6百万のユーザを危険に曝すVirgin Mobileの脆弱性
6百万のユーザを危険に曝すVirgin Mobileの脆弱性
※ この内容は、Mac 専用セキュリティソフトの老舗である フランス Intego 社のブログから転載されたものです。
一部の企業がウェブセキュリティの「常識」だと考えていることが、実際には 「非常識」ということがしばしばあります。
今回は、ウェブサイトの信じられないくらい貧弱な認証方式が指摘されている、Virgin Mobile USの例を見てみましょう。
問題は、Virgin Mobile USのウェブサイトでは、ユーザが使っている携帯電話番号をユーザ名として、6桁の識別番号をパスワードとして入力しなければなら ないということです。
しかもパスワードの入力時には、何度間違えても構いません。
パスワードに6桁の数字を使うということは、百万通りの組み合わせしか存在しないことを意味します。
実際には、数字の繰り返しや連番が禁止されていますから、可能な組み合わせはもっと少ないでしょう。
多分、このやり方でパスワードが破られにくくなると思ったのでしょうが、組み合わせの数が少なく、 何度でも間違えてよいのですから時間さえかければ誰でも総当たり方式でパス ワードを破ることが可能です。
さらにVirgin Mobile USのユーザ数は6百万人ですから、6人に1人は同じパスワードを使っていることになります。
Virgin Mobileは、Kevin Burkeという開発者から約一ヶ月前にこの問題を報告されたのに、まだ修正しようとしていません。
さらに不安を煽るのがBurkeとの電子メールのやり取りで、Virginの担当者達がBurkeに常に電話番号とパスワードを記載するように要求したことです。
アカウントのログイン情報を単なる文字列で何度もやり取りすれば、情報が盗まれる可能性が高まるだけです。
Virgin Mobileのウェブサイトのこの脆弱性は、次の操作を可能とします:
- 電話あるいはテキストメッセージの相手を知る
- アカウントに登録されている携帯端末を変更する
- 記録されているクレジットカードを使い、本人になりすまして携帯端末を購 入する
- 住所、電子メールアドレス、識別番号を変更する
問題が修正されるまではクレジットカード情報 をウェブサイトから削除することをお勧めします。
Burkeは、この問題を解決するいくつかの方法をVirgin Mobileに提示しました。
その内容は、本当に素晴らしいものです。
この問題によりHonanのハッキング のような事件が繰り返される可能もありますから、できるだけ早く対策が講じられることを願うばかりです。
Lysa Myers on September 18, 2012
出典:Intego Security Blog
Twitter:@IntegoSecurity
Mountain Lion 対応!!
ウイルスバリア X6
(ウイルス対策、不正アクセス対策、情報漏洩対策、iPhoneやiPad・iPodTouchのスキャンにも対応)
・ウイルスバリア X6 の特設ページを見る
・製品詳細を見る
インターネットセキュリティバリア
(ウイルスバリア X6 に加え、迷惑メール対策やバックアップツールなどが加わった総合セキュリティソフト)
・製品詳細を見る
Intego製品のアップデート情報などを弊社のツイッターアカウントでも公開しています。
Twitter:@act2com
Twitter:@act2support