ドコモとソフトバンク、パスワード平文保持か 「パスワードを忘れた」からユーザーへ開示
2022/03/15 19:44
ya--mada
おお!ネットワーク暗証番号かと思ったらdアカウントか、ホンマか?信じがたいな!
2022/03/15 20:03
palm84
まじで?
2022/03/15 20:07
umaemong
知ってた。
2022/03/15 20:07
poupe
マジか…未だに平文保持してる中小企業あってげんなりしてるのに大手がこれは…ドコモは見直す気もなさげ。
2022/03/15 20:12
urandom
一種のインフラ系としてだいぶ古い感覚が残っているんだろうなあと思うことはある
2022/03/15 20:14
anoncom
ドコモ「サイト内に限って復号したパスワード表示するけど、サーバー内では厳重に管理してるし外部通信には載せないから大丈夫だよ」って言ってるけど、そうじゃない。
2022/03/15 20:17
mini_big_foo
2022年だぞ今
2022/03/15 20:25
redreborn
普通にセキュリティインシデント
2022/03/15 20:26
roshi
CS側からの要求(問い合わせが多いから)なのかな?
2022/03/15 20:26
kamm
ギルティすぎる。しかもパスワード平文保存の理由がすげーしょぼい。どう見ても必要ないだろ
2022/03/15 20:28
karkwind
まじか!と思ったら、再発行の時表示されていたわ
2022/03/15 20:34
nezuku
元の平文パスワードに復元できない形で保持する重要性というかハッシュの概念が利用者側に理解ないと、平文保持の撲滅って難しいのかな
2022/03/15 20:36
tyhe
docomoこわちか
2022/03/15 20:36
a-kuma3
「厳重に」は時代遅れ過ぎる。バグをゼロにしろとか、24時間365日連続稼働とか、未だにそんなことを言ってるのはいっぱいいるんだけれども
2022/03/15 20:42
tyawanmushi001
パスワードを忘れたけど自分で再設定するのは面倒(もしくは自力でできない) というユーザーがあまりにも多いのかな…
2022/03/15 20:45
Mystica_another
パスワード忘れたのに教えてくれないとか、いちいちリセットさせて新しく設定させるとかユーザーに負担かけ過ぎ。ユーザーを蔑ろにするな!!()
2022/03/15 20:45
blueboy
「平文を個別に提供する」からといって、「パスワード全体を平文で保持している」ことにはならない。保持データには暗号化されている。/p.s. ハッシュ化は素人向けでないので暗号化の話をしただけ。→ x.gd
2022/03/15 20:45
misomico
あたおか
2022/03/15 20:48
ykhmfst2012
ドコモロ座騒動を起こしたドコモは「でしょうね」としか想わないし、ソフバンも納得。逆に楽天のくせに当たり前の対応してるのは意外。
2022/03/15 20:51
LuckyBagMan
正気か!?
2022/03/15 20:53
theatrical
ドコモ「パスワードはサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない」アホっぽいな。
2022/03/15 20:53
aikawame
NTT系は色々と邪悪なのでサービス一切使ってないけど、この判断は間違ってなかったと再認識。
2022/03/15 20:54
shiba-yan
d アカウントはパスワードレス設定してるけど、本当にパスワードが破棄されてるのか不安になって来た
2022/03/15 20:55
sho
2022年やぞ。
2022/03/15 20:57
HMT_EG
多要素認証してたら、まだマシかな。
2022/03/15 20:59
buhoho
だから。パスワードはそれぞれのサービスから全部漏れてると思って行動するべきで。具体的には全部のサービスのパスワードを変えて、被害範囲を限定するしかない
2022/03/15 20:59
kabuquery
氷山の一角
2022/03/15 21:01
ustam
ソフトバンクに関しては10年以上前から指摘してるよ。気づいてない奴の方がヤバいだろ。freeeやマネフォがネットバンキングのパスワード(可逆性のある暗号化)を持ってる方がもっとヤバいと思うけど。
2022/03/15 21:01
isle1992
「暗号化の概念を知らない」と言ってる方は「暗号化する意味」を知らない
2022/03/15 21:02
marilyn-yasu
??「パスワードを決めろって言ったのはお前らだろ!!なんでお前らが知らないんだ!!言い訳せず早く教えろ!!フジコフジコ」
2022/03/15 21:02
fellfield
多くのエンジニアに嫌われているWordPressでさえパスワードはハッシュ化されていて不可逆なので、ドコモやソフトバンクの中の人はWordPressのデータベースを見て勉強してほしい。
2022/03/15 21:10
Tetrapost
何年か前にYahooやdocomoのメールはTLSで送受信してないぞってGoogleがレポートしてたの思い出して、見たら今も相変わらずだった😫 transparencyreport.google.com 今回の記事といい試されてるなぁ
2022/03/15 21:12
raimon49
マジかよラインモ最低だな
2022/03/15 21:14
momizikeiko
芋づる漏洩の評価が抜けているのか
2022/03/15 21:16
nzxx
パスワード教えてくれって言ってくる顧客がたくさんいるんだろうな。ドコモなんか特に多そう
2022/03/15 21:17
ikurii
"ユーザーの利便性のために用意しているパスワードの確認機能" そんなものに利便性はない。
2022/03/15 21:19
ryun_ryun
今日スパムメールみたいなタイトルのメールが届いたから迷惑メール処理したが、ドメイン見たらドコモだったわ。NTT全般に言えるが、システムが基本クソ。
2022/03/15 21:21
Chisei
ヒェ
2022/03/15 21:22
cinefuk
リテラシーの一番低いユーザに合わせた設定のままか「LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった」
2022/03/15 21:33
amajeje
id:blueboy それネタで言ってるんじゃなければ君セキュリティの基礎2日目ぐらいからやりなおしだぞ。1日目は先生の自己紹介の日だ。
2022/03/15 21:34
fukken
珍しくソフトバンクの言い分が全う。ドコモの回答は何が問題かも理解していない(もしくは理解していないフリをしている)クソ。
2022/03/15 21:42
lejay4405
ウソでしょ?!
