ZAPAnet総合情報局 > ZAPAブログ2.0 > 雑記 > ビックカメラ.comが勝手にパスワード変更してメールを送りつけてきた!

ビックカメラ.comが勝手にパスワード変更してメールを送りつけてきた!

このエントリーをはてなブックマークに追加
2010年11月24日 カテゴリ:雑記
11月15日、ビックカメラ.comは「ユーザーIDとパスワードの不正使用が見つかった」と発表しました。
株式会社ビックカメラでは、11月13日に不正使用が発覚し、13日24時にサイト閉鎖、14日に警察、行政機関等に届出、15日に発表という流れで不正使用を発表しました。

ビックカメラ.com会員である自分のところには何も連絡がなかったのですが、今朝11月24日8時になって、ビックリなメールが届きました。
お客様への重要なお知らせ

拝啓 いつも弊社インターネットショッピングサイト「ビックカメラドットコム」
(以下、「ドットコム」といいます)をご利用賜り心から御礼申し上げます。
 さて、ドットコムトップページの平成22年11月22日付「インターネット
ショッピングサイトの再開予定について」でもお知らせしておりますが、
ドットコムで発生しましたネットショップ会員のID・パスワードの不正利用
の事案について、お客様には多大なるご迷惑、ご心配をお掛けいたし
ましたこと、深くお詫び申し上げます。
今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全
性が確認されましたので11月24日の午後2時をもちましてサイトを再開
させていただく予定でございます。

つきましては、安全性確保の為、現在ご使用いただいているドットコムの
アクセスパスワードについては全て変更させて頂きました。
会員の皆様には大変ご迷惑をおかけいたしますが、今回ご案内させて
いただきました新しいアクセスパスワードにてご利用をお願いします。

尚、当面の間はドットコムサイトでの一時的なポイント使用・会員登録
の変更停止措置をとり、段階的に使用・変更停止措置を解除させて
いただきます。ポイント加算は従来どおり行われますのでご安心くだ
さい。また、より一層の安全面を考慮し、クレジットカード情報の事前登録
のサービスは停止させていただきます。会員の皆様にはご不自由を
お掛けしますが、何卒ご理解のほどよろしくお願い申し上げます。

パスワード:********
「パスワード:********」と書いた「*」のところには、平文でそのまま新しいパスワードが書かれていました。

つまり、ビックカメラは勝手にユーザーのパスワードを変えて、本人確認もしないままメールでパスワード(平文)を送りつけてきたことになります。


このビックカメラ.comの対策にツッコミどころは多々ありますが、一般人にとって新たに被害が出てきそうな危険なところはここです。
つきましては、安全性確保の為、現在ご使用いただいているドットコムの
アクセスパスワードについては全て変更させて頂きました。
会員の皆様には大変ご迷惑をおかけいたしますが、今回ご案内させて
いただきました新しいアクセスパスワードにてご利用をお願いします
平文で送りつけてきた新パスワードを使って、今後は、ビックカメラ.comを利用しろ、ということらしいです…。

これは危険だと思い、即パスワードを変更しに行こうかと思ったのですが、ビックカメラ.comはまだ再開していませんでした。


そもそも、全員のメールを強制的に変更したということは、ビックカメラのユーザー数百万人(詳細な人数はわかりません)のメールアドレス、パスワードが流出した可能性もあるということです。被害にあった可能性のあるユーザーが何人いるのか発表もありませんし、それについてのお詫びも一切なしです。第三者機関によるセキュリティ診断により、何か対処を施したのかどうかもわかりません。

事件後、メールが届いたのも今日が初めてで、知らない人には何を言っているのかわからないと思います。メール本文にユーザーの名前も書かれていないので、このメールを「なりすまし」によるフィッシングメールだと思っている人も多いみたいです。

そして、今後の新パスワードの運用が危ないですね…。
ビックカメラ.comユーザーは、サイト再開後すぐにでも、メールで送られてきた「新しいアクセスパスワード」を使ってログインし、また新たなパスワードを再設定した方が良いと思います。


追記:パスワード再設定できませんでした… → ビックカメラ.comのパスワードの取り扱いが最悪だった件

関連記事