なぜ“情報漏えい”は繰り返されるのか 宅ふぁいる便、Peing事件が教えてくれたこと

ITmedia NEWS / 2019年2月18日 7時0分

写真

メンテナンス中の「Peing-質問箱-」。1月29日の画面で現在はサービスを再開している

 2019年1月、立て続けに気になる事件が発生しました。まずは1月26日に明らかになった、オージス総研が運営する大容量ファイル送信サービスの老舗「宅ふぁいる便」の情報漏えい事件。不正アクセスを受け、約480万件の顧客情報が流出しました。

 この中にはクレジットカード番号などお金に通じる情報は含まれていないものの、05年以降全期間における氏名、メールアドレス、そして暗号化されていない“生”のパスワードが漏えいしています。

 この原稿を執筆している段階では不正アクセスの手法などは明らかになっておらず、登録されたファイルそのものが漏えいしたかどうかも発表されていません。ID、パスワードが漏えいしたことで、他のサービスにおいて「パスワードリスト攻撃」が行われたり、それらの情報を使ったフィッシング詐欺が起こることなどが想定できます。この被害に遭われた方は、しばらくの間はこれらの攻撃に身構える必要があります。

●連載:ITりてらしぃのすゝめ

「身近な話題を例にITリテラシーを高めていこう」がコンセプト。さらっと読めて人に話せる、すぐに身につく。分かりやすさ重視で解説。小ネタも扱います。

(編集:ITmedia村上)

 そして1月28日夜、ジラフが運営する匿名質問サービス「Peing -質問箱-」(ペイング)にて、本来見えてはならないTwitterのトークン情報が露出していたことが明らかになりました。

 PeingはTwitterで匿名の質問者からの投稿に回答できる仕組みで、ライトなTwitterユーザーに支持されていました。ところが、Peingを利用しているTwitterユーザーのトークンやメールアドレスなどが、ブラウザの開発者ツールを用いるだけで誰でも閲覧できる状態に。Twitterのトークンが第三者に知れ渡ると、それを使うことでタイムラインの閲覧(公開、非公開を問わず)や投稿が可能になってしまいます。

 この脆弱性(ぜいじゃくせい)に対応するため、Peingは即座にメンテナンスに入りました。この脆弱性はもっと前から指摘されていたという声も上がっていましたが、運営側は公式アカウントが乗っ取り被害に遭ったことでことの重大さに気付いたようです。

 これらの事件は異なる問題に見えますが、個人的には共通する大きな問題が根底にあるように思えます。そしてその問題の根本的な解決は難しく、ユーザーができる自衛策が少ないのが悩ましいところ。でも、これらの事件をきっかけにして、被害を最小限にする努力を今から始める必要があるように思います。

この記事に関連するニュース

トピックスRSS

ランキング