＠Niftyのパスワードを変更する

しばらくネタが無くて~~ブログ書くのも飽きて~~更新していなかったが、ネタがあったのでたまには更新しよう。

プロバイダ、Niftyで不正ログインがあったらしい。

・不正なログインは、2013年7月14日（日）〜16日（火）にかけて行われており、少なくとも21,184IDが対象となることが判明しました。現在、該当のIPアドレスからのアクセスを遮断しております。
・該当のお客様（21,184ID）には、明日（2013年7月18日（木））以降メールにて個別にご連絡し、パスワードを再設定していただくようご案内いたします。
　現時点では、弊社からのIDとパスワードの漏えいは確認されておりません。今回の不正なログインは、何らかの手段で入手されたIDとパスワードを用いて行われたものと考えられます。
不正なログインの発生について

例によって、他（例えばYahooとかYahooとかYahooとか）で流出したIDとパスワードの組み合わせを使ってログインを試みたものである、らしい。

現時点では不正ログインがあったユーザーに対する個別の通知はない。
明日以降個別にメールで連絡がある。
ログイン履歴を参照すれば、不審なアクセスがあるかどうかが分かる。
ログイン履歴を確認したが、私は幸い不審なアクセスはなかった。
おそらく対象外だと思われる

が、うっかりしてNiftyのパスワードを2年以上変更しないままだったことに気づいた。
明日以降は、パスワード変更する人が一気に増えてどうせサーバーが混むと思われるので、いい機会だったので今日のうちにパスワードを変更しておこうと思う。

Niftyのサイトから、「会員サポート」＞「お客様情報/お手続き」＞「パスワードの変更」と進む。

「ログインパスワード」「メールパスワード」を変更できるが、まずはログインパスワードだけ変更する。

使用できる記号に制限があるので、パスワード生成アプリなどを使っている場合は注意する必要がある。
24文字のパスワードを生成して入力して「変更」を押す。
これで変更は完了するが、再度新しいパスワードでログインしてパスワードが正しく変更されているか確かめる。

次いで、接続設定を変更しなくてはならない。
当家では「@nifty光ライフ with フレッツ」で、壁─ONU─ひかりルータ─無線LAN ルーター（APモード）という構成。ひかりルーターに設定してあるパスワードを変更する必要がある。
フレッツ接続ツールを使っている人はここにやり方が書いてある。
私はそういう難しいツールは使ったことがないので、ブラウザで光ルーターにアクセスする。

ブラウザにひかりルータ、RT-S300SEのアドレス（私の場合は192.168.1.1）を打つ。

「基本設定」＞「接続先設定」で「メインセッション」または「Nifty」をクリック。

「パスワード」に、さきほど設定した新しいパスワードを入力して一番下の「設定」をクリック。

ちなみに、ログインパスワードを変更しても、即座にネットに接続できなくなるわけではない。パスワード変更時間の後、一定時間が経過すると接続できなくなるものと思われる（DHCPにWAN側のIPアドレスをもらいに行くタイミング、かな？）。

ログインパスワードが無事変更できたので、次にメールパスワードを変更する。

パスワード漏洩流出の原因となっているのが「パスワードを忘れた場合の通知サービス」。
パスワードを忘れた人に対し、本人しか知らないはずの情報を入力させて、本人と確認できたらパスワードを教えます、というサービスだが、悪用すれば第三者が簡単に他人のパスワードを盗むことができる。
Niftyにも同様の通知サービスがあって、NiftyID、氏名、郵便番号、電話番号、生年月日の五つの情報を入力するとメールでログインパスワードを通知してくれる。
パスワードの通知はNiftyのメール宛てになされるので、メールパスワードが秘匿されていればログインパスワードが悪用している第三者に対して漏洩することはないが、メールパスワードが抜かれている状態では、ログインパスワードも抜かれてしまう可能性がかなり高い。上記の五つの情報、すべて公開情報と言ってしまっても良い。NiftyIDはメールアドレスに使っている場合が多いし、氏名などは検索すれば出てきてしまし、生年月日等もSNSなどで本人が公開していたりするし、何よりメールパスワードが抜かれている場合は、メールボックスを検索すれば該当するものがすぐ見つかってしまうだろう。
したがって、仮にメールパスワードが抜かれているとすれば、ログインパスワードだけを変更してもあまり意味はない。