ブログ - ブラザーオンライン その3
ゴールデンウィーク明けに報告のあったブラザーオンラインの不正ログインの件について追加のメールが来ました.
「ブラザーオンライン」における不正ログインの調査結果および対策 サービス再開時期についてのお知らせ
https://www.brother.co.jp/notice/220516-bol/index.aspx
引用:
リスト型攻撃ということだけれど,「ブラザーの管理システムから漏洩してない」と言い切れることがすごいね.ちゃんと裏付けがあるのだろう.
しかし利用者は金銭的な被害にあっている.
引用:
ブラザーの管理するシステムからの漏洩では無く,パスワード使い回ししている利用者の管理責任とも言えるけれど,ブラザーの対応はこうしたようだ.
引用:
「ポイントを再発行」というのは利用された分を補填したということだろうけど,ブラザーは悪くないのに補填しているのが腑に落ちない.被害額が40万円程度だからかなぁ.
調査や対策,これからの不正ログイン検知などの総コストで考えると40万円相当は少ないとは思うけれど,被害にあってない私のパスワードもリセットされているからパスワード変更処理が面倒だな.
で,パスワードを再設定しようとして気づいた点が2つ.
パスワード入力時にReCAPTCHAが必要になっているということ.
以前のサイトはユーザID(メールアドレス)とパスワードだけでした.
ここで気が付いたのだけれど,パスワード長が6桁から10桁の間.私がいつも使うパスワードは12桁なので仕方なくパスワードマネージャには2桁削って覚えさせていたようだ.
せっかく全員リセットしたのだからパスワード長の最小桁数を8桁以上にすればよかったのに.
「パスワードの定期変更、必要ですか?」専門家に聞いてみた
https://www3.nhk.or.jp/news/special/sci_cul/2022/05/story/story_0511/
引用:
「ブラザーオンライン」における不正ログインの調査結果および対策 サービス再開時期についてのお知らせ
https://www.brother.co.jp/notice/220516-bol/index.aspx
引用:
原因
外部の専門機関の協力を得て調査を行った結果、第三者がブラザー以外から不正に入手したID(メールアドレス)とパスワードの組み合わせリストを利用した、不正プログラムによる「リスト型攻撃(リスト型アカウントハッキング)」と判断しました。
調査結果について
1.第三者に対し、ブラザーの管理システム(サーバー)からお客様のログイン情報(メールアドレスおよびパスワード)は漏えいしていないことが確認されました。
2.第三者に対し、ブラザーの管理システム(サーバー)からお客様の登録情報(お名前、ご住所、お電話番号など)は漏えいしていないことが確認されました。
3.不正と判断されるアクセスが集中した時間に不正プログラムが使用されたことが確認されました。なお、不正プログラムによるお客様の登録情報は漏えいしていないことが確認されました。
リスト型攻撃ということだけれど,「ブラザーの管理システムから漏洩してない」と言い切れることがすごいね.ちゃんと裏付けがあるのだろう.
しかし利用者は金銭的な被害にあっている.
引用:
1.不正ポイント交換が行われたと推測されるアカウント数:最大683件
2.換算金額:最大404,900円相当
3.不正ログインが行われたと推測されるアカウント数:最大126,676件
ブラザーの管理するシステムからの漏洩では無く,パスワード使い回ししている利用者の管理責任とも言えるけれど,ブラザーの対応はこうしたようだ.
引用:
ブラザーホームページに状況を掲載したうえで、ブラザーオンラインの全会員に対し経緯のご説明とお詫びをするとともに、ブラザーの対応についてご報告しました。 本件に関する専用お問い合わせ窓口を用意し、お問い合わせに対して個別に対応しました。
不正ログインが行われたと推測されるアカウントおよびトク刷るポイントを保有する全アカウントのパスワードを初期化しました。パスワードの再設定方法につきましては、5月18日のブラザーオンラインのサービス再開時にメールでご連絡いたします。不正に利用された可能性のある「トク刷るポイント」(683件、404,900ポイント)を再発行しました。なお、「トク刷るポイント」から換金性の高い他社ポイントへの交換サービスにつきましては、追加のセキュリティ対策を検討しています。ポイント交換時におけるより強固なセキュリティ対策が完了するまで、他社ポイントへの交換受付を全面停止させていただいております。ご迷惑をおかけしますが、何とぞご了承下さいますようお願い致します。
「ポイントを再発行」というのは利用された分を補填したということだろうけど,ブラザーは悪くないのに補填しているのが腑に落ちない.被害額が40万円程度だからかなぁ.
調査や対策,これからの不正ログイン検知などの総コストで考えると40万円相当は少ないとは思うけれど,被害にあってない私のパスワードもリセットされているからパスワード変更処理が面倒だな.
で,パスワードを再設定しようとして気づいた点が2つ.
パスワード入力時にReCAPTCHAが必要になっているということ.
以前のサイトはユーザID(メールアドレス)とパスワードだけでした.
ここで気が付いたのだけれど,パスワード長が6桁から10桁の間.私がいつも使うパスワードは12桁なので仕方なくパスワードマネージャには2桁削って覚えさせていたようだ.
せっかく全員リセットしたのだからパスワード長の最小桁数を8桁以上にすればよかったのに.
「パスワードの定期変更、必要ですか?」専門家に聞いてみた
https://www3.nhk.or.jp/news/special/sci_cul/2022/05/story/story_0511/
引用:
よく聞かれる質問なのですが、程度の問題なので、覚えられる限り出来るだけ長い方が良いと答えています。具体例をあげるとすれば、アルファベットだけで8桁のパスワードだと、全て試すのに1日もかからないんじゃないでしょうか。
