればホクホク

下らねーことやってねえで働けよ！と

**名無しさん＠１周年** · 2019/07/25(木) 13:51:05.15

自動パスワードにしたから俺ももうパスワードわかんねーや

**名無しさん＠１周年** · 2019/07/25(木) 13:51:42.99

リストアタックってのは利用者が他のサイトとパスワードを使い回しを行っていて

攻撃者「おっ！メアドとパスワードこのサイトで通るなら他のサイトでもいけるんじゃね？！」

そのように攻撃を行うものになる　なお、漏れてるサイトは漏れた事実を書かないのでお察し。

アドバイスとしては、黒猫に限らず、全ての利用するパスワードは違うものを使えよな・・。
たまにいるだろ？郵便でもアンケートと役所と私信で
最後の住所に「1番目のポスト」とか「2番目のポスト」と書いたり
あるいは、「住所＋家族（ぬいぐるみの名前）宛」というように書き足しておいてよ
漏れたときに何処の会社が漏らしてるか確認するだろ？　やってることは一緒の対策だよ

**名無しさん＠１周年** · 2019/07/25(木) 13:52:50.38

どんなサービスでもアカウントを作らないとダメなやつは利用する気にならない。

**名無しさん＠１周年** · 2019/07/25(木) 13:52:53.37

昨日丁度再配達でログインしたばっか
仕方ない変えるか

**名無しさん＠１周年** · 2019/07/25(木) 13:53:04.31

これ見てTポイントをクロネコミニカーと交換するつもりだったの思い出したわｗ

**名無しさん＠１周年** · 2019/07/25(木) 13:54:17.06

パスワードリストとか流出する前に流出してるし

**名無しさん＠１周年** · 2019/07/25(木) 13:54:50.19

「おるかーーーー！」

**名無しさん＠１周年** · 2019/07/25(木) 13:55:45.30

まじかよ
パスワード変えないとダメなの？

**名無しさん＠１周年** · 2019/07/25(木) 13:57:16.03

やべー、パワードリフトに見えた
疲れてるのかな(´・ω・`)

**名無しさん＠１周年** · 2019/07/25(木) 13:57:23.66

2段階認証設定しといたは

**名無しさん＠１周年** · 2019/07/25(木) 13:58:08.80

今ログインしたらPW変更しろとは言われなかったから変えなくていいか

**名無しさん＠１周年** · 2019/07/25(木) 13:58:48.92

これをやって得する人は限られてるんだが

**名無しさん＠１周年** · 2019/07/25(木) 14:01:19.35

同じIPで違うIDを何度も使った場合もロックでいいよな?

**名無しさん＠１周年** · 2019/07/25(木) 14:01:23.55

対象じゃないけど、また不正ログインされる可能性あるだろ

**名無しさん＠１周年** · 2019/07/25(木) 14:02:07.96

おれのアマゾンの荷物、横取りするつもりやな！

**名無しさん＠１周年** · 2019/07/25(木) 14:02:12.92

漏らしたり同じパスワード使いまわしてるアホが悪いだろコレ

**名無しさん＠１周年** · 2019/07/25(木) 14:02:52.52

>>59
もう寝ろ

**名無しさん＠１周年** · 2019/07/25(木) 14:03:20.14

この頭悪いスレタイ見てヤマト運輸が3万件流出させたと思い込む奴多そうだな

**名無しさん＠１周年** · 2019/07/25(木) 14:03:28.58

大昔にナナコ作る際に作ったっきりだな

**名無しさん＠１周年** · 2019/07/25(木) 14:03:46.67

リスト攻撃対策でパスワード使い回しは止めてる人も多いだろう
だから3万件の不正ログイン試行で入られたのが3千人分、になるわけだ
約1割のセキュリティーが疎かな人がやられたってことで

**名無しさん＠１周年** · 2019/07/25(木) 14:05:55.48

俺のは無事だった
一応変えとくかな

**名無しさん＠１周年** · 2019/07/25(木) 14:06:05.44

>>68
ログインは成功しなくても3万のアカウントはリストとして漏れてたってことだよね？

**名無しさん＠１周年** · 2019/07/25(木) 14:06:13.41

>>61
メンバーなのでログインしてみたけど不正アクセスされたIDには通知してるってよ

**名無しさん＠１周年** · 2019/07/25(木) 14:06:24.49

使い回しはしてないけど
念のためパスワード変更と
2段階認証も付けた
まったく…(-_-#)

