6月 26

佐川急便が行った迷惑メールに関する注意喚起について

先日、佐川急便から下記のようなメールが来ました。
sagawaspam

WEBトータルサポート会員様へ

いつも佐川急便をご利用いただきましてありがとうございます。

最近、佐川急便を装った迷惑メールが届くというお問い合わせが増えております。

このような迷惑メールに記載されているアドレスにアクセスされますと、
意図しないサイトへアクセスしてしまう場合がありますのでご注意ください。

不審なメールを受信された場合は本文中のURLへのアクセスや返信をなさらないようご注意をいただき、
ご不明な点がございましたら担当営業所または「ご意見・お問い合わせ」までお問い合わせください。

■担当営業所の検索はこちら
http://www.sagawa-exp.co.jp/send/branch_search/tanto/

■ご意見・お問い合わせはこちら
https://www2.sagawa-exp.co.jp/contact/communication/

ご注意

本メールアドレスは配信専用となっております。
本メールへの返信は受付できませんのでご了承ください。

————————————————————
佐川急便株式会社
http://www.sagawa-exp.co.jp/
————————————————————

折角なのにもったいないと思いました。

不審なメールを受信された場合は本文中のURLへのアクセスや返信をなさらないようご注意をいただき


とありますが、そのメール内でURLへのアクセスを促してしまっています。
これそのものが迷惑メールやフィッシングメールではないか?と思わせてしまいますし、このメールをベースに少し細工をした迷惑メールやフィッシングメールが送られてしまうかもしれません。(なんとなく引っかかりやすそうですよね)メールで受信したURLは基本開かないという癖をつけてもらうために、例えば、ブックマークなどから佐川急便のサイトにアクセスしてからログインを行うことを促すなどしていただければよかったなと思いました。

佐川急便のサイトでは「佐川急便を装った迷惑メールにご注意ください」というコンテンツがあり過去に報告を受けた迷惑メールやフィッシングメールを思われるメールの本文を公開してくださっています。
こういう風に可能な限り情報を公開してくださることはとても素晴らしいことだと思います。

と思っていただけに今回の注意喚起のメールが気になりましたよ。

Category: memo | 佐川急便が行った迷惑メールに関する注意喚起について はコメントを受け付けていません
6月 23

ビックカメラがログインIDをメールアドレスへ変更したことについて

先日、ビックカメラは同社の通販サイトである「ビックカメラ.com」のログインIDを会員を自由に設定できていたものからメールアドレスに統一するという変更を行いました。
00

以下の記事で取り上げられボクも求められたことについてコメントしました。
もう少し言いたいことがあったのでこのブログに書いておこうと思います。

ITpro ビックカメラ、通販のなりすまし対策で会員IDのメアドへの変更を強制

まず、今回の「ビックカメラ.com」の変更点は下記の通りとなります。

① ID設定のルールから自由なものからメールアドレスのみに変更
② 設定できるパスワードの縛りが6文字以上から8文字以上に変更
(厳密には6文字以上から12文字以下から8文字以上12文字以下に変更)
③ パスワードリセットにおいて秘密の質問を追加

③についての挙動についてチェックしましたが、パスワードリセットを行う際に必要な情報としてメールアドレス + 電話番号(会員登録時に必要)の組み合わせを入力すると事前に設定したメールアドレスにパスワードリセットのためのリンクが送られてきます。
01
そこに記載されているURLにアクセスすると質問が表示され(自身で過去に設定したものが自動で表示されています)、そこに答えを入力し、正しければ新しいパスワードを設定することができる画面へと遷移するというものです。
メールアドレスと電話番号くらいは知人であれば知ることが容易な情報であると考えられますが設定されたメールアカウントが乗っ取られていない限り新しいパスワードを設定することができません。

①と②についてですが
②に関してはパスワードの最低限の長さの強制が6文字以上から8文字以上へと長くなっていますので総当りへの耐性は強固になったと言えるかと思います。(アカウントのロックアウト機能があるかどうかは検証しておりません。)
ただ、利用できる文字種が半角英数字ですので、できれば記号を使えるようにし、12文字の文字長の上限をもう少し長いものにしてほしかったとは思います。こちらは今後に期待することにします。

しかし、①には、条件付きではありますが、この変更によって改悪となってしまうケースがあるのではないかと思っています。

それは、元々、8文字以上のパスワードで他のサイトと同一のパスワードを設定してしまっているユーザと8文字未満から8文字以上のパスワードに設定しなおしたユーザが他のサイトと同一のパスワードを設定しまうというケースです。
このケースに当てはまってしまうと、今回の変更で自由な文字列であったログインIDをメールアドレスに変更することで過去にどこかから漏洩したログインID(メールアドレスの場合が多い)、パスワードを用いた俗に言うリスト型攻撃の被害を受ける可能性が高まってしまう。ということになるかと思います。

Category: memo | ビックカメラがログインIDをメールアドレスへ変更したことについて はコメントを受け付けていません