Hatena::Grouphatena

はてなの日記 このページをアンテナに追加 RSSフィード

はてなスタッフのはてなのサービス全般に関する日記です。
人力検索はてなの告知については、人力検索はてなの日記にて行っています。
使い方に関するご質問、不具合報告やご要望は、お問い合わせ窓口で承ります。
使い方のコツなどを知りたい時は、人力検索はてなの「はてなの使い方」カテゴリーをご利用ください。
※コメント欄へのご質問には対応できない場合がございますのでご了承ください。
 | 

2014-02-24

不正ログイン防止のため、パスワードと登録情報のご確認をお願いします

12:15

弊社自身の調査により、はてなのサービスに対して外部から不正なログインが行われた可能性があることが判明しました。

ただし、弊社サーバーへの侵入によるアカウント情報の流出や、パスワードを機械的に推測してログインを試行するといった不審な行動は確認されておらず、他社サービスから流出または不正取得されたアカウント情報(IDとパスワードの組み合わせ)を流用された可能性が高いと考えています。

そこで、他社サービスと同一のID(メールアドレスまたはユーザー名)およびパスワードを使用しているユーザー様は、安全のため登録メールアドレスがご自身のものであるかを確認の上、早急にパスワードを変更してください。

それ以外のユーザー様も、下記にあるように登録情報等をご確認の上、より安全なパスワードと、正しく有効メールアドレスを設定いただけるようお願いいたします。

不正ログインの被害状況

現在、上記の不正ログインにより、一部のユーザー様に以下の被害が確認されています。

また、クレジットカードによるリチャージ決済を設定されている場合、上記の不正なAmazonギフト券への交換に伴って、はてなポイントがリチャージされた可能性があります。意図しないリチャージが行われている方ははてなサポートまでご連絡ください。

なお、クレジットカード情報に関しては、下4桁以外の番号および有効期限が閲覧された可能性はありません。

被害にあった可能性がある期間や規模については現在調査を進めています。また、京都府警にも連絡しており、被害届の提出などの対応を検討しています。

登録情報とポイント履歴をご確認ください

不正アクセスされたアカウントでは、上記のように登録情報が変更されたり、はてなポイントが不正に使用されたりした可能性があります。

「ユーザー設定」ページで、メールアドレス個人情報が正しく登録されているかをご確認ください。

また、「はてな ポイント支払・受取履歴」ページで、心当たりのないポイント利用、特にAmazonギフト券への交換が申請されていないかをご確認ください。

パスワードや登録情報、ポイント利用に関して問題や不明な点がある方は、お問い合わせ窓口よりはてなサポートまでご連絡ください。

はてなで実施している対策

今回の不正ログインは、見かけ上、通常のログイン操作と変わるところがなく、ログイン時に不審を判断することは困難です。その上で、登録情報やはてなポイントが不正に利用されることを防ぐため、下記のような対策を実施しています。

メールアドレス変更時の確認フローについて

はてなでは、登録メールアドレスにメールを送付することにより本人認証を行っています。また、はてなポイントAmazonギフト券に交換する際にも、登録メールアドレス宛てにAmazonギフト券を送付しています。メールアドレスが不正に変更されると、実質的にアカウント自体が第三者に乗っ取られることになります。

このため、メールアドレス変更時には、変更前のメールアドレスに対しても変更通知メールを送付するようにしました。これにより、もし不正なメールアドレス変更がリクエストされた場合にも、ユーザー様が利用中のメールアドレスに通知されるため、より早期の対応が可能となります。

Amazonギフト券交換時の確認作業について

はてなポイントAmazonギフト券に交換する手続きの際には、不正な交換を防止するため、全件を目視で確認しています。不正の疑いがある場合には、交換を停止するなどの対応を取ることもあります。

