表記のようなメールがPontaWebの認証を司るリクルートから来て,ログイン履歴を調べてみました.
ログが残っている2024年10月から執拗ではなく,数日に一度 “本人確認” という認証方法でPontaWebにアクセスがかけられています.
アクセス元はいろいろなIPアドレスからですが,hostコマンドで確認するとどれもamazonawsです.
さて,これはPontaポイントを確認するロボットだろうと推定しました.
そういうロボットに心当たりはあります.MoneyTreeです.
Pontaポイントに関するログインアカウントはリクルートに一本化されたのですが,今回の一件で脆弱性が露見しました.
リクルート本体は2段階認証をしていて,まず不正ログインは有り得ません.一方PontaWebに関しては,リクルート本体と同じID/パスワードを使っての認証が普通で,その場合前述のログイン履歴には「ログイン」と示されます.2段階認証の設定はできません.
本体が2段階認証なのに,子どものサイトが1段階の認証だけというのは何とも心もとないです.
それに加えて,PontaWebには「本人確認」という認証方式があります.これは,ななんと,「パスワードのみ入力する認証方式」だそうです.パスワードには他人との一意性はもとめられていないから違うかも知れませんが,リクルートのサイトにはそのような説明があります.
本体が2段階認証でもこれではどうしようもないなあと思った次第です.
ちなみに,前述のメールの勧めに従ってリクルートのサイトのパスワードを変更したところ,以後PontaWebでの「本人確認」によるログインの成功は記録されていません.
Notes:
1. この記事を書いた時点で,PontaはMoneyTreeから削除済みと思っていましたが,後日確認したところ,MoneyTreeに登録したままでした.全く顧みないので削除済みと勘違いしました(2025/03/22記).
この記事を書いた時点で,PontaはMoneyTreeから削除済みと思っていましたが,後日確認したところ,MoneyTreeに登録したままでした.全く顧みないので削除済みと勘違いしました(2025/03/22記).
なるほど、moneytreeだったのか。。
自分はamazonawsってなんだろって思ってたらこの記事に辿り着きました。
ありがとうございます。
ふぇいさん,コメントありがとうございます.
適当なことを無検証で書いてますが,多少のお役に立てたようで良かったです.