**名無しさん＠１周年** · 2019/07/25(木) 14:06:44.41

>>70
そのリスト攻撃のリストが何で漏れてんの？

**名無しさん＠１周年** · 2019/07/25(木) 14:09:43.78

>>27
定期的に変えようが変えなかろうが、ブルートフォースには無関係
ならば、覚えにくい長文より覚えやすい短文設定してる客の方が易しい

**名無しさん＠１周年** · 2019/07/25(木) 14:10:32.23

>>21
> クロネコID、メールアドレス、利用の端末種別（パソコンまたは携帯・スマートフォン）、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報（カード番号の下4桁・有効期限・氏名）、アドレス帳情報（氏名・住所・電話番号）
>
> だから何？って感じだな・・・

全部じゃん火消しかよ
死ねよ

性癖もやばいしクレカもレシートなどで表示されない下四桁が肝心なのに

**名無しさん＠１周年** · 2019/07/25(木) 14:11:09.87

>>63
家族で違うアカウントだったりマンション内でLANになってる環境とか

**名無しさん＠１周年** · 2019/07/25(木) 14:11:46.93

>>77
いや待て今クレカの上位12桁をレシートに書いちゃう糞業者どこだよそれが先だ
下四桁はハッシュで上位12桁から計算で出るんでみんな下4桁表示に切り替えてるのに

**名無しさん＠１周年** · 2019/07/25(木) 14:12:26.44

な、なんだって！！！！！

俺の１２桁のパスも盗まれたのか？*/////////**-*-*/？

**名無しさん＠１周年** · 2019/07/25(木) 14:12:41.79

最も利用者の多いであろうamazonのセキュリティは高いから、他も
じゃないとクレジットカード登録とか出来ないもんね

**名無しさん＠１周年** · 2019/07/25(木) 14:12:42.12

つうか同一IPで認証失敗を何回も許すなよ

**名無しさん＠１周年** · 2019/07/25(木) 14:13:20.40

ここに入ってどうすんの？
メルアドとパスワード目的？

**名無しさん＠１周年** · 2019/07/25(木) 14:13:46.12

あーあ、宅配便です強盗や荷物押し付け詐欺のターゲットリストにされるわけか

**名無しさん＠１周年** · 2019/07/25(木) 14:15:20.89

参るな

**名無しさん＠１周年** · 2019/07/25(木) 14:17:41.32

一応セーフだったわ

**名無しさん＠１周年** · 2019/07/25(木) 14:19:26.14

リスト型だから不正ログインされた人は使いまわしてる人。
つまり、黒猫以外のサイトも全部変えなきゃいけないんだが、
そういうタイプはサイトの管理もしてないだろ。
パス管してる人はパスワードも変えてるだろうからな。

**名無しさん＠１周年** · 2019/07/25(木) 14:22:36.09

三審制（いくつでもいいが）取り入れてない時点で（ｒｙ

**名無しさん＠１周年** · 2019/07/25(木) 14:22:45.71

配達日時を変更されちまうのか恐ろしい

**名無しさん＠１周年** · 2019/07/25(木) 14:24:04.83

少なくとも国外での需要がほぼ皆無なら
国外のIPからのアクセスは全部禁止しとけ

**名無しさん＠１周年** · 2019/07/25(木) 14:24:12.64

これ時間指定狂わすぐらいしか使い道ないだろ

**名無しさん＠１周年** · 2019/07/25(木) 14:24:14.85

evernoteも不正アクセス発生中だけど何も発表ないのな

**名無しさん＠１周年** · 2019/07/25(木) 14:25:28.23

pjocnozamaemirp
これが破られたことのない俺のパス

**名無しさん＠１周年** · 2019/07/25(木) 14:26:11.53

荷物の配達予定がばれる、家の前で待ち構えて本人のフリして受け取ることも可能
ヤマトは全宅配物を未来永劫補償すべきだろう

**名無しさん＠１周年** · 2019/07/25(木) 14:26:32.50

10以上のサイト登録してたらパスワードなんて2,3通りくらいで使い回ししてるだろ

**名無しさん＠１周年** · 2019/07/25(木) 14:27:56.99

>>87
クロネコのIDはメールアドレスじゃないから
別サイトのアタック用に
メールアドレスとパスワードの組が新しくリストに加わることになるよね

**名無しさん＠１周年** · 2019/07/25(木) 14:29:17.46

クロネコからまだメールが来ないからセーフなのかな

**名無しさん＠１周年** · 2019/07/25(木) 14:30:04.32

ヤマトと関係ないけど銀行のネットバンキングアプリと
ワンタイムパスワードアプリお同じスマホに入れて利用
するのは意味ないような気がするのだが
自分はワンタイムパスワードは面倒だけど専用の発生器
使ってる

**名無しさん＠１周年** · 2019/07/25(木) 14:30:04.87

なんで？

と思ったら、クレジットカードナンバーの入力欄があったか。

**名無しさん＠１周年** · 2019/07/25(木) 14:30:25.92

普通にログインできた
禿なんかと連携するからだ