このため交換までお時間をいただいたり、確認のため個別にご連絡させていただくことがあります。ご了承ください。

不正ログイン防止のためのお願い

ユーザー設定の「メールアドレス」には、はてなからのメールを受信できるアドレスを正しく設定してください。ご登録メールアドレスが失効していたり、フィルタリング等が機能していたりすると、不正なログインや変更に対応できないことがあります。

また、パスワードは、単純な文字列や短すぎるものを避け、他社サービスと異なるものを設定してください。

本件に関してお気づきの点などがあれば、ぜひお問い合わせ窓口よりお知らせいただきますようお願いいたします。

付記 - 関連する記事

同一のIDとパスワードを複数のサービスで使用する危険性については、以下の記事等を参考にしてください。

midnightseminarmidnightseminar2014/02/24 20:13前から思っていたのですが、ユーザ情報を変更したりするページへの行き方が分かりづらいです。
見つけてみれば、まぁ、「はてなトップページ」→「Myはてな」→「ユーザー設定」の順なので、1ステップ短くしてほしいとは思うものの、不自然な場所にあるとまでは言えないと思います。

しかし、普段はブログやブックマークのページから入るという人も多いと思うのですが、ブログやブクマのページから直接「Myはてな」に飛べないというのは分かりづらいと思いました。
そのとき利用しているサービスの画面から、ワンクリック(右上とか左上とか一番下あたりのリンク)でマイページに飛べることを期待する人は、多いんじゃないでしょうか。

たとえばブックマークのページにいるとして、「メアドとかパスワードを変更したい」と思い立った場合、まず右上にある「マイページ」というのをクリックしてしまうと思います。しかしこれは、自分のブックマークのページに飛ぶだけです・・・。

次に、右上の四角いプルダウンのメニューがあるので開いてみると、「My はてな」というカテゴリがありますので、このへんに何かあると期待するでしょう。しかしここから飛べるのはプロフィールページだけですよね。「My はてな」と書いてあってプロフィールへのリンクがあるのだから、とりあえずプロフィールページに飛んでみれば見つかるのかもと期待して飛んでみるのですが、「さて、設定変更はどこかな?」と探しても時間の無駄で、左上のはてなのロゴをクリックしてトップページに飛ぶのが正解・・・。
これは、はてなブログでも同じです。

さらに、はてなブログのページにいる場合だと、右上の四角いプルダウンメニュー以外では、表示されている自分のユーザ名のプルダウンを開くと「設定」というのが目に入ってくるので、このへんに何かあると期待しますが、これをクリックしてしまったりすると完全に迷宮入りです・・・。

そもそも、はてなのトップページにいくためのボタンが、右上や左上のはてなの「ロゴ」というのも、少し分かりづらいと思います。大きさが中途半端だからなのか、理由はよく分かりませんが、はてなを長年使っているのに、このロゴをクリックすべしというのに気づかなかったことが何度もあります。

べつにいろいろ文句を言いたいというわけではなく、とりあえず、会員情報のような重要な情報にはたどり着きやすくしていただけるとありがたいです。具体的には、「My はてな」へのリンクを、各サービスのページに貼り、プルダウンメニュー中の「My はてな」という案内は表記を変えていただきたいです。

orega_wakamatsuorega_wakamatsu2014/02/25 15:00midnightseminarさんの意見に全く同感です。
他社に比べ、直感的に使うことが非常に困難なサービスだと感じます。

furafura2000furafura20002014/02/26 19:04↑同感です

hate_tottohate_totto2014/02/26 20:25いや全く同感です。

tokyocooltokyocool2014/02/27 00:25楽天ほどじゃないでしょう。楽天はそれがドンキホーテのように売りの強みにつながるけれども。

tokyocooltokyocool2014/02/27 00:48いや、2年ぶりにサービス覗いたら、たしかにこれは前よりかなりサービスが混線状態。

sienta124sienta1242014/02/27 16:57midnightseminarさんの意見に賛同しました。
サービス増えているのもありますが、直感的に触れれたらいいなと思いました。

トラックバック - http://hatena.g.hatena.ne.jp/hatena/20140224
 |