2022/03/15 21:46
ko2inte8cu
日本でなぜGAFAが生まれないのか? それは、もともと真の意味で技術系の企業が皆無だから。アメリカ由来の技術の、国内利権で生きているだけ。いやこの社は違うって例、あったら教えて欲しい
2022/03/15 21:46
z56chan
my docomoのパスワード保持はだいぶ昔に話題になってそのまんまなんだろう。平文でもハッシュでもなく復号できる状態の暗号化で保持してる、がその時のニュースだった記憶がある。
2022/03/15 21:47
jojo800
パスワードを暗号化……?暗号ってことは復号できるってことでつまり……
2022/03/15 21:48
GOD_tomato
ドコモのセキュリティ感覚がまじヤバい。
2022/03/15 21:49
maruware
未だに大手でそんなことあるのか
2022/03/15 21:50
uchiten
宅ふぁいる便の事件を知らないわけがなく、問題視されるまで黙っておこうという決定が社内であった(表向きは今回言ってる通り「安全と判断した」)か、もしくは誰も検討議題にあげなかったならさらに終わってる。
2022/03/15 21:51
napsucks
元パスワードをユーザしか知らない個別のキーで暗号化してるのであれば安心できるかもしれないが、それが可能なユーザには平文提示機能は要らんわな。
2022/03/15 21:52
tk_musik
とあるネカフェでもパスワード忘れたっつったら生年月日とか聞かれた上で「これです」と言われた。いやいやいやいや。。。
2022/03/15 21:54
kotas
平文で保管するのは厳重とは言わない “パスワードはサーバの中で厳重に保管しており”
2022/03/15 21:55
rck10
うわぁとは思う一方、情報流出してる訳でも違法行為な訳でもないのに、レベルの低さを責め立てるのはまた別の話かな、とも。
2022/03/15 21:55
hironagi
「パスワードを忘れた場合」で問い合わせてリセットではなくパスワード教えてくれるところ、そこそこあるような。ちょっと持ってる各種アカウント全部試してみるか。
2022/03/15 21:57
nikoli
平文保存がダメなことはわかってても「お前のところのシステムなのに客のパスワードがわからないでどうやって確認してるんだよ!」とか言われるのに負けたんだろうなあ、と容易に想像できるだけにつらい。
2022/03/15 21:59
PrivateIntMain
どうせ何も信用できないし漏れる時は盛大に漏れるので何らかの言語で排泄物相当のワードを入れたり入れなかったりするがあれを見る羽目になると結構堪える
2022/03/15 22:01
k-tana
id:blueboy は暗号化という概念を語る前に、まずハッシュ化という概念を勉強してから、もう一度自分のコメントを読み直して、自分の浅学を恥じてください
2022/03/15 22:03
yoshi-na
さすがにウソやろ…?ホントなん??!!
2022/03/15 22:04
acealpha
ケータイなんてi-modeという超巨大イントラネットで「安全に」使えた時代長いから平和ボケしててもおかしくはない
2022/03/15 22:05
wkoichi
“一方、KDDI(au/UQ mobile)と、楽天モバイルの会員サービスでは、パスワードを忘れた際の処理としては本人確認の後にパスワードの通知は行わず、新規パスワードの設定画面に移動する。”
2022/03/15 22:05
mur2
草不可避
2022/03/15 22:08
cotbormi
あり得ん
2022/03/15 22:08
favoriteonline
ドコモの認識やべーな、セブンPay並みの危機管理能力。今は厳重にするんじゃなくて漏れても問題ないように設計するんだよ。
2022/03/15 22:13
dot
ドコモほどの企業が基本中の基本が出来てない上に修正する気もなさそうなの、低リテラシーのユーザを多く抱えてるせいで「変更じゃなくてパスワードを直接教えろ!」とクレーム入れられるから?と深読みしてしまう。
2022/03/15 22:13
kazkichi
らいんもって読むのか
2022/03/15 22:14
masudatarou
ユーザーからパスワードの問い合わせが来たら答えは一つ わかりません、以外の答えはない
2022/03/15 22:19
ardarim
ドコモもソフトバンクも問題をまったく理解してなくてヤベえな。平文での通知とか送信が問題なんじゃなくて平文保存してること自体が絶望的に問題。
2022/03/15 22:22
takeda_h
これかなり昔からやってたはずと思って自分のtwitterの過去ログ漁ったら、少なくとも2014年の時点では既にやってたのが分かった。twitter.com
2022/03/15 22:26
shinji
暗号化していても復号できちゃえばだめじゃん。中の人ひとならごにょごにょしたらゴッソリ生パスワードが抜ける。実際やるかやらないかだけの話。できてしまうのが問題。
2022/03/15 22:28
hamanasawa
パスワード忘れたから教えて〜っていう問い合わせが多いんだろう。多分高齢者が主なんだろうけど、メディアリテラシー教育うまくいってる?
2022/03/15 22:28
kaionji
これは助かりますね
2022/03/15 22:29
uunfo
何を今さら/Androidだとその辺のアプリがSMS読める(許可すれば)+ドコモ回線でテザリングすると子端末から回線主のMy docomoに入れるのコンボなどでeSIM発行で回線乗っ取りできたそうな。結果eSIMのオンライン発行停止など
2022/03/15 22:30
millfi
“(一部略)パスワードの確認機能を使った場合は、パスワードをdアカウント内のみで(平文として)確認できるが、パスワードは厳重に保管しており、外部に提示することはない。”自分は絶対詐欺に引っかからないみたいだ
2022/03/15 22:37
AmaiSaeta
特にdocomoは見直す気も無さそうなのがヤバイ。
2022/03/15 22:38
monbobori
ドコモの開き直りコメントw 大手がこれとは凄い
2022/03/15 22:38
koartist
平分保持は三度見だわ
2022/03/15 22:38
n-styles
ドコモがクソすぎてソフトバンクが相対的にセキュリティ意識が高いように見えてしまうトリックだ。
2022/03/15 22:39
stamprally
フツーはパスワードのハッシュ値を保存しておいて、入力値をハッシュ化したものと突合する。平文に戻せる状態で保存してると鍵とロジックが漏れた時に攻撃者に利用される。
2022/03/15 22:40
dorje2009
このタイトルはちょっと。さすがにこれくらいの大手は共通鍵で暗号化はしてるでしょ。でもいい加減、復号可能な形で保存するのはやめるべき。パスワードを忘れたらリセットがベスト。
2022/03/15 22:43
hara_boon
パスワード変えとくかぁ、、、dアカウントことあるたびにパスワード要求するたびにChromeとかじゃないからパスワードマネージャーもあんまり機能しなくて使いにくいんだよな
2022/03/15 22:50
Yagokoro
いつのシステムだよ。iモード時代の仕様が生きてるのか???
2022/03/15 22:50
pibg
さすがウェッブエンジニアな方々はカスタマーサポートにどれだけパスワードの問い合わせが来るかわかっていない。どうせ一般人と違ってサイトごとのランダム文字列使ってるだろうからお前らに関係ないでしょうに。
2022/03/15 22:56
dakarane
dアカウントに限って毎回idとパスワードわかんなくなるの何故
2022/03/15 22:57
knosa
これサービス公開前に脆弱性診断やってないだろ
2022/03/15 23:00
hdampty7
AESとか可逆暗号方式の場合、ソースとデータが漏洩するとパスワードが復元できてしまう問題はあるけど、そこまでバレてたら別の方法で入れそうな気もするので現実的には2FA認証とかパスワード+αが大事なのでは。
2022/03/15 23:00
gratt
現場担当者はもちろん警告してると思うが、お偉いさんはこんなもんよ。ITリスク管理できないんだよね。リスクと言うかすでに事故だが。
2022/03/15 23:00
wararyo02
何年か前、ゆうちょダイレクトのパスワードも平文で送られてきた(ただし郵送) 今はどうなってるのかな
2022/03/15 23:04
kura-2
は?
2022/03/15 23:06
tkysktmt
こういうの、消防法とか建築基準法みたいな法律作るべきなんじゃないかな。脆弱性診断会社が確認申請処理するみたいな。デジタル庁とか作ってるんだし
2022/03/15 23:12
kagehiens
パスワードを本人だけが見られる形で開示可能にしておくと便利なのはその通り・・・、だけどそれって本当に担保可能なのか・・・?
2022/03/15 23:14
eru01
リマインダで平文帰ってこないとショップに駆け込む奴が出るからその対策やと思ってたわ
2022/03/15 23:17
inaken1980
こういう実装はユーザー側のリテラシーが上がらないと多分消えない。繰り返し報道していくことが大切かと思う。ユーザー側の防衛策としては使い回しを絶対にしない。パスワードマネージャーを積極活用そして、文字数
2022/03/15 23:18
irh_nishi
そもそもが「回線認証だから安心!」とか言っちゃう会社だから時代がだいぶ古い。ショップに問い合わせが来るとかは苦しい言い訳で、単にリセットしてあげればいいだけ。
2022/03/15 23:25
pqw
「パスワードの再設定をお願いしている」なら開示ではなく再設定フローにつなげばいいのでは。忘れるやつ続出で大変なのは理解できるので、忘れたらパスワード以外の方法で本人性確認して強制再設定が良いと思う。
2022/03/15 23:25
gomakyu
何かこういう分野でよく出る単語を選んで書く流れだったのなら「一方向」で。
2022/03/15 23:31
rideonshooting
令和になっても大手の技術が更新されない。
2022/03/15 23:34
higgsino
ユーザー側の対策はパスワードを違うサービスで使い回ししないことだな。こういうショボいサイトからパスワード漏れたら他のサービスも全部ログインされてしまう
2022/03/15 23:37
knjname
ドコモは頭お花畑ですね
2022/03/15 23:39
Cru
ソフバン。保持してるだけじゃなく、SMSに平文で流してたんかい! なんかトラフィック監視すれば沢山収集できそうね…
2022/03/15 23:41
ho4416
さすがドコモ。期待を裏切らないない頓珍漢なコメント。
2022/03/15 23:42
duedio
終身雇用の弊害かなあ。
2022/03/15 23:42
metatrading
わがままなユーザやリテラシーの低いユーザ、その両方を兼ね備えたユーザを想定している場合もある。たぶん、それ以上にレガシーなんだろうけど。
2022/03/15 23:44
dreamzico
え? 今って2002年だっけ??? 2022年だよね!?!? 設計ミスですらなく、意図的な仕様って。こういうのはもう法律で犯罪扱いすべきでは? 結果的に犯罪の幇助に近いよ。早く高木浩光さんや徳丸先生に怒られろ。
2022/03/15 23:45
asa_kaz_x
馬鹿にされたような、狐につままれたような。
2022/03/15 23:47
namabacon
ドコモ酷いな。厳重に保管って、、
2022/03/15 23:50
adsty
ユーザーに対してパスワードを平文で提示する機能を持っている。
2022/03/15 23:56
develtaro
まさか可逆なんか……少なくとも管理者はユーザーのパスワードを覗き放題ってことだぞ
2022/03/15 23:59
a2c-ceres
ドコモはdアカウント系サービスは回線のみの接続だから大丈夫と思ってるんかな?
2022/03/16 00:02
ot2sy39
「認証情報を可逆暗号化含む平文保存する場合は、その旨を明記しなければならない」という罰則付きの法を作るべきだ。
2022/03/16 00:04
inforeg
au大勝利・・・ではないけど、先代の社長がプレゼンとか営業トークは下手だけど技術畑出身だったから、その辺りはちゃんとしてたのかな?
2022/03/16 00:06
opnihc
id:blueboyの人気に嫉妬
2022/03/16 00:11
Vorspiel
今どきこれはない
2022/03/16 00:14
kabayakin
ソフトバンクの方が「検討してる」コメント出しててまだマシなの笑える(笑えない)
2022/03/16 00:20
Kmusiclife
高校生でもやらない。少なくとも高校生の時ワテはmd5ハッシュ化してたわ。赤ちゃんからやり直せとまじで思う。
2022/03/16 00:23
gyaam
ひゃー
2022/03/16 00:23
Crone
こういうネタこそひろみつ先生に解説していただきたい。技術的な観点では保持と通信の方法なんだろうけど、そこがクリアできてれば本当にいいの(設計的な欠陥はないのか)って気がする。
2022/03/16 00:25
whiteball22
ええ…
2022/03/16 00:30
zzzbbb
頑張ればなんとかなるなら情報流出は起こらない
2022/03/16 00:32
weakref
金融系とかだと暗号鍵を隔離したDB等に保存、復号は特殊なミドルウェアでしかできないという設計のシステムが結構あるけど、そこまでやっていなさそう。
2022/03/16 00:34
endo_5501
ちょっと!?
