53631AccNintendo
 ニンテンドーアカウントの不正アクセス問題については不審な点も多いですし、パスワードの管理が杜撰な可能性は高そうですが…
スポンサーリンク


追記: 先に書いておきますが、OKボタンが点灯する仕様自体はパスワードが合っているかどうかではなく8文字入力されているかどうかで判断されているようだ、との話がコメントで出ています。
 このため、タイトルと最初の部分を訂正しています。

[Motherboard: 'Weird' Nintendo Switch Issue Makes it Easier to Guess Passwords]

 こちらの記事によるとNintendo Switch本体からニンテンドーeショップにログインする際、「OK」ボックスが最初はグレーになっているのですが、パスワードの最初の8文字を入力すると「OK」ボックスが点灯し、攻撃者に対しパスワードを類推する情報を与えているのではないかとしています。
53631AccNintendo1
 また、任天堂がパスワードの手がかりを攻撃者に提供してしまう可能性に加え、入力しているだけでパスワードが合っているかどうかが表示される事はそもそもパスワードがきちんと保護されているかどうかにも疑問が呈される物だ、とも。

 通常パスワードはハッシュ化されて保存されており、基本的に一方通行の物となっているために流出時に一定の安全性を担保する物となるが、最初の数文字だけで合致しているかどうか判断できるという事はパスワードをハッシュ化していないのではないか、と。

 これについてはパスワードによるセキュリティの専門家だというPer Thorsheim氏も奇妙な挙動であると話しており、狙いとしてはUXの向上のためだったのかもしれませんがセキュリティが弱化する要素となる可能性があると話していたとの事。

追記: …という記事だったのですが、実際には適当に入れてもOKボタンの色が変わる(例外は同じ文字を3文字以上連続で入れるなど、最初から無効なパスワードだと判別できる場合らしい)ようで、これをもってパスワードが平文で照合されている、或いはローカルで情報を取得できる状態になっていると断言できる物では無さそうです。

 ただ、任天堂が今回の不正アクセス事案について公表したときにも言われていた事ですが、過去のリスト型攻撃はというと…

[任天堂: 「クラブニンテンドー」サイトへの不正ログイン発生のご報告とパスワード変更のお願い]

2013年7月5日
(2014年9月1日更新)

1. 経緯および被害状況

7月2日夜、大量のアクセスエラーが発生しているのを確認し調査を開始しました。
不正ログインが確認された期間:6月9日から7月4日
不正ログイン件数:23,926件(試行回数:15,457,485回)
参照された可能性のあるお客様情報:氏名、住所、電話番号、メールアドレス
※個人情報等の改ざん、クラブニンテンドーポイントの不正使用は確認されておりません。
 ※クラブニンテンドーではクレジットカード情報はお預かりしておりません。
本日7月5日15時、不正ログインが行われたID・パスワードを利用したログインができない措置をし、該当するお客様にメールを送信しました。

 この時も“他社サービスから流出したと思われる情報”が使われたとされているのですが、不正ログインを試行した回数に対して不正ログインに成功した件数は0.15%程度。
 1500万件以上も試行されるまでブロックできない時点で割とガバガバ感は漂いますが。

 対して、今回公表された件では、

[任天堂: 「ニンテンドーネットワークID」に対する不正ログイン発生のご報告と「ニンテンドーアカウント」を安全にご利用いただくためのお願い]

なお、本件の影響に関する詳細は以下の通りです。

■不正ログインを受けた可能性のあるNNID

●約16万アカウント

■第三者に閲覧された可能性のある情報

●NNIDに登録されている以下の情報
ニックネーム、生年月日、国/地域、メールアドレス

NNIDに不正ログインされた影響により、NNIDが連携されているニンテンドーアカウント(二段階認証を設定しているものを除く)の以下の情報についても、第三者に閲覧された可能性があります。

●ニンテンドーアカウントに登録している以下の情報
おなまえ、生年月日、性別、国/地域、メールアドレス

※閲覧された可能性のある情報の中に、クレジットカード番号はございません。

 クレカの番号はないと書いていますが、クレカ情報は預かっているので不正使用の被害が出ているわけですね。

 ともあれ、こちらの件ではログイン試行回数などが書かれていない事からNNIDとパスワードそのものが流出していた可能性が極めて高い…任天堂の説明でも、NNID経由でのログインを停止したと説明しているにも関わらず、

・NNIDとニンテンドーアカウントで同一のパスワードを使用されますと、マイニンテンドーストアやニンテンドーeショップにて、残高および登録済みのクレジットカード・PayPalを不正に利用されてしまう恐れがございます。NNIDとニンテンドーアカウントには異なるパスワードを設定いただきますようお願いいたします。

 と書いている事から、流出元は“弊社サービス以外から不正に入手した”とされているものの、NNIDのログインIDとパスワードがそのまんま流出していた可能性が高いんですよね。
 とすればどこから漏れたのか、大本は任天堂以外にあり得ないでしょうし、恐らくパスワードを平文で保存していた可能性も高いという事になりそうです。

 ただ、それがニンテンドーアカウントでも同じかどうかはまだ分からないところですが…
 今回の件でセキュリティが強化された方が良い事は間違いないですね。

サイバーパンク2077
・PS4 9/17 サイバーパンク2077
(Amazon)