Rutakeの技術メモ

入れたはずのログインIDパスワードで何度試しても以下のエラーが出る。

接続が切れました。
恐れ入りますが、再度ログインしてからご利用ください。
[S0001]

ブラウザをFirefoxからIEに変えてやってみたら、ログインできたということはCookieの処理にバグがあると思われる。いずれにしてもお客様サポートページでログインできないバグが残っているということはどんだけテストしてないんだって話だな。

最近メールアドレスをIDとするサイトを中心にアカウントのリストを元に自動ログインを繰り返す攻撃が増えている。

これらの攻撃の共通点として、どこかしらから漏れたアカウントのリスト（さまざまなところで流出が相次いでいるのでメールアドレスはどこからでも漏れる可能性があると考えるべき）を元に考えられるパスワードを何回か試行してアカウント乗っ取りをたくらむという自動プログラムである。

仮にログインに成功したら、次は別のメールアドレスをIDとしているサイト（いっぱいある）に、成功したIDとパスワードの組み合わせで試してみる。同じIDとパスワードを使っていたら、その時点でジ・エンド。おそらく攻撃者の間で「同じIDとパスワードの組み合わせのアカウントリスト」として出回ることだろう。

Amazonのレビュー情報を見て試してみた。

確かに極性とプラグの大きさは一致する。専用アダプタもあるのだが、USB経由で充電に統一できればかさばらなくて便利。

USTS300のACアダプターの電圧は5.4Vの1500mAであり、一方PSPは5Vで2000mAである。ちょっとこの差が充電時間などに影響してくるかもしれない。

翌朝無事充電完了！

これでACアダプターを一つ減らせる。

アカウントリスト攻撃とは他のサイトから流出したID（主にメールアドレス）戸パスワードの組み合わせでひたすら自動ログインをする攻撃である。

もちろんサイト毎にパスワードを変更していれば問題ないのだが、忘れるのが面倒だからと全部を同じ組み合わせにしている人が多いのが問題。

IDだけが流出した場合、攻撃者はひたすらIDと簡単なパスワードの組み合わせで攻撃し潜入に成功したら、今度は他のサイトで同じIDとパスワードの組み合わせで攻撃をする。

この手の攻撃の対策としては面倒でもサイト毎にパスワードを変更すること。
お金が絡むサイトの場合は特に長いパスワードにすること！