[biz] docomoスマホメルアド変更で他人のアドレスが変更されるバグ

ドコモのスマホ用サービスSPモードのメールアドレス変更機能を使うと他人のメールアドレスが変更対象になる不具合が発生、数時間に渡って継続した挙句、数百件ものアドレスが勝手に変更されてしまったんだとか。なんでそんなことになるんですか、と言いたくなる信じ難いバグです。

しかし個人的には、バグそのものよりも、一応パスワードが一致しなければ編集は不可であるのにも関わらず数百も実際に変更されるケースが発生したという事実の方が驚きです。４桁数字のパスワードがランダムとすれば、母集団であるところの当該期間中のメルアド変更者数は実変更件数の10000倍になるから、数百万人も変更が行おうとした事になるわけで。当該状態の継続期間は25日のＡＭ１：４１～ＡＭ９：１４だからおよそ７時間半、大半が深夜にかかる事を考慮すれば、実質朝の数時間でそんなに変更者があるものなんでしょうか、と。

それは俄に信じ難い話です。であればおそらく仮定が間違っているだろうわけで、すなわちパスワードのランダムネスは思ったより低いって事なんでしょう。例えば生年月日なら10000倍が一気に365倍、約1/30に減るわけですから。それでも10万件レベルで、まだ多い気もしますけれど、無いこともない水準と言えそうです。

と言って、数字を理解出来た気になれたところで、一致率が非常に高い結果に変わりはないわけですけれども。統計的にはセキュリティの体を成していないものと言わざるを得ない酷いレベルで、改めて寒気がしますね。利便性やらメモ不要で覚えられるものでなければならない制約があるにせよ、少しは何とかすべきではないかと思います。しかしどうしたもんでしょう。生体認証は利便性が犠牲になる上にネット経由では事実上使えませんし。うーん。

あと、瑣末な事ですけど、下記報道記事の題名はミスリードだと思います。てっきり外部からハックされたのかと思いましたよもう。

ドコモスマホ、メアドを勝手に変えられる被害　４００件