パスワードを忘れた? アカウント作成
13695638 story
携帯電話

電話番号の流出はパスワード流出よりもタチが悪いかもしれない 44

ストーリー by hylom
電話番号を認証手段に使うな 部門より
あるAnonymous Coward曰く、

米T-Mobileで顧客情報の流出事件が発生した(ITmedia)。

不正アクセスが原因で、流出した個人情報は約200万件。流出した情報には氏名、郵便番号、電話番号、メールアドレス、ハッシュ化されたパスワードなどが含まれていたという。ハッシュ化アルゴリズムには容易にクラックが可能なMD5が使われていたという話もある。

この事件を受けて、WIRIDに掲載された記事では電話番号が流出したことは、パスワードの流出よりも大きな問題だと批判している。今の電話番号は他人と話すだけでなく、スマートフォンでの二要素認証などに使われているためだ。アイデンティティ管理の専門家は、電話番号の過度の依存について何年も前から警告してきた。電話番号が個人のロックとキーという両方の役割を果たしている現状は、攻撃者が電話番号を盗むいわゆるSIMスワップ攻撃を引き起こす原因ともなっているとしている(WIRIDSlashdot)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2018年08月29日 11時19分 (#3470393)

    を流出したら困る情報にするのが根本的な問題だよね

    • by Anonymous Coward

      高速バスの予約をしたんだけど、認証に電話番号が必要なんだけど、
      それを窓口で伝えるときに口頭で要求しやがるんだ...

      横に立ってたら電話番号ゲットし放題だぜ?

  • 今の二要素認証って、ただの個人情報収集だから....

    どうしても二要素にしたいのならパスワードを2つにすればいいのに、
    なんで個人情報を要求するかなぁ。

    別トピックで上がっているけど、ひとつで長いパスワードにしておけば
    ふつうは問題無いと思う。

    • by Anonymous Coward on 2018年08月29日 12時36分 (#3470425)

      どうしても二要素にしたいのならパスワードを2つにすればいいのに、

      そうか!だから地元警察の免許更新時にパスワードを2つ要求されたのか!

      ※「パスワード忘れたらどーすんのよ?」
       「だから1つは免許番号の下4桁を指定したら楽ですよ~」

      親コメント
    • by Anonymous Coward

      それじゃパスワードって「1要素」しかないじゃん(パスワード2つとも盗まれたら終わりだしロガーで同時に盗まれうる)
      二要素認証は全く違う「要素」でないと意味がない。

    • by Anonymous Coward

      ☓二要素認証
      ○二段階認証

    • by Anonymous Coward

      IDでこれは恥ずかしいwwww

      • by Anonymous Coward

        逆に考えるんだ。
        IDで発言できない恥ずかしい奴ばかりになってしまった今のスラドにあって、jizouはACで言ったほうが楽なことでもIDで言う見上げた奴だ。
        でも俺はAC。

    • by Anonymous Coward

      現状の2段階認証は、毎回パスワードが自動的に変わるというメリットがある。
      パスワード2つ、だとその2つが漏れたらいつでもご来店できるけど、
      TOTPとかだと1回キー盗まれても1分後には入れなくなる。

      1回でも入店されたらダメージでかいけど。

  • by eigen (34018) on 2018年08月29日 13時25分 (#3470449)

    電話番号なんて連絡先として他人に知らせるためのものだし、
    流出した電話番号使ってSIMスワップ攻撃仕掛けるより、流出したID(メールアドレス)とパスワード使って他のサイトで試す方が攻撃者にとっては楽だし、ユーザーにとってもその方が脅威でしょ。

    電話番号の流出の方がタチが悪いんじゃなくて、二要素認証で電話番号使うのが悪いってならまだわかるが。

    • by Anonymous Coward

      別に今回のデータだけで目的を達成する必要はない。

      もともと目を付けてた別サービスのユーザーの2段階認証の電話番号だけが目的なパターンもあるし、名寄せに使える良質な識別IDに使えるのよね。

  • by nemui4 (20313) on 2018年08月29日 6時51分 (#3470251) 日記

    まだ配布してるんだっけ。
    #固定電話は認証に使わないんだろうけど。

    ネットの電話帳(ポン!)もまだ生きてるか。

    • by Anonymous Coward

      #固定電話は認証に使わないんだろうけど。

      LINEの認証には使えますよ。

      • by Anonymous Coward

        LINEの認証には使えますよ。

        ユーザー自身の認証どころか、自分の電話番号を知ってる人がLINEはじめて、電話帳アップロードしちゃったら……

      • by Anonymous Coward

        同僚が新規アカウントの認証に会社の電話番号使ってしまった結果、既存アカウントのデータがすべて消えてしまった。
        いや、工事屋さんなど仕事でLINE結構使ってましてね。自分だけ使わないという選択はちと無理ってことで。