2022/03/16 00:36
fmn10
ドコモがパスワードを忘れたら開示するのは知ってたけど「平文保持」っていうタイトルは変だよな。ハッシュ化してなくて問題ではあるが、暗号化してないというわけじゃないのだから「パスワード保持」と書くべき
2022/03/16 00:36
monster-energy-zx14
マジでこれ何が悪いか解らん。 少なくともサーバーに「平文」で保持はしてないよね? 暗号化しているものを復号してるならタイトル詐欺じゃないか? あと顧客からどうしてもパスワードを教えてろという要望もあったと
2022/03/16 00:37
securecat
これは雑魚すぎだなぁ大手
2022/03/16 00:39
andalusia
システム間でCHAPみたいな仕組みが残ってるんじゃ。ちなWindowsもパスワードを可逆保管するポリシーが(今でも)ある。 docs.microsoft.com
2022/03/16 00:41
koinobori
5年くらい前、ひろみつ先生、ドコモのこれを指して、各サイトでパスワードを変えるのが常識となりつつある現在は、一周回ってありかもしれないと言ってた/これだ twitter.com
2022/03/16 00:42
waot209
パスワードマネージャーを薦めてる人たちがいるけどいくら薦めたって家族一人すら説得できない。パスワードマネージャーを使っていることすら意識させない仕組みを作るしかない。
2022/03/16 00:47
panoramaafro
色々勘違いしてる奴が多い様だけど、サーバ側でパスワード復号化出来ているだろうことが問題。サーバ管理者がパスワード盗めちゃう。復号化出来ない様にしておかないと。通信自体はSSLのみ許可ならまあ大丈夫だろう
2022/03/16 00:56
takeshiketa
暗号化したものを復号化してるかもしれないじゃんっていうけど、この手続きでスッと復号済みのが返ってくるんならしてないのと同じくらい脆弱だよ。顧客しか知らない別フレーズをキーにして復号してるとかじゃないし
2022/03/16 00:57
tockri
いけない
2022/03/16 01:03
kkobayashi
「平文でパスワードを通知する場合も、パスワードを暗号化して保存している可能性はあるものの、ハッシュ化に比べてセキュリティ対策として弱いことには変わりはない。」うむ
2022/03/16 01:06
azzr
"昨今の情報セキュリティ動向を踏まえると平文による通知は見直す必要があると認識しており" 判断が30年遅い。
2022/03/16 01:22
Kil
平文か可逆暗号かハッシュかというところ、記事を見た限りハッシュでは無いことだけ確定していて、平文か可逆暗号かについては特定されてないと思うんだけど、決め付けで話をしてんの?
2022/03/16 01:22
Palantir
リスクでしかないから、普通頼まれても可逆状態で保持なんかしたくないんだけども。
2022/03/16 01:26
Futaro99
自分が仕事を始めた当時でも完全にアンチパターンだったのに・・・。
2022/03/16 01:27
ikebukuro3
こう言うクソサービスがあるから、パスワード使い回しは絶対にしてはいけない
2022/03/16 01:28
Lagenaria
手斧だ / 追記を読む限りではドコモは可逆暗号化だろうか?
2022/03/16 01:32
yota3000
ドコモが言う“パスワードはサーバの中で厳重に保管しており”というのが、全く空虚。セキュリティに関して何の担保もないし、反省も進歩もない
2022/03/16 01:33
djsouchou
パスワードを平文で持つな
2022/03/16 01:38
avaravax
パスワードはサーバ内で厳重に管理してはいけない
2022/03/16 01:38
hamamuratakuo
最高のセキュリティー対策はスマホやネットを使わないこと=100%アタックを防げる🤣🤣🤣 パスワードはクラックされづらいように「特殊な方法」で管理しよう。総当たり攻撃の防止や定期的な変更など
2022/03/16 01:47
tito1201
リテラシ低い人(というかユーザの多数派?)のレベルに合わせた仕組みとなると、こうなるのかな…内部でリスクとベネフィットがちゃんと検討されてるのならあるいは…いや…
2022/03/16 01:49
mr_mayama
人気ブコメ君みたいに分かってるつもりで回答しちゃって余計に火に油の対応しちゃってるな、広報かサポセンか知らんけど。ユーザー認証のパスワードで可逆暗号も不適。
2022/03/16 02:11
daichirata
負の遺産っぽい
2022/03/16 02:12
kumicho24
平分提示はするが平文保持かは分かんなくないか? ホントに脆弱かは、暗号化して保持してるのかとか鍵はどうやって作って管理してるのかとか通信は何なのかとか分かんないと判断しようがなくない?
