サブスクリプション契約している電子メールアカウントにアクセスできなくなった米弁護士、Microsoftを訴える 63
ストーリー by headless
問題 部門より
問題 部門より
Microsoft の電子メールサービスをサブスクリプション契約している米ニュージャージー州の弁護士が 2 要素認証のトラブルでサービスを利用できなくなり、度重なるサポート要請にも関わらず問題が解決されなかったとして Microsoft を訴えているそうだ
(The Register の記事、
裁判所文書: PDF [1]、
PDF [2])。
弁護士の事務所では Office 365 に含まれていた電子メールとウェブホスティングサービスを 2010 年から利用しており、2017 年に別途サブスクリプションが必要となったのを機会にウェブホスティングは他社へ移行したが、電子メールサービスは利用し続けていたという。
問題が発生したのは今年 5 月 10 日。電子メールにアクセスしようとすると 2 要素認証が要求され、提示された自分の携帯電話番号をクリックすると認証に失敗したと表示されたそうだ。電子メールでのサポート要請ができないため、Microsoft サポートに電話するしかなかったが、保留状態で 3 時間待たされたうえ、ビジネスアカウントのサポート担当にたらい回しにされる。
ビジネスサポート担当は電話がつながりにくく、担当者が約束した折り返しの電話もかかってこなかったため、5 月 16 日にはセールス担当に電話して 365 Data Protection チームの新たなケースナンバーを取得。24 ~ 36 時間で解決すると言われたが解決せず、その後も「すぐに解決する」と繰り返すばかりで解決しない。アカウントには代替の電子メールアドレスも登録されていたが、システムが確認に使用することも、Microsoftからの連絡が届くこともなかったとのこと。
その結果、弁護士は裁判所や同僚、クライアントからの連絡を受け取ることができず、この電子メールアドレスで登録していた裁判所の電子システムの利用やローンの支払いもできなくなったそうだ。訴訟は 5 月 24 日にニューヨーク州の裁判所に提起されたが、先日連邦地裁に移送された。弁護士は Microsoft に対し、75 万ドルの損害賠償と 100 万ドルの懲罰的損害賠償などを求めている。
弁護士の事務所では Office 365 に含まれていた電子メールとウェブホスティングサービスを 2010 年から利用しており、2017 年に別途サブスクリプションが必要となったのを機会にウェブホスティングは他社へ移行したが、電子メールサービスは利用し続けていたという。
問題が発生したのは今年 5 月 10 日。電子メールにアクセスしようとすると 2 要素認証が要求され、提示された自分の携帯電話番号をクリックすると認証に失敗したと表示されたそうだ。電子メールでのサポート要請ができないため、Microsoft サポートに電話するしかなかったが、保留状態で 3 時間待たされたうえ、ビジネスアカウントのサポート担当にたらい回しにされる。
ビジネスサポート担当は電話がつながりにくく、担当者が約束した折り返しの電話もかかってこなかったため、5 月 16 日にはセールス担当に電話して 365 Data Protection チームの新たなケースナンバーを取得。24 ~ 36 時間で解決すると言われたが解決せず、その後も「すぐに解決する」と繰り返すばかりで解決しない。アカウントには代替の電子メールアドレスも登録されていたが、システムが確認に使用することも、Microsoftからの連絡が届くこともなかったとのこと。
その結果、弁護士は裁判所や同僚、クライアントからの連絡を受け取ることができず、この電子メールアドレスで登録していた裁判所の電子システムの利用やローンの支払いもできなくなったそうだ。訴訟は 5 月 24 日にニューヨーク州の裁判所に提起されたが、先日連邦地裁に移送された。弁護士は Microsoft に対し、75 万ドルの損害賠償と 100 万ドルの懲罰的損害賠償などを求めている。
Yahoo! もそう (スコア:2, 参考になる)
Yahoo! もSMSは送信料がかかることからか、認証の成否に関わらず一定時間内に4回SMS認証するとロックがかかる というろくでもない仕様。
Yahoo! ショッピングでの購入、税金の納付、高額決済などをやるとSMS認証が要求されるが、連続で(BOTとかではなく人間の普通に操作する速度で手動で)4回ぐらいやるだけで
「***-***-***への確認コードの送信、または確認コードの入力間違いが一定回数を超えましたので、時間をおいてから再度お試しください。」
となる。
しかも、SMS認証は解除できないし、TOPTにすることもできない。
Yahoo! 側の都合で強制的に要求されるSMS認証でコードを間違えてもいないのにブロックされるとか、ほんとろくでもない。
それにより支払や解約が間に合わなくなることもあるのだから、そういう場合はきちんと賠償して欲しい。
お金がからむサービスの癖に不完全な点が多すぎて無責任に思える。
なお、Yahoo!はパスワードレスログインを推しており、デフォルトでパスワードレスログインなので、上記の状態になるとログインすらできなくなり、Yahoo! アカウントと連携したサービスすべてで解約などの手続きもできなくなる。
Re: (スコア:0)
お金が絡むのにYahoo!を使うのが間違い。
Re: (スコア:0)
もっと言うと,
ちょっと使えなかっただけで多額の被害が出るような連絡手段に,電子メールを使うことが間違い。
Re: (スコア:0)
ちょっと使えなかっただけで多額の被害が出るような連絡手段に,電子メールを使うことが間違い。
じゃあ何を使えば良いの?になる。
Eメールは歴史的経緯や互換性でクソな仕様もあるけど、代替手段がないんだよね。
Re:Yahoo! もそう (スコア:1)
時代はfax
Re: (スコア:0)
民生用だとFAXはもうパナしか売ってないけどいつまで続くんだろうね
Re: (スコア:0)
そこで電話・FAXの出番ですよ!
