ログイン
通知設定
情報漏えい事件における「致命傷」
政治山 / 2019年3月4日 16時0分
「宅ふぁいる便」情報漏えい事件の発生・発覚から1カ月ほど経過しましたが、1月28日に発表された第3報以降の続報がなく、引き続きサービスも停止したままとなっており、その後の進捗がわからない状況が続いています。
IT系メディアなどでは散発的にコラムなどの形式で話題が続いていますが、一般のマスコミではそれほど目にすることがなくなりました。
世間のインパクトとしては、ちょうど1年前のコインチェック事件の方が「580億円相当の仮想通貨が流出」ということで衝撃的だったのかもしれませんが、今回の宅ふぁいる便事件はその規模という点ではセキュリティ関係者などから史上最悪規模との評価がされています。
時系列としては1月22日に異常を確認し調査を開始、翌23日にはサービス停止に踏み切ります。
ここまでの対応はある程度早かったのかなという印象ですが、22日の内にサービス停止にまで踏み切るかどうかの議論がなされたのかが気になるところです。
さらに25日には情報漏えいを確認したとして詳細を公表、続けて26日に第2報、28日に第3報というのがここまでの流れです。
公表された内容としては、約480万件の氏名やメールアドレスと平文のパスワードが漏えいしたとされており、件数もさることながら「平文のパスワード」が流出したという事実に大きな波紋を呼びました。
一度に漏えいした件数として多い方という点もありますが、パスワードが平文のままこの規模で流出したという事例は他にはないと思われます。
今でも「クレジットカードの番号・有効期限・セキュリティコード」がセットで数千件漏えいするような事件は発生しますが、「数百万件規模のメールアドレスと平文パスワード」は史上最悪規模の影響と言わざるを得ないところです。
さらにサービスの特性を考えると、メールアドレスとパスワードはともかくとしても、生年月日、性別、 職業・業種・職種、居住地の都道府県名などの情報が必要だったのかという点は若干の疑問が残ります。
もちろん不正アクセス事件であることから犯人が悪いという点に疑いようはありませんが、運営元のオージス総研にいくつかの不手際があったのもまた事実でしょう。
発覚からサービスを停止し把握した事実を公表するまでの流れは「ある程度早いか、普通」という評価かもしれませんが、第3報を公表して以降1カ月近く音沙汰がありません。
例えばどのような体制で調査を継続しているか、セキュリティベンダーや捜査機関や第三者委員会などとどのような連携を進めているかなど、公表できそうな事項も想像できますが、何も公表されないのはただでさえ落ちてしまった信用をさらに落とすことに繋がる可能性があると言わざるを得ません。
そして最大の関心事は「何故パスワードが平分で保存されていたのか」という点が明らかになっていないことでしょう。
もちろん不正アクセスを許さないような体制での運用がなされていれば問題はなかったわけですが、仮にそれを許してしまってもパスワードが適切に暗号化されていれば傷はもう少し浅かった可能性はあります。
20年近い歴史を持つサービスであることから、開始当初からの「技術的負債」に引きずられ対応ができなかったのではないかという想像はできますが、それだけの歴史があれば何度もリニューアルのチャンスがあったのではないかとも思えるだけに、この辺りは今後の詳細な続報で明らかになって欲しいものです。
現在までに明らかになっていることを踏まえても、学ぶべきポイントが多くあります。
何よりも「複数のサービスでメールアドレスとパスワードを使い回すことがどのようなリスクなのか」という点が今回の事件で明らかになりました。
犯人の素性がわからないものの、480万件の「メールアドレスとパスワードの組み合わせ」が流出していることになり、これを利用したリスト型攻撃が発生する可能性は否定できないところです。
せめてパスワードを使いまわしていなければ、可能ならメールアドレスさえ拡張メールアドレスを使ってサービスごとに別のものにしていれば、リスト型攻撃で被害を受ける可能性は大きく低減されます。
そしてサービスを運営する側の視点としては、パスワードの平文保存は絶対にダメだということです。
今も昔も、それこそ技術的な理由だったりユーザビリティのためなどと言い訳をして平文保存をしているサービスやサイトが存在しますが、今回の事案を見て分かる通り、万が一漏えい事故が発生した際に批判を受けることは免れられません。
もちろん暗号化しておけば何でも良いというわけではなく、適度な強度を持った方式で暗号化やハッシュ化をして保存しておかなければなりません。
加えてもう一つ、情報公開のタイミングや情報量が適切でないとユーザや世間の印象がどんどん悪くなるというのもまた当たり前の事実として気付かされます。この辺りは組織としての意思決定や情報共有のスピード感にも左右されるため、日頃からの体制作りがいかに重要かということかもしれません。
今回の宅ふぁいる便の事件はサービス提供側の視点で見るといくつかの不手際が重複した結果、サービス継続に支障をきたすほどの致命傷を受けただけでなく、利用していたユーザ側にとってもメールアドレスと平文のパスワードが流出するという致命傷を受けてしまったことになります。
どちらの立場であっても致命傷を避けられたポイントがあったように感じられます。
そのポイントは押さえておきたいところです。
この記事に関連するニュース
-
こども栄養バランスmog オンラインストアでクレジットカード情報などが漏えい
ポイ探ニュース / 2024年11月12日 15時29分
-
「ウエルシアドットコム」から約4万人分の個人情報漏えいのおそれ 従業員がサポート詐欺に
ITmedia NEWS / 2024年11月10日 8時55分
-
東北学院大、7085件の個人情報漏えいを謝罪 教職員業務用PCへの不正アクセスに起因
ORICON NEWS / 2024年11月6日 18時36分
-
シャープ公式オンラインストア「COCORO STORE」でクレジットカード情報などが流出
ポイ探ニュース / 2024年10月30日 17時11分
-
個人情報10万件、クレカ情報5万8000件が流出か 紅茶専門店の通販サイトでペイメントアプリ改ざん
ITmedia NEWS / 2024年10月30日 13時44分
ランキング
-
1兵庫・加古川の小2女児刺殺、小4刺傷容疑の男を再逮捕へ…「好みの女の子を尾行し刺した」供述
読売新聞 / 2024年11月27日 0時0分
-
2有名脱毛サロンが破産手続き 返金困難と告げられた会員女性「腹立たしい」 賃借料など膨らみ資金繰り悪化か
CBCテレビ / 2024年11月26日 18時40分
-
3緊急走行中の救急車など4台が絡む事故 20代から40代の男性3人けが
STVニュース北海道 / 2024年11月27日 6時47分
-
4【速報】共同通信の社長が外務省に謝罪 生稲晃子外務政務官の靖国参拝めぐる誤報問題で
TBS NEWS DIG Powered by JNN / 2024年11月26日 19時51分
-
5バスタオルあのニオイ消す方法、洗濯機 嫌なニオイの原因は? 知って得する「大掃除術」【Nスタ解説】
TBS NEWS DIG Powered by JNN / 2024年11月26日 22時11分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください
