クロネコメンバーズの二段階認証、実は無意味な飾りだった

ハリボテの二段階認証は設定解除して、即刻、パスワードを乱数生成のものに変更しましょう!
191

2015年 クロネコが二段階認証導入で意識高いと絶賛

辻 伸弘 (nobuhiro tsuji) @ntsuji

ANAはWebパスワードを導入 JALは生年月日による認証(?)の追加 ヤマトはメールの二段階認証導入 SAGAWAはパスワードによる認証 こういう取り組みの結果、ユーザの利用選定基準になると取り組み側にもいい影響があるんじゃないかなって思っていますよ。

2015-04-03 15:09:50
ׄ @2get

クロネコが二段階認証導入していて意識高い。

2015-04-06 21:48:08
Tomo @tomo_9793

クロネコさんから2段階認証のお知らせがきた家帰ったらやります。

2015-04-07 11:50:34
hideo54 @hideo54

ヤマトが二段階認証に対応。やったぜ。(ただしメールによる認証のみな模様) pic.twitter.com/vqn0V1K6UG

2015-04-08 15:37:12
拡大
ひる @hiruandon2nd

ヤマトから2段階認証機能追加のお知らせがきてた。ほうほうと思って読んでたけどメール末尾に「パスワードの変更につきましては定期的に実施いただきますよう~」ってあってズッコケた

2015-04-09 09:47:21
𝑘𝑜𝑏𝑎𝑦𝑎𝑛𝑛 @koba0384

クロネコですら2段階認証使い出したんだからさ。他何してんねん。

2015-04-11 07:10:39
кири🌖 @kiri2

クロネコさんから二段階認証設定しろとメールきた。でもパスワードも定期的に変更しろとも書いてあってうんざりしている/2段階認証とは?|ヤマト運輸 kuronekoyamato.co.jp/smp/webservice…

2015-04-18 22:27:03
Maki @hiyoko_m

へぇ~、さすがクロネコさん。2段階認証機能追加のお知らせ(クロネコメンバーズ)のメールきた。kuronekoyamato.co.jp/webservice_gui…

2015-04-20 13:02:18
twinkleocean @twinkleocean

クロネコメンバーズのサイトに不正アクセスされると、個人情報をまるまる抜かれるだけでなく、「クロネコMYカレンダーサービス」で在宅時間まで漏れるから、空き巣の危険性まである。クロネコメンバーズを促進させて再配達を少なくしたいのなら、二段階認証を採用するなど、もっとセキュアすべき。

2017-03-09 22:48:40
厚揚公太 @A2AGE

新しい記事を投稿しました。2019年6月24日 クロネコメンバーズを2段階認証にしてみた! edit-anything.com/blog/kuroneko-… #2段階認証 #アマゾン #クロネコメンバーズ #ヤマト #時間指定

2019-06-24 23:29:38

2019年7月 リスト型攻撃で不正ログイン3467件と発表

NHK@首都圏 @nhk_shutoken

ヤマト運輸は、再配達などを受け付ける会員制のサイト「クロネコメンバーズ」に今月22日と23日、およそ3万件の不正なアクセスがあり、3467件の名前や住所のほか、メールアドレスやクレジットカード情報などが、何者かに閲覧されたおそれがあると明らかにした。 www3.nhk.or.jp/shutoken-news/…

2019-07-25 12:32:43
リンク NHK NEWS WEB ヤマト運輸サイトで不正アクセス|NHK 首都圏のニュース 宅配大手のヤマト運輸は、再配達などを受け付ける会員制のサイトに不正なアクセスがあり、名前やクレジットカードの情報など3400件余りの個人情… 24 users 190
INTERNET Watch @internet_watch

「クロネコメンバーズ」で不正ログイン、3467件の個人情報を閲覧された可能性 “パスワードリスト攻撃”を確認、パスワードを使い回している場合は注意 internet.watch.impress.co.jp/docs/news/1198… pic.twitter.com/MukxWyw67S

2019-07-25 13:41:04
拡大
リンク INTERNET Watch 「クロネコメンバーズ」で不正ログイン、3467件の個人情報を閲覧された可能性 “パスワードリスト攻撃”を確認、パスワードを使い回している場合は注意 ヤマト運輸株式会社は24日、会員サービス「クロネコメンバーズ」において不正ログインがあり、一部会員の個人情報が閲覧された可能性があることを明らかにした。 14 users 203
piyokango @piyokango

クロネコメンバーズにおける不正ログインについて | ヤマト運輸 2019年7月24日 kuronekoyamato.co.jp/ytc/info/info_…

2019-07-25 05:14:24
リンク ヤマト運輸 ヤマト運輸 ヤマト運輸のWebサイトです。 30 users 107
XONEWJワジャ1号 @spurt

ヤマト運輸10%以上の確率でログインされとるがな、どうなってんだ? 不正ログイン件数:3,467件(不正ログイン試行件数は約3万件) kuronekoyamato.co.jp/ytc/info/info_…

2019-07-25 06:08:43
Autumn Good @autumn_good_35

ヒット率が高い...🤔 『不正ログイン件数:3,467件(不正ログイン試行件数は約3万件)』 2019年7月24日 クロネコメンバーズにおける不正ログインについて | ヤマト運輸 kuronekoyamato.co.jp/ytc/info/info_… pic.twitter.com/aInG2AKig0

2019-07-25 12:43:49
拡大
Hiromitsu Takagi @HiromitsuTakagi

パスワードリスト攻撃だとはどうやって断定したのかな。入力されたパスワードをログに残すのは禁じ手だから、普通は不明なんだよね。 kuronekoyamato.co.jp/ytc/info/info_… 「クロネコメンバーズのWebサービスにおきまして、外部から「パスワードリスト攻撃※」による不正ログインがあったことが判明しました。」

2019-07-25 20:19:37
まっく@防御モード @mac3_waiwai

クロネコメンバーズの件 漏洩しやがって!…と 怒っている人に 簡単なパスワードを 使っている人が悪いんですよ…と 言っている人たちも クロネコさん5年前も 同じ失敗やってんですよってことを 知らない コーナンさんもやられたし 利用者はくれぐれもパスワードの 管理に気をつけましょう! pic.twitter.com/rZ4AiOrHP2

2019-07-25 19:45:00
拡大
拡大
拡大
Hiromitsu Takagi @HiromitsuTakagi

「同じ失敗やってんですよ」って言うけど、どうしろっていうのかな。あと、この5年間はリスト型攻撃がなかったということなのか?という疑問も。むしろリスト型攻撃なんて全サイトに常時来てそうな印象だけど。何か対策していたものが今回突破されたという話なのだろうか? twitter.com/mac3_waiwai/st…

2019-07-25 21:14:06
ROCA #COCOAボランティアデバッグ @rocaz

そう言えばクロネコペイってのがあるんだな… pic.twitter.com/huC2HqSNXx

2019-07-25 20:41:23
拡大
残りを読む(71)

コメント

てけとー @yobiyobi2018 2019年7月28日
なぜその仕組みがあるのか、何が必要なのかを根本的に理解せず、ガワだけ整えてそれで良しとする。……何度も繰り返されてきた社会の悪習だなあ。
94
Hacchi @2mocccck 2019年7月28日
これクロネコだけじゃなく他の会社の二段階認証の信頼性まで毀損した非常に不誠実な態度じゃなかろうか。サービスを安心して使いたいなら自分で全UAでの二段階認証の有無を確認してくださいねって馬鹿げてるでしょ。漏れてごめんなさいで済ませるつもりなんだろうか。
61
田中幹生(TANAKA MIKIO) @maniaxpace_mt 2019年7月28日
ニコニコ大百科ですらスマホサイトも二段階認証なってるのに…
29
gx9900 @GX9900GUMDAMX 2019年7月28日
どこに穴があるかわからんから、自衛としてはクレジット登録控えるぐらいだな。やはりプリペイドが無難。
1
inu @inu1122 2019年7月28日
自分はAdobeの流出でLINE乗っ取られた
7
青の666号 @mikata666 2019年7月28日
業界一位のヤマトですらそんな対応とか情けなくなるわ。IT立国とはなんだったのかテン
7
鍋島たま @nabeshima_tama 2019年7月28日
そらどこも素人が仕様決めて大手ベンダーに丸投げしてんだからそうなるわ 老舗日系企業のサービス全部そんな感じやろ
6
fishburgerman @fishburgerman 2019年7月28日
真面目に二段階認証にしている人が一番損してる(ログインのたびに手間がかかり、かつ二段階認証に期待してパスワード自体は平易にしてしまっているかも)のは笑えないっすね。。どういう経緯でこうなったかめっちゃ興味ある。
38
ななしのごんべ @gonbe_noname 2019年7月28日
勝手口の鍵をディンプルキーに変えてチェーンも掛けました!でも正面玄関のことは知りません!みたいな
47
GEN @gent9310 2019年7月28日
2000年問題のときに、ヤマトシステム開発の手腕が素晴らしいという話を聞かされて、感心していたんだけど、、、落ちたなあ。
2
SAKURA87@多摩丙丁督 @Sakura87_net 2019年7月28日
そもそも平文でセキュリティもなんもないメールでワンタイムパスワード送ってる時点でさ。まぁなんかあったときに設定してなくてユーザーのせいにされるのも嫌だから設定したが。
1
o’rihiqua @orihiqua 2019年7月28日
なんじゃこりゃ?スマホには対応してないセキュリティだったってこと?
0
みま@achromatic worker💸 @mimarisu 2019年7月28日
問題大きくなりそうだから今のうちにパスワードを変えておいた。
0
どんちゃん @Donbe 2019年7月28日
玄関に二重ロック&監視カメラつけてこれで安心、と思ってたら勝手口が鍵ガバガバで放置されてました、ていう一軒家の独居老人にありそうなオチ。
37
くまラブ @yuki_korotyan 2019年7月28日
nabeshima_tama その上、そっちの都合で○月までにサービス開始したいからって納期短いのに、予算はあげないから現場が疲弊するばっかり
4
Mizuta Fumitaka @Humi_TW 2019年7月28日
スマホアプリには二段階認証の設定自体が無いから、使えるとは全く思ってなかった(^^;;
8
メラ @vprjct 2019年7月28日
「いくら二段階認証があるとは言えパスワードの定期的な変更が推奨される」のは当たり前だよな~?って思いながら読んでたら最後でズッコケた。大事な部分を先頭に持ってきてほしいw
14
あさみ @such_no_id 2019年7月28日
肝心の2段階認証が無意味な件についてのまとめが下部にあってちょっと読みにくかった
62
ざの人(棘用垢) @zairo2016 2019年7月28日
[c6603345] まあこういうのはタイトルとかもアップデートされるもんなので、詳細がわかればまあ大した問題ではないのですが、気にする人は気にするので、 二段階認証でもセキュリティホールが見つかったヤマトの不備なシステム(仮称  タイトルはこんなところですかね
0
gx9900 @GX9900GUMDAMX 2019年7月28日
まあ、宅急便じゃ不正ログインされても影響小さいからなぁ。パスワードリストの材料にされるぐらいか。
0
アオカビさん @Penicillium_ch 2019年7月28日
GX9900GUMDAMX 登録してる、知り合いとか取引先の住所氏名電話番号が漏洩するんですよ・・・
23
kotobato @kotobato 2019年7月28日
クロネコというよりブラックなキャットだった
5
空家の恵比寿様1968 @ebcdic_ascii 2019年7月28日
パスワード変えようと思ったら、12文字までしか認識しないんだが…この手の「パスワードの文字数に上限(下限じゃなくて)を設けているサービス」って何考えてるんだろう。
43
たる @taruwo 2019年7月28日
ブラウザの種類によって認証の仕組みを変えるとか、リソースの無駄以外の何物でもないから、やる意味がわからない。
0
Yeme @yer_meme 2019年7月28日
おれ知ってるっス!こう言うのマジノ線って言うんスよね!
0
片山 京 @Kyo_katayama 2019年7月28日
パスワードの定期変更は意味がない、それより使い回しやめろ。 って総務省が言い出して2年ぐらいたったけど全く浸透してないよな
59
@wanwanbawbaw 2019年7月28日
gent9310 つーか代引の送料計算客にやらせるB2サイトですよ。自動計算じゃないんですよ。普通契約業者なんだから冷蔵冷凍箱サイズ、本体代金入れたら自動計算するよう設計するでしょう
3
篠葉 @eCh00HcE 2019年7月28日
この仕様いくらなんでも罠過ぎるからいっそ全部のブラウザで二段階認証なくして利用者側に自分でセキュリティ高める努力をしなきゃ駄目だと思わせた方が安全なのでは?
3
きたあかり @kita_akari0420 2019年7月28日
2段階認証が機能してなかった説明に到達するまでが長いです
35
gx9900 @GX9900GUMDAMX 2019年7月28日
Kyo_katayama そもそも定期変更すら浸透しなかったしなぁ。
0
もどき @Fake5LL 2019年7月28日
Kyo_katayama そら人間が人間である以上はほぼ不可能な注文ですし一応自動作成パスワードとかあるにはあるんだけど
0
K2 @K__R_K_ 2019年7月28日
ebcdic_ascii しかも上限がいくつなのか明記されてないのが多いんですよね。72文字とか入れると無言(長すぎるとかのエラーを返さない)で別のパスワードにしてくださいって言われることがたびたびあって困る。
15
空家の恵比寿様1968 @ebcdic_ascii 2019年7月28日
K__R_K_ ありますあります。「登録」っていうボタンを押してから文句言われるやつ。
14
mikumiku_aloha @mikumiku_aloha 2019年7月28日
Web上のUIはパソコンとスマホで別でも、認証の門は共通化するのが妥当なのではないかと素人目には思うのだけど。
6
ネギ@冗談じゃねえ… @negi__ 2019年7月28日
K__R_K_ ヤマトは文字数範囲は明記していたので一応親切な方です. ちなみに一番最悪だと思うのは, 受け付けたフリして内部で16文字くらいで切ってるパターン
16
おうまさん @oumasanx 2019年7月28日
IT教育の必要性を感じる…
2
ひるね @mzWo1y3xA2WWs7K 2019年7月28日
PC向けサイトとスマホサイトで開発ベンダーが違うとかの大人の事情がありそうだけど。
3
Fivemagia @Fivemagia 2019年7月28日
イオンカードでも全く同じケースがあったなぁ…  スマートフォンでのログイン(フリでも可)に2段階認証が不要で意味がなった件 あちらはApple Payの不正利用で実際に被害が出ていたけど
0
不具合さん @tunagaranaisup 2019年7月28日
黒猫のいうワンパスってどういうものなの? 別ハードウェア最悪ネットワーク接続端末からの取得が最低条件なのにそれが割られたら根幹が割られたってのと同義じゃない
0
gram @ugradiabler 2019年7月28日
gmailを使っているならユーザー名の後に"+〇〇”で擬似的にサブアドレスを作れるのでサイト毎にやるのをおすすめします。”+〇〇”の前のユーザー名のアドレスに以前通りメールは届きますがきちんと送信先アドレスは"+〇〇"になるので流出したら流出元が分かります。その上実質1アドレスで無制限にアドレスを生成出来るので管理しやすいです。
19
gram @ugradiabler 2019年7月29日
ugradiabler 仮にアマゾンでabc+amazon@...というアドレスを登録していて流出してもabc+paypal@...で登録しているPayPalにはログイン出来ません。PWを変えるのではなくログインIDを個別にした方が防衛出来ると思います。クラッカー側がアドレスの"+〇〇"を削除するようにしても登録サイト全てが個別の"+〇〇"で登録されていたら不正ログインのしようがありません。更にセキュリティを高めるのであれば+の後の文字列を適当な文字列にしてしまえば推測も不可能です。
20
しまやとかきゅるぺぽ☆とかいうひと @t_shimaya 2019年7月29日
「二段階認証した」「してあった」を10以上も収録する必要性
1
しまやとかきゅるぺぽ☆とかいうひと @t_shimaya 2019年7月29日
「スマホは本人しか使わない」という前提で仕様を定めたんだろうけど、アプリに最初にIDとPWを登録する際には二段階認証はないんかな?銀行なんかであるようなブラウザの認証(登録)もないんかな?
0
うてん。 @uten00 2019年7月29日
#時事 題名からヤマト二段階認証あるのにどんな飾りかと思ったら想像を絶するお飾りだった…正門に頑丈な鍵かけて勝手口が開けっ放しやん…全く意味がねえ。
0
おろろ @fYe39CoQsPrbZVK 2019年7月29日
パスワードを定期的に変えると忘れないようメモ残したり忘れたりで穴になるので、クッソ長い暗記できる文章をパスワードにしようてのが今の流行やな。ジャパンさんアホなので記号使えないわ文字数制限あるわでなんつーか老害滅びろて感じ
6
よもぎ(よう、もぎ) @cataildragger 2019年7月29日
そういえばどこか忘れたけど、2段階認証のキーをいつも推測可能な決まった番号にしてるサービスもあったよ。
0
裏しんたぁる a.k.a. 垢ロックされ太郎 @OrSintar 2019年7月29日
「まほーのことば! にだんかいにんしょ~!♪」 (AAは崩れるので入れ直し)
1
ɐɥuıɥsnoʇʇɐɥ @hattoushinha 2019年7月29日
「設定したから大丈夫の声」は5ツイートぐらいでいい
8
やし○ @kkr8612 2019年7月29日
誰のまとめかとおもったらまさかひろみちゅ先生直々とは
2
maru-mochi @aikike 2019年7月29日
最近お気持ち対策だかしらんが毎回smsでの2段階認証もとめてくるようになってまじ面倒すぎ もうね天才のクラッキング止める手段なんかないんだからユーザー数1兆人ぐらいなら1ユーザー側からした流出リスク減るからとにかくユーザー数増やすことに注力してくれという気持ち。木は森に隠せ理論 あとどこも手軽にFintechに手だしすぎよおバカ。エンジニア海外から呼ぶしかない人手不足は元は自国で食いつぶしたせい!バカな経営層はセンシティブな流行物に手を出すんじゃないの!!!!まったく!
0
aioi_au @aioi_au 2019年7月29日
Facebookは2要素認証の電話番号を個人情報の収集やスパムメールを送りつけるのに利用したから、悪意ある企業だとより危険を呼びかねないんだよね、2要素認証。
6
きゃっつ(Kats)⊿ @grayengineer 2019年7月29日
佐川はパスワードを平文で保存していて、しかも問い合わせ窓口のオペレータがそれを見ることができていました(経験談)。あれはさすがにゾッとした。
9
な.ん.ば. @namba_1301 2019年7月29日
パスワードは変更しないほうがいい。長くするんだよ
1
猫の手にゃん太 @neco_nyanta 2019年8月1日
二段階認証と言う高い壁に守られた愚民が息巻いていたところ盲点から襲撃されて一網打尽にされる図。
0
oshow2001 @oshow2001 2019年8月2日
二段階認証に穴があるわ、パスワードの最大文字数制限があるわ、なんだよもー。
0
なみへい @namihei_twit 2019年8月3日
パスワードを忘れた時くらいしかパスワード変更はしていないけど、一度も不正ログイン被害を受けたことはないけどな。気を付けていることと言えば「パスワードは使いまわさず、サービスごとに変える」「他者サービスのアカウントでログイン、を使用しない。」『新規登録/初回利用ポイントバックキャンペーンみたいなばら撒きに釣られず、本当に必要な最小限のサービスにのみ登録をする』の三点である。
0