代替手段はあるでしょ。どっちかが使いたくないって我が儘言ってるだけで。
Re: (スコア:0)
それは言い過ぎ。
先方が連絡方法としてEメールを指定しているのであれば従うほかない。
昔から無料メール等はサービス提供者に覗かれるし、スパム関係で届かないこともあって、そういう用途には使わないとされてきたものなんですけどね。
なので怪しい?メールサービスを使わないか、Eメールを強要してくるサービスを使わないか二択。
現実的には前者を選択するんじゃないかなぁ。
Re: (スコア:0)
ヤフープレミアムに入っても塩対応されるのなら、課金したら負けなんだな。。
プレミアム感全然ないから、情弱集金ツールになってる。
Re: (スコア:0)
結局払う額よりも多く貰えるかどうかだけだよ。
昔はヤフオクでプレミアム会員じゃないと一定額位以上の入札できなかったし、
去年まではYahooショッピングのポイント率増えてたわけで。
ヤフオクの時ぐらいかな払ったのは。
Re: (スコア:0)
サービスがクソだと思ったら文句垂れながら使うのもいいが止める勇気を持ったほうがいい。
Re: (スコア:0)
連続で4回もボタン押すのってどんな状況なの?
一度押したら30秒間は次のコード送信できないのに。
俺は一度も起きたことないんだが。そんなにせっかちなのか?
4件支払いしただけでアウト (スコア:0)
一定時間(厳密に検証したわけじゃないけど、数分~30分以内ぐらいの範囲)にできるSMS認証は3回までで、4件目をやったら、そこから30分間はロックされる仕様みたい
https://www.change-your-tomorrow.com/yahoo-login-sms-authentification/ [change-your-tomorrow.com]
つまり、SMS認証が必要な支払などを4件やっただけでロックされる。
ログイン自体もSMS認証ならば3件目でロックされる。
Re: (スコア:0)
Yahoo! とか情弱が使うイメージしか無いんだけど
ニュースは、まぁみるけど重要なものは一切Yahooでは、管理しないな
Re: (スコア:0)
Yahoo!JAPANは、生体認証を登録しとけば、SMS認証が必要になることなってめったにないよ。
たらいまわし (スコア:0)
サービス担当会社や部署毎に責任範囲が別れているとたらい回しになりやすいですね
Nuro光が遅いのでサポートに連絡すると
1.総合受付
2.モデム接続担当?
3.建屋内施工会社
4.光回線担当?
に次々回されて結局どこがネックなのかは不明だけど世俗速度が遅いのは確かなまま
Re: (スコア:0)
Nuro光をつかうのがわるい
Re: (スコア:0)
しかし、eo光は関西にしかない。
Re: (スコア:0)
質問の仕方が悪いのでは?
漠然とした質問だとサポート側もあらゆる可能性を考えて様々な部署に回さざるを得なくなります。
NUROだけじゃなくどこでも同じです。
Re: (スコア:0)
いいえ、MSのサポートがう○こなだけです。
延々と質問を理解するための同じ質問を何度もしてくるから回答にたどり着かない。
Re: (スコア:0)
MS365のサポートはかなり質高いけどなぁ。
障害切り分けの基本をすべてちゃんとやると即答できるものなら即答、できないものだとバックヤードへの確認が早い。
ライセンスクリアランスデスクもものすごく的確。
Cisco Webexの日本の時間内サポートやNTTとは大違い。(CiscoはハードウェアのTACや時間外サポート(英語対応)はまだいいんだけどね...)