2022/03/16 02:15
ryouchi
『「平文を個別に提供する」からといって、「パスワード全体を平文で保持している」ことにはならない。』って言ってる人、ちょいヤバいな。
2022/03/16 02:20
taguch1
毎度毎度馬鹿なのか。10年以上前にパスワード平文を理由にこんなシステム面倒見たら自分のメンタルがやばいと仕事断った記憶がある。
2022/03/16 02:21
spark7
カスタマーサービス的に平文パスワードが必要になる状態なんだろうな。こんな道理が引っ込む運用を強いられてる状態を想像すると簡単には馬鹿にできんかも。
2022/03/16 02:29
rti7743
パスワード忘れたら新しいので上書き、ハッシュ化してのみ保存可能。 このベストプラクティスに辿り着くまでにいろいろあったしね。例えばbase64とか。古いサービスは難しいんだろうな。
2022/03/16 02:39
kusigahama
信用できないキャリア
2022/03/16 02:45
matchy2
前にSoftBankの店頭でワシのパスワード読み上げられて仰天したことあったけど今でもそのまんまなんだなあ
2022/03/16 02:45
dhaepax
歴史が長いほど問題を未然に解決することの価値を過小評価する傾向がある
2022/03/16 02:48
zkq
ゆうちょ銀行も平文保存だよ。忘れるとメールで教えてくれるw。日本の企業はほんとレベル低いなあ。
2022/03/16 02:50
oktnzm
利用者のリテラシが極めて低い場合の一つの解だとは思うがあまりに危険 / blueboyクンは基本的に残念な子なので非表示かネタブクマカとして消費することをお勧めする。私の体験→oktnzm.hatenablog.com
2022/03/16 02:53
sato0427
従来の電話回線であれば閉じたネットワークでそれなりの安全性もあっただろうからこういう設計だったのが、VoLTEになって傍受されるリスクが出たとか?それにしてもサーバー側がやられたら意味ないか
2022/03/16 03:12
kujoo
マジか。しかも確かにドコモの回答を見るに直す気ない(指摘を理解してない?)のか
2022/03/16 03:20
degucho
アタックの準備始めてるとこありそう
2022/03/16 03:55
namuts
ブコメに「平文」の意味がわかってない半可通が居てヘキエキするわ。記事タイトルが言い過ぎ感あるのも悪いけど。はてぶユーザも、全体で見るとあんまりこの事件バカにできなそうな感じする
2022/03/16 04:23
choosyf
関係ないけどそれぞれの会社からの返答をそのまま引用してるかのように出してるけどですます口調じゃないしこれ要約だよね。その辺雑だと情報源としての信用性も落ちるよITMedia。
2022/03/16 04:23
ryosuke134
あちゃ、これ痛い案件。
2022/03/16 04:31
KAN3
平文で通知してるのが問題なんじゃなくてそもそも平文化可能な状態で保持してるのがおかしいんじゃないの。ドコモソフトバンクレベルでもこれなのか。
2022/03/16 04:32
Andrion
開発要件として最初から要求されて仕方なく受注先が平文保持させてる雰囲気。>「ユーザーの利便性のため」「ユーザーへの利便性の観点から」
2022/03/16 04:53
ledsun
「モバイルデータ通信とSMSなら通信経路が安全」が前提かな?今でもこの要件は成り立つのだろうか?
2022/03/16 05:18
tpircs
なんか両社とも暗号化すらしてなさそうな回答だな。まんま平文のパスワードがDBに入ってそう。平成みある。(むかしそういうシステムを作ってしまいました。懺悔)
2022/03/16 05:22
ene0kcal
セキュリティの低さよ。しかもドコモの回答のレベルの低さ。大手3キャリの中ではauがセキュリティも技術力も高いんだろうな。
2022/03/16 05:58
abiruy
この調子で春の平文祭を毎年開催しよう(提案)
2022/03/16 06:15
xlc
技術に疎いものが発言権のある組織では平文保存がまかり通る。なぜならユーザ様の「パスワードを忘れたので教えろ」クレームを正しい要求と理解してしまうからだ。私としてはバカの巻き添えを食らうのはかなわんが。
2022/03/16 06:20
paradisemaker
たぶんこういう古い設計の実装が残ってるシステムは多いと思うので、対応の必要性を認識してもらうためにも定期的に祭り上げていくのがいいと思う
2022/03/16 06:26
dentaro
まあシステム古そうだから複合化できちゃう状態で保持されてるんだろうな…
2022/03/16 06:34
natu3kan
大半のプロバイダは本人確認して本人の住所に再設定用書類を送ったり、プロバイダの契約が見られる暗号化とかで保護されたマイページにログインして確認なのに。
2022/03/16 06:34
ninosan
なんか無知を晒しちゃったマンいるみたいだけど以前「バーボンに香料使ってる」とか言ってた人?違ったらスマヌ😋
2022/03/16 06:37
alt-native
コールセンターや窓口の人が「忘れたからパスワード教えろ!」っていうクレームに対応しやすくなるね!
2022/03/16 06:54
tmdtky
「パスワード忘れた」っていう大量の問い合わせにウンザリしたんだろうなとは思う
2022/03/16 06:56
taruhachi
確かに平文保持疑惑が問題とする記事のように読めるね。可逆暗号だったら平文保存じゃないので問題ないかのようなタイトル。問題は平文で回答しているという業務フローの事だろう。
2022/03/16 06:57
strawberryhunter
利便性じゃないだろ。新しいパスワードを再設定させるべきなんだよ。
2022/03/16 07:06
nabe1121sir
auと楽天ユーザのワイ、大勝利。勝ってどうなるもんでもないけど。
2022/03/16 07:07
hiroomi
“2019年に、オージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいする問題が発生した。”
2022/03/16 07:10
quabbin
「利便性」でそういう実装になっているのは、15年以上前は普通だったよなぁ。その傾向がまだ残ってしまっているのは、非常にわかる。が、変えるべき。
2022/03/16 07:13
flont
リテラシーの低い層に合わせるなら、パスワードの使いまわしを考慮してむしろハッシュ化は必須。クレーム回避か改修コストをケチってるのか知らんがリスクを押し付けてるだけなのを利便性とは言わない
2022/03/16 07:17
mory2080
go to ヘイブン。
2022/03/16 07:17
onesplat
それで結局平文保持なのかどうなのか。暗号化して保存してあればまぁまだ条件次第で許せる範囲ではあるだろう / いや複合して通信路に載せてる時点でやっぱダメか…。
2022/03/16 07:28
versatile
こういうのは、CSが、「絶対必要なので」とかいうと、エンジニアは、思考停止でそう実装するしかない。そういう世界観だよ。SI の世界は。
2022/03/16 07:30
gairasu
月収30万円のオペレーターが簡単なDB言語叩くだけで数千万円、キャリア規模なら数兆円動かせる。そういうこと
2022/03/16 07:39
open_your_eyes
オージス総研と同じ状況か??暗号化しているって言いたいのか?ならばそれで企業責任を果たせると判断なのだな? 毎度のことだがセキュリティ要件を満たさない場合の監督官庁は総務省か? 公の仕組み必要じゃね?
2022/03/16 07:44
cogen
docomoユーザーだけどdアカウントのアプリで表示できた。。。自分のパスワードが表示されるとなんか動揺するな。大手の業者でこんな運用はあり得ないと信じ込んでいた自分が悪いのだけど。
2022/03/16 07:46
ShigeakiYazaki
mjd
2022/03/16 07:48
nekobosi
いやこれは立場上サービス提供側に若干同情的になってしまう。メールに変更URLを送る的な手順て一部の利用者には「めちゃくちゃ難しい」のよ。セキュリティ的にはアウトもアウト
2022/03/16 07:55
taketack
ひらぶん
2022/03/16 07:58
Yuny
運用の問題からかもしれないけど、世の中の色んなサービスでPassword忘れたらメール経由で再設定にしてるわけで言い訳にならないかと。
2022/03/16 08:01
mohno
「LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っている」/ドコモの広報、「直す気はない」って言ってるね。社内で問題にならないのか?
