ってことでイープラスに質問をしていた私ですが
ちょっと釈然としない回答内容だったので結果の集約をここに書きます。
こういう事(言った-言わない)があるから
私、電話のやりとりって信じられないのよね。。。
質問回答要旨(一部)
(1)何人に送ったか?
→調査と対策の都合から答えられない
(2)不正アクセスを受けた人以外、パスワードの簡単な人(不正アクセスに受けそうな人)にも変更メールを送ったと聞いたが両者のメールに区別はあるか?
→そんな説明をした認識はない。メールを送ったのは不正アクセスを受けた可能性のある人だけ。
(そう聞いた人、【言った認識はない。もし絶対そう聞いているなら誤案内】だそうです!)
(3)変更前の元パスワードが知りたい
→他の人に教えてしまう可能性があるからNG
(えっ?それじゃあ、注意しようがないよ)
(4)自分は不正アクセスを受けた当事者なのか知りたいが可能か?
→ここ数か月、自身でイープラスにログインした覚えのない人は登録メールアドレスで不正アクセスを受けた人。この回答をもって自身で判断して欲しい。
(えっ?じゃあ逆に言えば、自身でパスワードを忘れて確認した人も対象ってこと?)
(5)どうしてホームページトップでインフォメーションしないのか?
→4月5日17時にトップページにて「不正利用の被害に遭わないためのお願い 」を更新済
インフォメーションが遅れた理由は不正アクセス者に有利な情報を流さないよう文面を精査していたため。
(トップページには「4月3日深夜に、特定のIPアドレスよりメールアドレスとパスワードの組み合わせを用いてログインを試みた形跡が多数発見された」ってある。でも変更メールを受け取った人には「ここ数か月、メアドからイープラスにログインしようとして失敗したもの」→4/3深夜にアタックされた人以外にも数か月に遡って「可能性のある人」に送ってる模様)
(6)「簡易」とされたパスワードの「簡易」の判断はどこまでか?
→今回のアタックはあくまで他社サービスと共通のパスワードにしていることが原因。パスワードの問題ではないため、簡易-推奨の判断はしていない。
(えっ?でも数か月前までに自身でイープラスにログインした人も含まれている訳でしょ?)
私はと言えばラフォルジュルネで
実は自身のパスワード確認のためログインを試みた気もする。
「この数か月で」って漠然な括りも不安感を持つし、
問題は4/3のアタック対象者かどうかが重要だと。
何百ってサイトに登録していて
ある程度パスワードを分けて管理しているのに
全部が全部覚えてろって話も無理なんだから
せめて4/3のアタック対象者と、それ以外の「可能性がある人」とは
メールを分けるべきかと思う。
勝手にパスを変更しておいて「変更前パスワードを教えられない」って
それじゃ手の打ちようもない。
ここ数か月自身でイープラスにログインした覚えのない…なんて
そんなのとアタックされたのを一緒にされても困る。
しかもイープラス、いっぽうで今もって未だ4桁パスワード可能にしているし。。
なんか、全く腑に落ちない。
自衛のしようがないような「???」だらけの内容で、仮に他から漏れた
情報なら、どうして他社他サイトは同様の問題が発生しておらず
「イープラスだけ」なんだろう?って思いもある。
いろんな意味で「?????」なんだけど。
ってことで再度質問てみました。(以下私の送付文面)************
早々のご連絡、非常に助かります。
また、4/3に大量数のアタックがあった事実だけはしかと受け止めました。
こちらの早期対応にも心より感謝申し上げます。
ただ、対応に際し文面から察するに
4/3にメール+パスワードで大量アタックがあった以外の人にも
数か月にわたって遡り調査され、誤ったパスワードでログインできない人へも
パスワード無効処置を取った様に受け取りました。
こちらの貴社措置に対し、
<A>4/3に大量数のアタックがあった人
と
<B>数か月前までに不正アクセス→誤ったパスワードでメールアドレスから情報を得ようとした人(本人確認含む)
では、メールを受け取った側の人間からすれば危機感・対策方法も異なりますので
できれば
(1)自分が4/3にアタックを受けた人なのか、それ以外の遡り期間に対し「受けた可能性のある人」なのか。
(2)数か月内にうろ覚えのパスワードで何回かアクセスを試みたかもしれないため具体的に「数か月以内」というのが、いつまで遡って「可能性」としているのか具体的な遡り期間。(例えば12年1月1日からなのか11年10月1日からなのか)
以上2点のを知りたいのですが、それも教えていただけないのでしょうか?
他社からのハッキング→貴社へのアタックに関しては貴社の責任なきことと思います。
ただでさえご迷惑をおかけして申し訳なく、
またそれにも関わらずこの様に迅速な対応を賜り、感謝しております。
その上で、甘えた質問を致し、ご面倒で恐縮ですが、上記内容に関し時間を置かれても構いませんのでご回答願えれば幸いです。
以上、よろしくお願いいたします。
*******************************************************
ここで強調したいのは、イー・アクセスの言う通り、
4/3の時点で「他社から漏れたメアドとパスを使って不正アクセスがあった」
その事実だけはきっと間違ってないと思う。
一番憂慮すべきは、このことで可能性としては
2011年12月27日 オンラインゲーム「真・女神転生IMAGINE」
2012年2月7日 ベビカム 個人情報流出
2012年3月23日 vector 個人情報流出の可能性
2012年4月2日(3/28頃?)ギフトサービス・大進
あたり?から漏れた?
ちなみに近年のパスワード流出問題
http://www.security-next.com/category/cat191/cat25
が考えられるけど私が唯一載せてた可能性があるのはvectorだけ。
う~ん。。本当に謎なんだけど、
「漏れた」とされる皆さんどう思いますか?
<これまでの経緯>
まとめサイト立ち上げて頂きました。
【重要】e+より『ID不正利用の疑いによるパスワード変更のご連絡』
これまでの私の関連情報