Re: (スコア:0)
> 世俗速度が遅いのは確かなまま
神聖速度もあるのだろうか
Re: (スコア:0)
出家速度は早いんでしょう
Re: (スコア:0)
さて、まずはこの結果を伝えましたか?
- 接続速度が遅いのはどこの区間が遅いか確認しましたか?
- PingとTracerouteの結果は?
- NUROだと第1Hopは集約L3に刺さっているけど、L3インターフェースと両隣のIPアドレスにPing打ってどうだった?
- 固定IP契約している場合は受けのルーターの性能足りてる?
- 2Gbpsプランの場合、回線2のほうはどう?
- 接続図と機器型番一覧は書けてますか?またそれを基に接続関係を窓口に伝えている?
- 接続機器すべて電源OFF/ONして状況が継続するか?
- LAN内の速度は正常にワイヤレート出ている?接続ポートでばらつきでない?
- ONUもOFFした後、15分後に再起動して状況は継続する?
最低限ここまでやると、めんどくさいおじさん認定は間違いなしだけど相手もちょっと対応が変わるのでやってみよう。
Re: (スコア:0)
似たような情報投げたことあるけど、少なくともNUROの法人対応はクソなので
GPT未満のAIかと思うような回答返ってきたよ。
Re: (スコア:0)
NURO法人契約の場合、bit-drive通すとグループ内で逃げられなくなるみたいだから良いかもしれない。
でも今後は増えそう (スコア:0)
認証が複雑になったおかげか、こういうトラブルが増えてきそう
SMS認証等増えてるけど
数年前に登録したやつで昔の電話番号で契約してるやつがこの前あったけど
数年間使ってないから別に使えなくても問題ないかと思ってたが
そもそも最初はSMS認証などなかったのに途中で追加されたものだったからか忘れてたw
やばいと思ったら当時サブで使ってた番号が登録されてて、そっちは残ってて助かったが
他にもほとんど放置してるアカウントあるし、今後面倒なのが増えそう
Re: (スコア:0)
SMS認証、携帯キャリアが単一障害点になるから、仕事には使いたくないんだよなぁ。
複数の番号が使えるサービスなんて皆無だから、冗長化ができない。
認証アプリに対応してれば良いけど、してないところも多いし。
Re: (スコア:0)
メール認証も似たようなものですね。
仕事だけでなくプライベートでも使いたくない。
ほんと素直にOTPに対応してくれればいいのに。
# JR西日本、お前のことだぞ!!あんなCM作るならそっちに金かけろって。
Re: (スコア:0)
メールはSMSに比べて送信コストが桁違いに低いから、複数メアドで認証できるサービスもそこそこある。
あとまあ、メールサービスにもよるけど、キャリアの事故よりはダウンタイムは短いことが多いかな。
数分間なんか繋がらない、とかはあるけど。
Re: (スコア:0)
要素が増えるほど全体の信頼性は低下し、利便性も落ち、紐付けられる個人情報は増え、運営側が漏らした時のダメージも大きくなる。
多要素認証が本当に割りに合っているのか常々疑問です。
保留状態で 3 時間待たされ (スコア:0)
ナビダイヤルだと切れそう。
日本のサポートはどうなんだろう。
Re: (スコア:0)
ナビダイヤルなら、違う窓口にわざとかけて、自分の電話環境だとナビダイヤルにかからないということにしてナビダイヤルに紐づいている裏番教えてもらうといいよ。
二段階認証 (スコア:0)
二段階認証の電話番号を間違えて登録してい奴がいて、
ここ数日で10回以上セキュリティコードが送られてきて、迷惑している。
ちゃんと自分の電話番号を確認して登録して欲しいものだ。
Re: (スコア:0)
それ、間違えて登録した人はセキュリティコードが手元に届かないわけですが、幾らなんでも数回目でなにかおかしいと気づくんじゃないかと思うんだけど、どういう状況なんだろ?
