高木浩光＠自宅の日記 - iTunesストアの不正アクセス被害で問題にすべきポイントは何か

■ iTunesストアの不正アクセス被害で問題にすべきポイントは何か iTunesストアで不正アクセス行為が横行しており、身に覚えのない高額な請求をされて困ったという話は、昨年の秋くらいからチラホラとブログ界隈に出ていた。たとえば以下の報告では、中国語の商品等が不正に購入された被害を示している。 iTunesのアカウント不正利用に関する一例, 2009年10月31日〜11月4日 お問い合わせいただいたアカウントロック解除のお願いについてご案内します。 アカウント名 xxxxxxxxxxx は、お客さまの事前承諾なしに商品が購入されたというお問い合わせをいただきました。不正使用で、アカウント名 xxxxxxxxxxx は、変更されていますので、○○様のアカウントを有効かする事はできません。 アカウントロック解除はできませんご了承下さい。 ○○様のもう一つのアカウント名 yyyyyyyyyy

[himagine_no9]

2010年02月17日付。

[MIZ]

「流出パスワードを売買する中国語の闇市場があると聞く」なるほど。

[gurutakezawa]

「泣き寝入りすれば、購入済みの財産を放棄させられる」クラウド側でアカウントに紐付けされて管理されてる類は同じ問題を抱える可能性がありそう。Kindleは大丈夫か。

[a2de]

流出パスワードを売買する中国語の闇市場があると聞く

[ardarim]

殿様商売だから相当な外圧が無いと補償しますだとか言わないんだろうな。

[damae]

ああなるほど。購入したもののアップデートが受けられなくなることの問題など

[tsupo]

「他のサイトに登録していた同じパスワードが流出した」可能性 / パスワード認証という脆弱なユーザ認証方式を、利便性と低コストを優先して採用している、サイト側の責任とみなすべきである

[Layzie]

Appleはこの問題うやむやにしようとしてたんかな。iTuneアップデートしたから良いかな？みたいな。

[kenjiro_n]

「一般消費者が泣き寝入りすれば、購入済みの財産を放棄させられるという損害が生ずる。 」

[IwamotoTakashi]

「パスワード認証という脆弱なユーザ認証方式を、利便性と低コストを優先して採用している、サイト側の責任とみなすべき」

[topiyama]

『この種の不正アクセスはいくらかの確率で発生し、利用者の責任で完全に防ぐことはできないものと考えるべきであり、サイト運営者は、それを踏まえた運営をするべきである』

[honma200]

1.ユーザのパスワードが乗っ取られて個人情報から不正購入までされてた。2.Appleのサーバ侵入されず、何らかのブルートフォース的な方法が使われた/ これだけ考えるとAppleも囲い込んでるんだから対処できるだろと思う

[hush_puppy]

ネットバンクみたいにハードウェアトークン使ったワンタイムパスワード使うしかないのかな。でもあれをサイトごとに管理するのは面倒なのでOpenIDみたいに１個に統一してくれ

[serizawawawa]

割と賛成。

[khiroaki]

高木氏のコメントは先の私の安易な批判に対するもの．陳謝/だが，これ以上の対策は構造上無理と思う．小売店が暗証番号とカード持った犯人を撃退できないのと一緒．Appleができる不正対策への現実的な提案が欲しい．

[zorio]

「結局のところ、この種の不正アクセスはいくらかの確率で発生し、利用者の責任で完全に防ぐことはできないものと考えるべきであり、サイト運営者は、それを踏まえた運営をするべきである。」

[satomi_hanten]

どっかでブルートフォースだとか言ってましたが、回数制限とか無いの？Apple相手にクレカとか考えられないわー。

[ruletheworld]

『パスワード認証という脆弱なユーザ認証方式を、利便性と低コストを優先して採用している、サイト側の責任とみなすべきである』

[dododod]

”他のサイトで流出したIDとパスワードが用いられたのではないか” 問題

[dimitrygorodok]

『この種の不正アクセスはいくらかの確率で発生し、利用者の責任で完全に防ぐことはできないものと考えるべき』

[gikazigo]

RT fumitake1969: iTunesストアの不正アクセス被害で問題にすべきポイントは何か(高木浩光＠自宅の日記)

[SiroKuro]

一般論として、パスワードを複数サイトで使いまわした責任は利用者側。（もちろん説明責任という意味では変わってくるだろうけど）。その上でサイト運営側に改善の余地があることを運営側は認めるべき。

[TakamoriTarou]

こういった被害はある程度発生してしまうものとして、救済策やシステムを設計すべきだ、と言う事でありましょうか。確かに。誰もがセキュリティ意識が高い訳じゃないし、高い人しか使えないようにすべきでもないし。

[yotaroy]

制度上はsiteがPWを発行するのだからPWが弱いならsiteの責任だと思う/購入済み分のは契約文面を知らんが消費者契約法10条で消費者の利益を一方的に害し無効とかないか/流用されない信頼をsiteに持つのが利用者の過失か疑問

[mtakeshidpostjp]

この種の事案をマスコミが扱う場合に注意しなければならないのは、「iTunesがパスワードを流出させたんじゃないのか」という素人丸出しの安直な発想で追求して、話をアサッテの方角に向けてしまわないようにすることだ

[m_yanagisawa]

ゲッ！iTunesユーザは必読だな＞高木浩光＠自宅の日記 - iTunesストアの不正アクセス被害で問題にすべきポイントは何か

[FFF]

買った曲が無音だった時は返金してもらえたけど、事情が違うか

[hirose31]

メアド変更したら受領メールが来なくなり、iTSのサポートとやりとりしてる最中に、メアドが勝手に変更(ドメインパートがme.comになった)されたが、サポートはうちは勝手に変更しない不正アクセスかも、とかいうのでそっ

[rhosoi]

ホント同じパスワード使いまわしによる被害っぽいよなぁ・・・おそロシア

[tkawa]

NHKで見た。iTunesの問題は別として、とりあえず被害額はクレジットカード会社が補償すべきだと思う。ニュースによるとカード会社も補償拒否しているようなので、その会社名を公表するのがいいと思う