2022/03/16 08:05
Helfard
どんな形で保存してようが可逆性があったらあかんわな。
2022/03/16 08:05
bml
ドコモなら保証してくれそうだけど、ソフトバンクは500円になりそうなんで怖い。
2022/03/16 08:06
ite
これは以前からそう。たぶん2010年ころから変わってない。登録時に気付いたくらい杜撰な管理で、大企業としておかしいと思ってる。
2022/03/16 08:06
aya_momo
あーって感じだが、誰もが使うから利便性のほうに振るんだろうね。
2022/03/16 08:07
urtz
確かソフバンは情報流出やらかしてたよな。対策強化をうたいながら基本すらできていなかった。
2022/03/16 08:10
BT_BOMBER
企業側の問題なのか、ユーザーが付いてこれないのか。あるいは両方か/うちの両親に一般的なパスワード再設定の手続き自力でできるか考えるとまず無理。学校はともかく職場の教育機会は業種や会社規模で差がありそう
2022/03/16 08:13
TakamoriTarou
ははは
2022/03/16 08:13
HDPE
青少年のひと、あちこちで的外れなこと書いてるなあ。もう少し書く前に考えよう
2022/03/16 08:22
toaruR
簡単確実な復号アルゴリズムがあるならハッシュ化の意味ないから( ´∀`)σ)∀`)
2022/03/16 08:24
houyhnhm
base64はバイナリ⇔テキスト変換なだけでハッシュとか暗号とか関係ないよ。/端末内で確認出来るのは、サーバ外で確認出来てるって話では?/リバースブルートフォースで落とせそう
2022/03/16 08:24
yjkym
ユーザー端末で平文表示されたからって平文で保持されてるとはならんやろ… 問題はあるがタイトルが悪質(記事内でも触れてるんだからわかっててやってるんでしょう?)
2022/03/16 08:28
irasally
気がついていた開発者はいただろうけど、ネットリテラシーのあまり高くない顧客の対応として、ゴリ押しされた過去があるのかなぁと思ってしまった。だからといって平文保持していいってことではないんだけど。
2022/03/16 08:28
NOV1975
社内の関係ないエンジニアは頭を抱えてるだろうし、関係あるエンジニアは何度行っても理解を示さなかった上層部に頭を抱えてるんだろうな
2022/03/16 08:30
fu_kak
おいおい
2022/03/16 08:33
north_god
そういうズボラな人想定運用のサービスを色んな支払いに紐付けられてはならんと思うの
2022/03/16 08:34
cl-gaku
もうIT企業を名乗るなよ
2022/03/16 08:34
n2sz
外から分かるのは可逆ってことだけで、内部で平文保持かどうかは分からないのでは?確かにハッシュ化してないのは問題だけどさ。もやもやする表現だなあ。
2022/03/16 08:36
ghostbass
日経BPとかは平文送りつけてくるのをやめたの?
2022/03/16 08:36
rh-kimata
いっそパスワードの平文保持を違法にすればサーヴィス提供者もユーザーに「法律でできない」って答えられるのでみんな嬉しいのではないだろうか。仕組みが納得できなくてごねるユーザーはいるだろうけれど
2022/03/16 08:37
coper
パスワードはハッシュで保存するのが基本。暗号化して保存するのもダメ。復号されて一気に全ユーザー分のパスワードが漏洩するから。というか、認証機能をセキュリティの素人が安直に独自開発するな。
2022/03/16 08:37
me-tro
えぇ〜 携帯電話絡みは対象層が広すぎて パスワード再設定だとサポート工数マンドクセってことなんだろうが… だからこそしっかりやって欲しい
2022/03/16 08:39
morimarii
PWを平文保持してるんではなく暗号化している(ハッシュ化はしてない)ってだけでは。この記事だけではPWを平文保持してるかどうかは不明。誤解を招くタイトルでは?ハッシュ化しろってのはそうだけど
2022/03/16 08:40
modal_soul
ドコモの回答の"まるでわかってない感"がすごい
2022/03/16 08:44
birds9328
…広報だけでコメント返しちゃったやつかな
2022/03/16 08:46
junglejungle
平文保持って言うのは紛らわしい。"パスワード可逆的に保持か"に改めるべき。どっちにしろダメだけど。/そもそも契約時に紙に4桁のパスワード書かされるのもヤベェなと思ったけど、最近は改善されてるのかな?