Re: (スコア:0)
何も悪いことしてないのに、壊れた
Re: (スコア:0)
ひとつ思いつくのが、二段階認証で送られてきたセキュリティコードを入力しないと、電話番号を変更するための画面にたどり着けない状況かと。
その場合、ユーザー登録の段階で本人確認のためセキュリティコードを携帯に送る必要があるはずなんだけど、どうやってユーザー登録したのだろうか?という疑問が生じる。
ほんと謎だ。
後から勝手に二要素認証有効にされたことある (スコア:1)
電話番号じゃなくてメールアドレスだけど、ダミーのメールアドレスを登録してたら、「セキュリティのためにメールで二要素認証有効にしたわ。有効にする前に事前に何度もお知らせメールも送ったからOKだろ?ほなよろしく」ってやらかしたサービスとかはあったよ。
npmjs って言うんですけどね。
どうしようもないので、サポートと何度もやり取りして有効なサブのメールアドレスに変えてもらったわ。
# だってメールアドレスは作者情報としてWebで一般公開しますって書いてあるんだもの。そりゃダミーにするわ。
Re: (スコア:0)
この記事を読んで、Microsoftアカウントに電話番号登録しようと思い立ったが、SMSが届かないんだ。
なにかおかしいとは気づくが、俺は電話番号を間違ったのか?
それともMicrosoftがおかしいのか、スマホがなんかブロックしているのか、日本にはMicrosoftのSMSが届かないのか、謎である。
Re: (スコア:0)
MNPをしていると海外からのSMSが届かない場合もあるから、それにひっかかっているのかも。
Re: (スコア:0)
MNPしてるから、それかも。
海外SMSは拒否してないし。
Re: (スコア:0)
そのユーザーがいる国の電話番号から送ってくるよう番号切り替えてくれるほどコストかけてられないだろうな。
Re: (スコア:0)
それ、わざと間違えて、あなたの電話番号をブラックリスト入りさせようとしているのかも。
コミュニティの投稿読むと「〜(前略)〜その他人自身のアカウントのロックがかかってその人の番号にSMSを送信したい時に、過去のMicrosoftでの記憶情報からその人の電話番号もブロックされてしまう可能性がある [microsoft.com]」という回答をMS社サポートから伝えられた人が居るらしい。
Re: (スコア:0)
そうだとして、何か対策しようある?
Re:二段階認証 (スコア:1)
ユーザー側だけでは中々難しい。
SIMスワップ詐欺/電話回線業者すら信用できないケースと類似するので、対策も、それに類似するとは思う。
公式アプリ経由の認証トークンとかの、SMS以外に2段階認証手段を選べるなら使う、一旦、2段階認証をやめられるならやめてしまう、などだろうか。先日、りそなが今更秘密の質問を導入する云々の話題がスラドにも現れた気がするが、ESETは米携帯会社がSIMスワップ対策として選択肢に加えている、としている。これは米ベライゾン社だけになるが、自社回線や現端末での電話番号の利用をNGと判断する、Number Lockというサービスを提供開始した。…これならトラブルに巻き込まれた時に、少なくとも「自分は正しい番号を使っている」ことを主張する際に回線業者を味方に付ける事ができる。
後述のBleeping Computerの記事にはFBIの電話が掲載されているが、日本でも、怪しい事象が起きたら、日頃から近くの警察署に相談しておくのも手だ。被害が無ければ、相談を聞くまでに留まるけども、いざ何かあって被害が生じたときに「相談していた」という事実は、迅速な解決に向けての大きな味方になる。
参考:
https://ascii.jp/elem/000/001/850/1850476/ [ascii.jp]
https://eset-info.canon-its.jp/malware_info/special/detail/210209.html [canon-its.jp]
https://www.bleepingcomputer.com/news/security/how-to-protect-your-ver... [bleepingcomputer.com]
Re: (スコア:0)
送信元が分かってるなら連絡するぐらいしか。
そんなにメールで大事なやり取りしてるなら (スコア:0)
別のメールにも転送しとけばいいのに
独自ドメイン+レンタルサーバーで (スコア:0)
自分でメールアドレスを作って運用するしかない。
利便性を考えればGmailかOutlook.comの別アカウントで受信トレイだけ作っておいて、独自ドメインのメールアドレスのメールはそっちに転送すれば普段はOK。
スパムフィルタなどはそっちの方が優秀だから、メールを素で読むのはちょっとという場合はこれでいい。
今回みたいにSaaS側のアカウントがBANされたら、本来の独自ドメインのメールボックスを普通に読めばいいし。
日本のマイクロソフトでも (スコア:0)
自社のサービスに何があるか理解してない。
どう言う部門があるかわからない。
他の部門に案内できないし番号も知らない。
案内できない。その辺最低限覚えてほしい。
Microsoft提供の? (スコア:0)
タイトルのみ