情報漏えい事件における「致命傷」
政治山 / 2019年3月4日 16時0分
「宅ふぁいる便」情報漏えい事件の発生・発覚から1カ月ほど経過しましたが、1月28日に発表された第3報以降の続報がなく、引き続きサービスも停止したままとなっており、その後の進捗がわからない状況が続いています。
IT系メディアなどでは散発的にコラムなどの形式で話題が続いていますが、一般のマスコミではそれほど目にすることがなくなりました。
世間のインパクトとしては、ちょうど1年前のコインチェック事件の方が「580億円相当の仮想通貨が流出」ということで衝撃的だったのかもしれませんが、今回の宅ふぁいる便事件はその規模という点ではセキュリティ関係者などから史上最悪規模との評価がされています。
時系列としては1月22日に異常を確認し調査を開始、翌23日にはサービス停止に踏み切ります。
ここまでの対応はある程度早かったのかなという印象ですが、22日の内にサービス停止にまで踏み切るかどうかの議論がなされたのかが気になるところです。
さらに25日には情報漏えいを確認したとして詳細を公表、続けて26日に第2報、28日に第3報というのがここまでの流れです。
公表された内容としては、約480万件の氏名やメールアドレスと平文のパスワードが漏えいしたとされており、件数もさることながら「平文のパスワード」が流出したという事実に大きな波紋を呼びました。
一度に漏えいした件数として多い方という点もありますが、パスワードが平文のままこの規模で流出したという事例は他にはないと思われます。
今でも「クレジットカードの番号・有効期限・セキュリティコード」がセットで数千件漏えいするような事件は発生しますが、「数百万件規模のメールアドレスと平文パスワード」は史上最悪規模の影響と言わざるを得ないところです。
さらにサービスの特性を考えると、メールアドレスとパスワードはともかくとしても、生年月日、性別、 職業・業種・職種、居住地の都道府県名などの情報が必要だったのかという点は若干の疑問が残ります。
もちろん不正アクセス事件であることから犯人が悪いという点に疑いようはありませんが、運営元のオージス総研にいくつかの不手際があったのもまた事実でしょう。
発覚からサービスを停止し把握した事実を公表するまでの流れは「ある程度早いか、普通」という評価かもしれませんが、第3報を公表して以降1カ月近く音沙汰がありません。
例えばどのような体制で調査を継続しているか、セキュリティベンダーや捜査機関や第三者委員会などとどのような連携を進めているかなど、公表できそうな事項も想像できますが、何も公表されないのはただでさえ落ちてしまった信用をさらに落とすことに繋がる可能性があると言わざるを得ません。
そして最大の関心事は「何故パスワードが平分で保存されていたのか」という点が明らかになっていないことでしょう。
もちろん不正アクセスを許さないような体制での運用がなされていれば問題はなかったわけですが、仮にそれを許してしまってもパスワードが適切に暗号化されていれば傷はもう少し浅かった可能性はあります。
20年近い歴史を持つサービスであることから、開始当初からの「技術的負債」に引きずられ対応ができなかったのではないかという想像はできますが、それだけの歴史があれば何度もリニューアルのチャンスがあったのではないかとも思えるだけに、この辺りは今後の詳細な続報で明らかになって欲しいものです。
現在までに明らかになっていることを踏まえても、学ぶべきポイントが多くあります。
何よりも「複数のサービスでメールアドレスとパスワードを使い回すことがどのようなリスクなのか」という点が今回の事件で明らかになりました。
犯人の素性がわからないものの、480万件の「メールアドレスとパスワードの組み合わせ」が流出していることになり、これを利用したリスト型攻撃が発生する可能性は否定できないところです。
せめてパスワードを使いまわしていなければ、可能ならメールアドレスさえ拡張メールアドレスを使ってサービスごとに別のものにしていれば、リスト型攻撃で被害を受ける可能性は大きく低減されます。
そしてサービスを運営する側の視点としては、パスワードの平文保存は絶対にダメだということです。
今も昔も、それこそ技術的な理由だったりユーザビリティのためなどと言い訳をして平文保存をしているサービスやサイトが存在しますが、今回の事案を見て分かる通り、万が一漏えい事故が発生した際に批判を受けることは免れられません。
もちろん暗号化しておけば何でも良いというわけではなく、適度な強度を持った方式で暗号化やハッシュ化をして保存しておかなければなりません。
加えてもう一つ、情報公開のタイミングや情報量が適切でないとユーザや世間の印象がどんどん悪くなるというのもまた当たり前の事実として気付かされます。この辺りは組織としての意思決定や情報共有のスピード感にも左右されるため、日頃からの体制作りがいかに重要かということかもしれません。
今回の宅ふぁいる便の事件はサービス提供側の視点で見るといくつかの不手際が重複した結果、サービス継続に支障をきたすほどの致命傷を受けただけでなく、利用していたユーザ側にとってもメールアドレスと平文のパスワードが流出するという致命傷を受けてしまったことになります。
どちらの立場であっても致命傷を避けられたポイントがあったように感じられます。
そのポイントは押さえておきたいところです。
この記事に関連するニュース
-
「身代金」「初動対応」、"KADOKAWA事件"の教訓 凄腕ホワイトハッカーが語る日本企業への警告
東洋経済オンライン / 2024年7月31日 8時0分
-
シャープ、ECサイトへの不正アクセスで情報漏えい
ASCII.jp / 2024年7月29日 17時5分
-
パスワード不要のファイル暗号化・復号サービス「クリプタン」無料プランを大幅拡充
@Press / 2024年7月22日 11時0分
-
“ダークウェブにしかないから大丈夫”?──病院へのランサムウェア攻撃で広がった発信の意図は 関係者に真意を聞いた
ITmedia NEWS / 2024年7月12日 12時21分
-
社説:サイバー被害 事業継続への備えを着実に
京都新聞 / 2024年7月9日 16時0分
ランキング
-
1広瀬参院議員が自民離党=「政治とカネ」また痛手
時事通信 / 2024年7月30日 22時31分
-
2静岡3人殺害 指名手配の親族男性を鳥取市内で確保 新幹線で逃走か
毎日新聞 / 2024年7月30日 22時20分
-
3アシックス、海外取引先で弾圧か 国際人権団体が取引中止要請
共同通信 / 2024年7月30日 19時8分
-
4「ポルシェを会社の金で…家事代行サービスで飼い犬の世話」運営会社社長に組合が怒り…『業務スーパー』北海道内7店舗の今後の行方
北海道放送 / 2024年7月30日 20時41分
-
52歳男児が『一酸化炭素中毒』で病院搬送 車内で練炭燃やし殺害しようとした疑いで母親逮捕「苦しむ息子見て、助けないとと思い外に出た」 兵庫・伊丹市
MBSニュース / 2024年7月30日 20時55分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください