Category: Network

PontaWebに “第三者” がログイン

表記のようなメールがPontaWebの認証を司るリクルートから来て,ログイン履歴を調べてみました.

ログが残っている2024年10月から執拗ではなく,数日に一度 “本人確認” という認証方法でPontaWebにアクセスがかけられています.

アクセス元はいろいろなIPアドレスからですが,hostコマンドで確認するとどれもamazonawsです.

さて,これはPontaポイントを確認するロボットだろうと推定しました.

そういうロボットに心当たりはあります.MoneyTreeです1この記事を書いた時点で,PontaはMoneyTreeから削除済みと思っていましたが,後日確認したところ,MoneyTreeに登録したままでした.全く顧みないので削除済みと勘違いしました(2025/03/22記).

Pontaポイントに関するログインアカウントはリクルートに一本化されたのですが,今回の一件で脆弱性が露見しました.

リクルート本体は2段階認証をしていて,まず不正ログインは有り得ません.一方PontaWebに関しては,リクルート本体と同じID/パスワードを使っての認証が普通で,その場合前述のログイン履歴には「ログイン」と示されます.2段階認証の設定はできません.

本体が2段階認証なのに,子どものサイトが1段階の認証だけというのは何とも心もとないです.

それに加えて,PontaWebには「本人確認」という認証方式があります.これは,ななんと,「パスワードのみ入力する認証方式」だそうです.パスワードには他人との一意性はもとめられていないから違うかも知れませんが,リクルートのサイトにはそのような説明があります.

本体が2段階認証でもこれではどうしようもないなあと思った次第です.

ちなみに,前述のメールの勧めに従ってリクルートのサイトのパスワードを変更したところ,以後PontaWebでの「本人確認」によるログインの成功は記録されていません.

その後もネットが速くてすみません

今日,インターネット接続って電気ガス水道と同じで普通に使えてあたりまえ,空気と同じ,という感じですね.

しかし,インターネット接続に関しては2019〜2022年の3年間,10Mbpsを割り込むようなことがたまにではなくそれこそ1週間に何日も起こるような劣悪なインターネットプロバイダーを利用せざるを得ない状況に耐え続けました.

家族はそのスピードの不満だけ(とはいえ在宅勤務をする家族には深刻な問題でしたが)ですが,筆者にとってはIPv6がまともに使えないという2重苦でした.

一昨年ようやく劣悪プロバイダーと無料で解約できる期間になりさっそく解約してかつて利用したうちでスピードが速くIPv6も使えるNuroと契約しました.

それから2年が経ち今後はキャッシュバックもないのでかつてのマインドでしたらキャッシュバック目当てにプロバイダーを変えるとことでしたが,少なくとも今回は変えないことにします.

日曜日の朝のたぶんネット的には閑散期だと思いますが,Fast.comではこんなスピードが出ます.

NuroのONU+お仕着せルーター→1Gbps 8ポート HUB経由で,Mac mini late 2012 (OCLP + SequoiaのSafari)で測定しました.家庭内LANは1Gbpsなので,この計測結果はかなり盛ってますね.

ちなみに,iPhone 14のSafariで測定したのがこちらです.Deco X60のWi-Fi 6も十分活かされていると思います.

これもかなり盛られた結果ではあると思います.

インターネットアクセスのスピードが速いことのありがたみをかみしめつつ毎日暮らしていきたいと思います.

ThunderbirdがDovecotに繋がらなくなった件 (解決済み)

自前のサーバーで動くLet’s Encryptの証明書をupdateしてからどうもクライアントであるThunderbirdの挙動がおかしくなりました.

TLSのimap (=imaps)でつないでいます.ログインはできて新着メールは読めるのだけれど読んだメールをサブディレクトリーに移そうとしてもうまく操作ができません.

Appleの iOSやmacOSの “Mail” では正常に動作します.

サーバーのログを見ると,

というのがあり,たぶんこれだと思います.ネット検索した所,どうもDovecotのSSL/TLS設定が良くなかったようです.これまで,/etc/dovecot/conf.d/10-ssl.conf1Distroによっては番号が違う場合があります.のssl_certの設定は,

ssl_cert = </etc/letsencrypt/live/FQDN/cert.pem

としていました.これでこれまでAppleの “Mail” (iOS, macOS)もThunderbirdもつながっていましたが,

ssl_cert = </etc/letsencrypt/live/FQDN/fullchain.pem

としないといけないようです😅

これで,サーバーのDovecotのログにエラーは出ず,Thunderbirdも正常にサブフォルダーをアクセスできるようになったようではあります.

しかし,違うマシンのThunderbirdでアクセスすると見えないサブフォルダーが存在するなど今いち動作の信頼に欠けます.

Thunderbolt 2のDock復活

アメリカにあるCalDigit社のThunderbolt 2 (TB2)のDockを昔使っていて,現在のメインWorkstation (WS)であるMac mini late 2018を購入した2019年はじめにMac miniにThunderbolt 2のポートがないので,引退させ押入れに入れました.

死蔵していたCalDigitのDoc

それからしばらくして,TB2のHDD/SSDケースをどうしたものかと考えていたら,アマチュア無線関係のかたから,Apple純正のTB3 -> TB2アダプターを勧められ,少し高いけど,TB2のHDD/SSDケースが2つあったこともあり,購入してバックアップ用に活用しました.

Apple純正TB3 -> TB2変換アダプター

それから5年経ち別のアマチュア無線関係のかたが新しいMac miniやMacbook Airを購入され,ドックを検討しているとSNSに書かれていたので,自分のDockの写真を撮ってこんな古いドックがありますとSNSでリプライしました.

その時ふと,TB3->2アダプターでこの死蔵しているドックを使って見ようと思いました.

これまでなぜか考えつかなかったんですが,試してみたらなかなかいい具合です.

CalDigitの遊休中のDocを再活用

TB2の差込口が2つあるので,この状態でTB2のHDD/SSDケースにケーブル一本でつなげますから不利益はないです1TB2のケーブルが一本余計に要りますが,それも “死蔵” してましたので問題なし.

副次的なメリットとして,このDockのHDMIポートからサブモニターであるEIZO Flexscan L461につなぐ2HDMI↔DVI変換ケーブルを使用.と全く問題なく使えます.実は,Mac mini本体のHDMIポートに直接繋ぐと起動時には画面が乱れて,ログインしてデスクトップが表示された時点でケーブルの抜き差しをすると正常になります.そんなことを毎日,5年間も続けてきたのですが,あっさり解消しました.

Etherポートも試してみました.本体と遜色ない速度が出ます.ただ,DockのEtherポートを使うとネットへのトラフィックがTB3->TB2のデータ帯域を使い,メリットは特にないので常時使用することはやめときました.