創作応援サイト CLIP STUDIOの要望・不具合ボード
from ino-zy さん
2017/06/17 10:06:49
ログイン/会員情報
メールアドレスの変更方法について |
|
登録しているアカウントのメールアドレスを変更しようとしたところ、以下点に気づきました。 問題がないかご検討いただけますと幸いです。 ■行ったこと ・メールアドレスを変更するためにWebサイトのマイページにログイン ・「アカウント情報」ページから「メールアドレスを変更する」ボタンをクリック ・新しいメールアドレスの入力を促されたため、これを入力 ・新しいメールアドレス側に、確認コードが送付された ・確認コードをマイページ画面で入力し、処理を終了した ・古いメールアドレス側に「メールアドレス変更リクエストのお知らせ」というメールが送付されていることに気づいた ■気づいたこと ・悪意あるユーザに以下のようなオペレーションをされた場合、アカウントの持ち主が対処できないまま ログイン不能になると思います。 1)パスワードが破られ、Webサイトのマイページに不正にログインされる ……この時点で問題ですが。 2)攻撃者がそのまま「メールアドレスを変更する」処理を行い、新しいメールアドレスに送付された 確認コードを入力して手続きを完了する 3)攻撃を受けたアカウントの持ち主は「メールアドレス変更リクエストのお知らせ」を受信するが、 既にメールアドレス変更の手続きが完了していてログインできない 思い付きですが、例えば…… 古いメールアドレス側に確認コードを送付、これを入力 続けて新しいメールアドレス側にも別の確認コードを送付、さらに入力 ……といった処理を行えば、取り急ぎはこの事象は発生しないように思いました。 ---------------------------------------------------- ■Webブラウザ InternetExplorer7( ) InternetExplorer8( ) InternetExplorer9( ) InternetExplorer10( ) Internet Explorer11( ) Microsoft Edge( ○ ) Firefox( ) Google Chrome( ) Safari( ) その他( ) ■OS Windows XP( ) Windows Vista( ) Windows 7 ( ) Windows 8( ) Windows 8.1( ) Windows 10( ○ ) MacOS X 10.5( ) MacOS X 10.6( ) MacOS X 10.7( ) MacOS X 10.8( ) MacOS X 10.9( ) MacOS X 10.10( ) MacOS X 10.11( ) mac OS 10.12( ) その他( ) ---------------------------------------------------- |
賛成数:1
反対数:0
2019年11月28日に本サービスの投稿受付は終了いたしました。「CLIP STUDIO SUPPORT」をご利用ください。
登録メールアドレスの変更手続きを古いメールアドレスありきにすると、何らかの理由で古いメールアドレスにログインできなくなった時、もしくは古いメールアドレスそのものが無くなったり変更された時などには、新しい登録メールアドレスへの変更自体が不可能になってしまいます。
そうなると、セルシスからの連絡を受けとれないという事態にも発展しかねません。そういった時に、セルシスがどの程度 融通をきかせてくれるのか心配です。
また「旧アドレスが存在しない場合は、旧アドレス経由の手続きなしに新アドレスを認める」と融通を利かせた場合でも、ユーザーによってセキュリティの度合いを安易に変えた事になり問題になると思います。
CLIPには未成年者も数多く登録しているであろう事から、彼らが無料ウェブメールのアドレスを使用している可能性が考えられます。また、そうでなくても携帯やスマートフォンのアドレスの維持においては保護者が介在し、彼ら自身ではコントロールできない事も多いと思いますので、旧アドレスを絡ませた変更手続きにトラブルが発生する可能性が増すと思います。
以下に、幾つかの事例を挙げます。
-----------------------------------
・一つのメールアドレスを複数のサイトに登録しているとします。何らかの理由でそのメールアドレスを破棄、もしくは変更する事になった場合、各サイトで登録メールアドレスを新しいアドレスに登録し直すわけですが、登録しているサイトの数が多い場合、うっかり登録変更を失念するサイトが出てくる可能性があります(今回の場合はCLIP)。
そのまま元のアドレスを破棄、変更してしまうと、これはどうしようもなくなります。
ストーカーからのメールやスパムなどを避ける為に、特定の無料ウェブメールのアカウントを破棄したり、もしくはプロバイダー等から与えられたアドレスを変更したり、またはプロバイダーやキャリアそのものを変更する事により、アドレスが変わるといった事例は普通に起こりえると思います。
・なんらかの理由でウェブメールの利用規約などに抵触し、強制的にアカウントを失う事もあります。これは特に悪い事をした訳でなくても、一定期間以上ログインしなかった場合などにも起こり得る事です。
・gooメールはかつては無料でしたが、有料に変更されました。其の際、有料サービスに加入しなかったユーザーは、gooメールのアドレスを失いました。無料ウェブメールの場合、提供元の事情でメールアドレスが失われる事もあります。その際にCLIPの登録メールアドレスの変更を失念する可能性もあります。
・経済的な理由などからキャリアやプロバイダとの契約を終了させる場合、これもメールアドレスを一時的に失う事になります。これは本人の経済的事情に加え、未成年の場合は保護者の経済的事情も影響すると考えられます。
------------------------------------
以上の様に、様々な理由で旧アドレスを失う可能性があります。人間ですからミスもしますし、本人の注意不足とは言いきれない場合もあると思いますので、そういう事情に対応できないシステムはどうなのだろうかとも、考えてしまいます。
-----------------------
またご懸念の状況には、ある程度対応が可能ではないでしょうか。
>3)攻撃を受けたアカウントの持ち主は「メールアドレス変更リクエストのお知らせ」を受信するが、既にメールアドレス変更の手続きが完了していてログインできない
この場合、被害者は攻撃を比較的早い時点で認識できる事になります。そうしたらすぐに下記URLに連絡をし、アカウントが乗っ取られた事を報告します。連絡にパスワードは不要ですから、攻撃者がパスワードを変更していても問題ありません。
https://www2.celsys.co.jp/support/service/service.html
変更前の旧アドレスはセルシスの方に記録が残っているしょうし、被害者は旧メールアドレスに届いた問題の「お知らせ」のメールデータを所持しているわけですから、正規の登録者である事の証明の一つにはなると思います。
更に急ぐのであれば、
【お問い合わせ電話窓口】
受付時間:11:00~13:00/14:00~17:30
TEL:03-5304-2288
に御連絡を。
結局のところ、不正にマイページにログインされた時点で、既にそこにある情報などは攻撃者の思うがままになります。よって登録メールアドレスを変更されたとしても、その結果、被害者がログイン出来るか出来ないかは、余り状況に変化をもたらさないと思います。
攻撃者としては、メールアドレスを変更した時点で被害者が気付く事は承知しているでしょうから、ノンビリはしていないでしょうしね。
また そもそも特別な理由がない限り、わざわざメールアドレスを変更して、被害者に乗っ取りを知らせるような事はしないと考えます。通常は乗っ取りに気付かせないか、気付いた時には根こそぎやられた後だと思います。
以上の事を考え合わせると、メールアドレス変更に際して旧アドレスを絡ませるという、リスクを生じさせるやり方の意味は、非常に薄くなるのではないでしょうか。