2022/03/16 08:47
washi-mizok
しかしながら再設定で使いまわしのパスワードを入れたら「以前使われたパスワードは使えません」パターンもやめてほしい
2022/03/16 08:48
manjirou99
ギルティ
2022/03/16 08:49
namisk
平文ではないのかもしれないが、復号できちゃったらやはり駄目でしょう。
2022/03/16 08:55
manamanaba
昨日某サービスの月額会員解約しようとしてたまたま「パスワードを忘れた方はこちら」をクリックしたら「登録メールアドレスから連絡くれたら調べて送り返すよ」って書いてあって笑ってたとこ(笑えない)
2022/03/16 08:55
wiz7
その辺の中小企業で作った小さいシステムでもこれはない。内部の人たち全員が気づかないはずなくて、声を挙げられない体制に大きな問題がありそう/さすがに平文ではなく暗号化・復号してるパターンだろうけどさ
2022/03/16 08:56
Insite
「学校で最初に教えてもらう事柄もちゃんと出来ていない」という批判の仕方は思考停止。自社回線を用いたSMSをクローズドネットワークとして活用するというアプローチを否定すべきではない。(素人目線)
2022/03/16 09:02
daira4000
ドコモの広報なにが問題か理解してなくて草
2022/03/16 09:03
tettekete37564
パスワードはソルトを加えてハッシュ化しておかないとその強度を担保できない。ただの暗号化だとバグやミスで非暗号化経路で盗まれる可能性があるし復号キー盗まれると終わりな上に設計によってはキーの更新も怪しい
2022/03/16 09:04
daishi_n
復号できる=鍵管理を誰がやる? だからね。そりゃまあハッシュでも同じだしアプリサーバから抜けば同じだけど、鍵取得からの容易さで言えば復号だし
2022/03/16 09:04
Shinwiki
全リソースを駆使してハッシュから戻したのかもよ?w実際のとこ、多数の国民相手で限られた社内みたいにITリテラシー期待できないだろうから、手間考えたら別にありだと思うけど。いったんは。
2022/03/16 09:06
asuka0801
“パスワードはサーバの中で厳重に保管しており”なんだろう、フラグにしか見えないんだけど。
2022/03/16 09:06
makopan
「分かった」って社員もパスワード忘れたことあるユーザーもずっとみんな気づいてたでしょ。古いシステム弄りたくないんだろうな。まぁこうして騒ぎ直すことで重い腰あげて改善してくれるならいい流れ。
2022/03/16 09:08
ruisou
みんな散々言っているけど、はてなも怪しい気がするのだが。
2022/03/16 09:12
laranjeiras
普通は不可逆暗号だよね。とりあえず「私が作成したシステムはドコモやソフトバンクよりもセキュリティーレベルが高いです」と言えるのはIT屋としてありがたいかも。
2022/03/16 09:12
b4takashi
KDDIと楽天は対処できてるんだから、ドコモとソフトバンクができないってわけないはずなので
2022/03/16 09:19
multipleminorityidentities
・・・・・。
2022/03/16 09:20
eiki_okuma
可逆暗号だと平文と暗号化された後のセットがいくつかあれば(自分で作れるし)普通にキー分かっちゃうんですよね~。だから復元のできないハッシュ化が大事。
2022/03/16 09:20
orangehalf
近年改修が入っていたらこの仕様は考えにくいから10年以上前に作ったシステムをいまだに稼働させていると思われるのでそれ以外のセキュリティレベルもかなり不安。あえてこの仕様を正としているならそれはそれで不安
2022/03/16 09:24
ZeroFour
中小企業なら、自社データベースに顧客パスワードを平文で保存とか、圧縮ファイル付きメール+「解凍パスはこれです」メールなやり取りとかは健在かもだが、インフラを担う大企業でこれか…。
2022/03/16 09:27
raitu
“LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っている”
2022/03/16 09:30
makoto725
先日身内の高齢者ドコモスマホいじる機会があって、ショップでGoogleアカウントやらdアカウント取得してくるけど、覚えてないの。パスワードどころかアカウント名も。保持の仕方はあるにせよ以外とありがたい機能
2022/03/16 09:31
richard_raw
なんてこった!(ハッシュ化がよくわかってなかった人)。
2022/03/16 09:31
cyrus_001
ドコモとソフトバンク、パスワード平文保持か 「パスワードを忘れた」からユーザーへ開示
2022/03/16 09:32
keren71
ハガキで送ろう
2022/03/16 09:33
inazuma2073
古い顧客を抱えていれば抱えているほど身動きができなくなる説を提sy…/ 暗証番号さえ守っていれば問題ないって思ってそう。
2022/03/16 09:36
rizenback000
これが個人情報を莫大に抱えた日本の三大キャリアなのかと思うとめまいがする
2022/03/16 09:39
hidea
昨今?
2022/03/16 09:40
akibare
ハッシュ値をブルートフォースして親切に平文を提供しているという可能性もあるかも
2022/03/16 09:43
emmie714
もし、パスワードの問合せが多すぎてこの手段をとっているのであれば、そのターゲットユーザは、ほぼ同じユーザ操作のSMSワンタイム認証ならできるはずなので、いっそ認証方式を見直せばいいのに。
2022/03/16 09:43
AirReader
うえーって気もするし、客層的にもそうしたいだろうみたいなのもわかるので、現場の悩みは深そう。でもやっぱりだめだと思うのでなんとか頑張ってほしい。
2022/03/16 09:43
cive
草
2022/03/16 09:52
catan_coton
可逆暗号ならいざ漏れたとき全部復号出来ちゃうじゃん。意味ねーw
2022/03/16 09:54
yorunosuke
ハッシュ化をしていないが暗号化しているものを「平文保持」と表現するのって違和感ある
2022/03/16 09:56
mangakoji
パスワードは、人類には早すぎる技術だ。やめよう。
2022/03/16 10:00
ryu39
ドコモの回答が不安すぎる…。復号できちゃうことが問題なのよ。そりゃ、ドコモ口座事件もやらかすわ。セキュリティ面に関して、ドコモは最下位だな。
2022/03/16 10:02
zakinco
アホ
2022/03/16 10:08
kagerou_ts
これ大昔にパスワード送られてきてまじかよって思った覚えあるからすごい今更感。たぶんサービス開始当初からこれなんじゃない…
2022/03/16 10:09
white_skin
まあ流石に保存時は暗号化されてると思うけど、通信路上を平文が闊歩しちゃダメでしょう 通信路が暗号化されていれば良いという理論かもだが、わざわざ危ない橋を渡りすぎかと 通信最適化の末路
2022/03/16 10:10
alpon
考えなしで機能を現状維持するから時代遅れなものが残る。みずほの二の舞になるで
2022/03/16 10:15
miruto
大手でもパスワードを平文で保存しちゃうのか…。
2022/03/16 10:16
smeg