        • by Anonymous Coward

          仕事では仕事用の電話使えよ。

          • by Anonymous Coward

            そちらも、既に別の同僚が使っておりまして(以下略
            流石に電話番号まで一人一台とはなかなか

            # なんかグローバルIPアドレスみたいだなー

  • by Anonymous Coward on 2018年08月29日 18時36分 (#3470676)

    とうとう家にもきました。番号は某署。
    相手はこちらの番号を知っていて、警察の電話番号を装い、
    電話してきましたが、謎の黒魔術(リダイヤルではなく番号打ち)で詐欺だと確定し、
    迷惑電話として通報しました。

    #もう発信者番号も信用できない世界になってしまったね。あれじゃ年寄りは騙されるわ。

    • by Anonymous Coward

      現代では「ダイヤル」というものを認識できない若人が育っており、彼らからしてみれば魔術でしかないダイヤルを回すという行為で相手先に接続する。昔、電話が広まったころの電話機の色から「黒魔術」と呼びならわされている。
      そして、ダイヤルを知っているものにすら、あまり知られていない「番号打ち」という技法がある。番号と同じ回数だけフックというボタンを連打するものだが、これはタイミングの非常に難しい技術で、これを自在に操るものは古代黒魔術使いとして尊敬されたという。

      Min-Mei

      • by Anonymous Coward

        それ、出来る電話が限られる手法だからなー
        # 片手で内線で1番を呼び出すのに使うぐらいだね。

  • by Anonymous Coward on 2018年08月29日 7時17分 (#3470260)

    弱衝突性が破られているわけではない

    • by Anonymous Coward

      そうそう。
      PS3も買えない俺のような貧乏人には関係のない世界の話 [srad.jp]なんだろう。

      # え? PS4??? そんなもんがあるなんて都市伝説を信じないぞ~~~orz

      • by Anonymous Coward

        なんで弱衝突耐性の話をしているところで強衝突耐性の話をしだすんだ?

  • by Anonymous Coward on 2018年08月29日 8時15分 (#3470269)

    WIRID→WIRED

  • by Anonymous Coward on 2018年08月29日 8時22分 (#3470271)

    これって日本でも事例あったりする?

    • by Anonymous Coward

      eSIMの普及が楽しみでなりません

  • by Anonymous Coward on 2018年08月29日 8時46分 (#3470289)

    最近の流行としてはパスワードは無理して定期的に変更しない [security.srad.jp]という話も
    増えていますが、電話番号は定期的に変えるべきなのでせうか?

    元から携帯は2年縛り終了時に解約して新たに契約するので自動的に2年毎に番号が
    変わっているのですが、友達に言わせると「そんなのはお前ぐらい」だそうで。

    • by Anonymous Coward

      登録等の用が済んだら書き換えとく
      012-3456-7890
      電話番号を正直に維持してんのは役所とクレジットカードくらい

    • by Anonymous Coward

      身内への連絡先と登録用の電話番号は分けてる。
      後者には無料のIP電話を使い、必要であれば電話番号を再発行している。

  • by Anonymous Coward on 2018年08月29日 9時01分 (#3470298)

    T/O
    T/O

    • by Anonymous Coward

      無断キャンセルデータベース然り

  • by Anonymous Coward on 2018年08月29日 12時23分 (#3470418)

    契約者本人を証明する手続きを厳格にするなど
    SIMスワップ防止対策をさせるのが筋。

  • by Anonymous Coward on 2018年08月29日 13時02分 (#3470441)

    電話番号を個人認証に使うのはヤメロ、とにかくヤメロ。

    • by Anonymous Coward

      某企業だと誕生日を認証に使ってたなぁ。
      だから、誕生日を他人に教えないで、と・・・

      • by Anonymous Coward

        そのうち
        名前を他人に教えないで
        顔を他人に見せないで
        ってなるのかなぁ

        • by Anonymous Coward
          源氏物語のころのお姫様状態ですね。
      • by Anonymous Coward

        LーソンのWi-Fiがそうでしたね
        だから誕生日を人に教えると規約違反になるという・・・

typodupeerror

にわかな奴ほど語りたがる -- あるハッカー

読み込み中...