セキュリティって所詮こんなもんで、許されるの?
Friday, January 12, 2007
こんなもんで、世間的には許されるんだろうか。
某社の、製品を購入して、そのユーザー登録を行ったのが1年前。
で、このたび、再登録の依頼メールが来た。
で話せば長いので、続きをよむ人は続きを読むをクリック。
来たメールがこれ。
*ここからメール*******************************
本年10月にxxxxxでユーザー登録にてご登録いただくときに
ID・パスワードを付与し、そのID・パスワードを使用して、弊社のホーム
ページからご登録者様ご自身で、ご登録内容の確認・変更・削除ができるよう、
システムを改善しました。
すでにxxxxxユーザー登録にご登録いただいておりますお客様には
仮ID・仮パスワードを使ってログインしていただき、ご登録内容をご確認のうえ、
必要に応じてID・パスワードおよびご登録内容の変更、削除をお願いいたします。
なお、仮パスワードは前回のご案内から時間も経過しておりますことから、新しい
仮パスワードに置き換えております。
仮パスワードの確認方法ならびにログイン方法は以下のとおりです。
--------------------------------------------------------------------------
仮パスワードの確認方法
1.xxxxxユーザー登録にアクセスします。
URL: https://service.会社.jp/製品/user
2.「ユーザーIDでログインする」枠内の「パスワードを忘れた方はこちらへ」
をクリックします。
3.電話番号枠にご登録の電話番号をハイフン入り(例:03-1234-5678)で
入力します。
※ お住まいの地域の局番変更などによりハイフンの位置が異なりますと
エラーになりますので、ご注意ください。
※ 複数の電話をお持ちの場合、ご登録電話番号がご入力いただいた
電話番号と異なることがございますので、念のためご確認を
お願いいたします。
4.ID枠にお客様の仮IDを入力します。
仮IDは、ご登録いただいている電話番号の下8桁(ハイフンなし) です。
例1:「03-1234-5678」の場合、仮IDは「12345678」になります。
例2:「09876-5-4321」の場合、仮IDは「87654321」になります。
5.「送信」ボタンをクリックするとご登録になっているメールアドレスに
仮パスワードを送信します。
--------------------------------------------------------------------------
ログイン方法
1.仮パスワードをご確認いただきましたら、「ユーザーIDでログインする」枠
内のID枠に4項の仮ID、パスワード枠にメールでご連絡した仮パスワードを
入力して、ログインします。
※ 不正アクセス防止のため、初回ログイン時に仮ID・仮パスワードの変更を
お薦めいたします。
※ ID・パスワードはメモを取るなどして、他人に見られないよう大切に保管
してください。
*ここまで************************************
まずは、このメールが、フィッシングかどうか、、、ということを、まじめに吟味しなきゃならない。
俺は、
その会社.co.jpは信用しているが、
その会社.jpを信用するかどうかは、記憶にない。
で、びっくりすることに、その会社.co.jpの認証局と、その会社.jpの認証局が違う。
前に、ユーザー登録したサイトはどこだっけ。とか調べだしたんだが、、、
その会社.jp
だったので、まあ、OKか。なんで、俺がこんな面倒なことしなきゃならないの?
って、以上は序の口として、、、
仮ユーザー名が、
03-1234-5678
で、仮パスワードが、
12345678
だってさ。
で、実際、存在しないのを入れると、いきなり、「違います」というメッセージがでると、、、
じゃ、おれが、近所のその製品を買ったユーザーの電話番号を調べられるんだ。
03-1234-
を前提に10000回Webアクセスしたら、近所の、その製品を買ったユーザーの電話番号が
わかってしまう。
ま、仮IDを手に入れる手続きをしたら、登録してるメールアドレスにメールが飛ぶので、本人には、漏えいがあったことは、わかるんだろうけど、そんなことで、いいんだろうか?