漏洩の危険も嫌だけど、まずお前に知られたくない。平文保持はユーザーからしたら既に漏洩してる。お前に。
2022/03/16 10:20
longroof
もうそういう時代じゃあないよなってユーザに認識を広めるのも通信大手企業の務めなんやろなぁ(´;ω;`)…責めるんじゃなくってどうやったらみんなで次に進めるのか建設的な議論が湧き出して欲しいんよ…
2022/03/16 10:22
inductor
復号できるパスワードを保存するな2022
2022/03/16 10:23
kaputte
これはターゲットになるやつだね。
2022/03/16 10:24
diabah_blue
気休めに20桁のパスワードに変更しておいた。
2022/03/16 10:29
sirius_taka
ちょっと違うけど暗証番号やパスワードを紙に書いて受付の人に渡すタイプの登録もなんかイヤ
2022/03/16 10:30
xevra
頭弱いいっちょ噛みの無能がフルボッコでワロタ。必死に釈明してるがそれもまた的外れ。こうやって無能が炙り出されるってはてブはいいシステムだな。
2022/03/16 10:35
k-holy
ドコモの回答はズレてるが、さすがにこの規模だとDBも暗号化してるだろうし、平文保持はないんじゃない。パスワード再設定すら自力でやれないユーザーも多いだろうし、その点は同情する。WebAuthn普及もまだ先だろうし
2022/03/16 10:36
honeybe
ソフトバンクは一応改善する気はあります。という回答なのに対してドコモ…おまえ…
2022/03/16 10:40
An7s
回答含めて正気なのか… / blueboyさん叩かれて可愛そう…
2022/03/16 10:56
zyzy
古めのシステムはまぁ大体こんな感じよなぁ。そもそも銀行の暗証番号とかなんてそれ以前だし/騒がれている人非表示済みだった
2022/03/16 11:04
fut573
あら、話題の人、不可逆のハッシュ化していれば、平文のパスワードを"お客様に教える"こともできないあたりからか
2022/03/16 11:16
shiju_kago
セキュリティ意識が低すぎる奴が散見されててつらい。漏洩したときに万が一つでも復号可能な状態であればそれは平文保存と同じなんだよ。ハッシュ化してもブルートフォースで突破可能な短いパスワードもアウト
2022/03/16 11:16
mysql8
IT後進国
2022/03/16 11:21
Lat
知っていたし問い合わせしたこともある。これがまだ修正されないのは、管理者がユーザーのパスワードを把握してなければならないと言う考えの下にあるのか?普通は管理者はユーザーのパスワードは把握していない。
2022/03/16 11:22
perl-o-pal
auはパスワード平文で保存してないかもだけど、4桁の暗証番号はどうだろうね…。ハッシュ化してても秒で解けそうだが。
2022/03/16 11:29
ockeghem
徳丸本初版(2011年3月)の功績の一つが「パスワードはソルト化ハッシュ+ストレッチングで保存すること」を「常識」にしたことだと密かに思っている
2022/03/16 11:33
cider_kondo
さすが、よりにもよってひろみちゅ先生に向かって『ハッシュ値という概念を知らないのでは?』 b.hatena.ne.jp と寝言吐いた人は格が違った
2022/03/16 11:36
sumomo-kun
パスワードリセットはできても、パスワードを教えることはできないはずだよね。
2022/03/16 11:41
maemuki
アラァ今はどちら様もご縁が無くなりました ご多幸をお祈りいたします。
2022/03/16 11:56
deep_one
設計の時「普通解読可能な形では保存しないからパスワードは教えられないし、別システムにうつすのも割と無理」ってよく説明しているのだが、大手がやってしまうのでは「みんなやってる」とか言われてしまう(怒)
2022/03/16 11:58
kyo1man
PW忘れた人を手っ取り早く処理するのにセキュリティより利便性を優先したってこと?
2022/03/16 12:11
stealthinu
擁護したくはないが状況はわかりそう。きっとパスワード忘れて教えて欲しいという問い合わせがものすごい数あり、再設定するという選択をしてくれにくいユーザーなのだろうなと。
2022/03/16 12:16
murlock
「パスワード全体を平文で保持」せずに「平文を個別に提供する」システムが出来れば世界を変えられるのでぜひお披露目してほしい。/ロリポップのDBもパスワード開示してくれるんだよねぇ
2022/03/16 12:22
matsuedon
マジカー
2022/03/16 12:30
osugi3y
この件に関してはFacebookでさえしていたことなのでパスワードに関しては多重認証をユーザー側で設定するしかないのかとも思います。
2022/03/16 12:47
kako-jun
平氏が源氏に負けた理由は、たいらのふみほじってサムライが、大事な暗号をテキトーに保管して解かれたからって昔話を作って、高齢者(経営者と利用者)を教育すればいいと思う
2022/03/16 13:02
tune_tuber
パスワードが流出したとき、暗号化されていても、可逆だった場合には平文の流出と同じ扱いを受けるんだよねぇ。
2022/03/16 13:13
kobito19
何か前も話題になったような...?その時もユーザのリテラシ考えると云々という意見見かけた記憶が
2022/03/16 13:45
tamanecoplus
もし定期的に脆弱性診断を実施してるなら真っ先に指摘されるもの
2022/03/16 14:18
nankichi
“平文保持”この見出しがおかしいんじゃない?"複合化可能な状態でパスワード保存"とかにすればよかったのでは
2022/03/16 14:45
sujata_hr2
セキュリティは必要条件であり、問い合わせが多いだとか、利便性だとかは必要なセキュリティを満たさないことを正当化しない。当たり前のことやで。
2022/03/16 14:49
Foorier
正直各サービスでどう扱われてるかわからんのでMFA有効化+PWは使いまわさないしかない気がする
2022/03/16 16:10
nebokete
宅ふぁいる便が終わった時に、自分ごととは思わなかったのかな。
2022/03/16 16:50
comoselab
ソフトバンクの認めるところもすごいし、ドコモは論外。でかい会社でぬくぬく働いてるエンジニアを想像するとなんだかなぁって感じ。
2022/03/16 19:05
amd64x64
とはいえ違法ではないんじゃないの。
2022/03/16 20:07
s025236
システム的に隔離されているユーザー毎に異なる十分長さをもった秘密鍵を使って暗号化してあればターゲット特定したブルートフォースには弱いがハッシュ化にこだわらなくても大事にするほどではないと思うけどダメ?
2022/03/16 21:12
inherentvice
平文保管は論外として、ドコモのやつは暗号化されてれば仮に流出したとしても復号プロセスさえ解析されなければそれを利用して不正にアクセスすることは出来ないからセーフって主張、という理解でええんか
2022/03/17 09:01
gutmond
「パスワードを教えろ」という客が多いのだとしたら、非可逆にすると外部のパスワード再設定代行業者が出てくると思う。
2022/03/17 09:33
moromoro
大手でも全然あるで・・・2010年代前半にリプレースしたシステム持ってるとこは危ない。ちょうどクラウド流行り始めた頃のあるある。