とか、も含め、少なくとも、コンピューター関連に詳しくない限り、リスクを分析できないような、こんなシステム作る奴が、世の中にいるんだー、、、
ということまで、考えると、ありえねえー、、、、馬鹿丸出しだね。
某社の、製品を購入して、そのユーザー登録を行ったのが1年前。
で、このたび、再登録の依頼メールが来た。
で話せば長いので、続きをよむ人は続きを読むをクリック。
来たメールがこれ。
*ここからメール*******************************
本年10月にxxxxxでユーザー登録にてご登録いただくときに
ID・パスワードを付与し、そのID・パスワードを使用して、弊社のホーム
ページからご登録者様ご自身で、ご登録内容の確認・変更・削除ができるよう、
システムを改善しました。
すでにxxxxxユーザー登録にご登録いただいておりますお客様には
仮ID・仮パスワードを使ってログインしていただき、ご登録内容をご確認のうえ、
必要に応じてID・パスワードおよびご登録内容の変更、削除をお願いいたします。
なお、仮パスワードは前回のご案内から時間も経過しておりますことから、新しい
仮パスワードに置き換えております。
仮パスワードの確認方法ならびにログイン方法は以下のとおりです。
--------------------------------------------------------------------------
仮パスワードの確認方法
1.xxxxxユーザー登録にアクセスします。
URL: https://service.会社.jp/製品/user
2.「ユーザーIDでログインする」枠内の「パスワードを忘れた方はこちらへ」
をクリックします。
3.電話番号枠にご登録の電話番号をハイフン入り(例:03-1234-5678)で
入力します。
※ お住まいの地域の局番変更などによりハイフンの位置が異なりますと
エラーになりますので、ご注意ください。
※ 複数の電話をお持ちの場合、ご登録電話番号がご入力いただいた
電話番号と異なることがございますので、念のためご確認を
お願いいたします。
4.ID枠にお客様の仮IDを入力します。
仮IDは、ご登録いただいている電話番号の下8桁(ハイフンなし) です。
例1:「03-1234-5678」の場合、仮IDは「12345678」になります。
例2:「09876-5-4321」の場合、仮IDは「87654321」になります。
5.「送信」ボタンをクリックするとご登録になっているメールアドレスに
仮パスワードを送信します。
--------------------------------------------------------------------------
ログイン方法
1.仮パスワードをご確認いただきましたら、「ユーザーIDでログインする」枠
内のID枠に4項の仮ID、パスワード枠にメールでご連絡した仮パスワードを
入力して、ログインします。
※ 不正アクセス防止のため、初回ログイン時に仮ID・仮パスワードの変更を
お薦めいたします。
※ ID・パスワードはメモを取るなどして、他人に見られないよう大切に保管
してください。
*ここまで************************************
まずは、このメールが、フィッシングかどうか、、、ということを、まじめに吟味しなきゃならない。
俺は、
その会社.co.jpは信用しているが、
その会社.jpを信用するかどうかは、記憶にない。
で、びっくりすることに、その会社.co.jpの認証局と、その会社.jpの認証局が違う。
前に、ユーザー登録したサイトはどこだっけ。とか調べだしたんだが、、、
その会社.jp
だったので、まあ、OKか。なんで、俺がこんな面倒なことしなきゃならないの?
って、以上は序の口として、、、
仮ユーザー名が、
03-1234-5678
で、仮パスワードが、
12345678
だってさ。
で、実際、存在しないのを入れると、いきなり、「違います」というメッセージがでると、、、
じゃ、おれが、近所のその製品を買ったユーザーの電話番号を調べられるんだ。
03-1234-
を前提に10000回Webアクセスしたら、近所の、その製品を買ったユーザーの電話番号が
わかってしまう。
ま、仮IDを手に入れる手続きをしたら、登録してるメールアドレスにメールが飛ぶので、本人には、漏えいがあったことは、わかるんだろうけど、そんなことで、いいんだろうか?
とか、も含め、少なくとも、コンピューター関連に詳しくない限り、リスクを分析できないような、こんなシステム作る奴が、世の中にいるんだー、、、
ということまで、考えると、ありえねえー、、、、馬鹿丸出しだね。
コメントする
トラックバック
この記事へのトラックバックURL:
これまでに受信したトラックバックはありません。