情報漏えい事件における「致命傷」
政治山 / 2019年3月4日 16時0分
「宅ふぁいる便」情報漏えい事件の発生・発覚から1カ月ほど経過しましたが、1月28日に発表された第3報以降の続報がなく、引き続きサービスも停止したままとなっており、その後の進捗がわからない状況が続いています。
IT系メディアなどでは散発的にコラムなどの形式で話題が続いていますが、一般のマスコミではそれほど目にすることがなくなりました。
世間のインパクトとしては、ちょうど1年前のコインチェック事件の方が「580億円相当の仮想通貨が流出」ということで衝撃的だったのかもしれませんが、今回の宅ふぁいる便事件はその規模という点ではセキュリティ関係者などから史上最悪規模との評価がされています。
時系列としては1月22日に異常を確認し調査を開始、翌23日にはサービス停止に踏み切ります。
ここまでの対応はある程度早かったのかなという印象ですが、22日の内にサービス停止にまで踏み切るかどうかの議論がなされたのかが気になるところです。
さらに25日には情報漏えいを確認したとして詳細を公表、続けて26日に第2報、28日に第3報というのがここまでの流れです。
公表された内容としては、約480万件の氏名やメールアドレスと平文のパスワードが漏えいしたとされており、件数もさることながら「平文のパスワード」が流出したという事実に大きな波紋を呼びました。
一度に漏えいした件数として多い方という点もありますが、パスワードが平文のままこの規模で流出したという事例は他にはないと思われます。
今でも「クレジットカードの番号・有効期限・セキュリティコード」がセットで数千件漏えいするような事件は発生しますが、「数百万件規模のメールアドレスと平文パスワード」は史上最悪規模の影響と言わざるを得ないところです。
さらにサービスの特性を考えると、メールアドレスとパスワードはともかくとしても、生年月日、性別、 職業・業種・職種、居住地の都道府県名などの情報が必要だったのかという点は若干の疑問が残ります。
もちろん不正アクセス事件であることから犯人が悪いという点に疑いようはありませんが、運営元のオージス総研にいくつかの不手際があったのもまた事実でしょう。
発覚からサービスを停止し把握した事実を公表するまでの流れは「ある程度早いか、普通」という評価かもしれませんが、第3報を公表して以降1カ月近く音沙汰がありません。
例えばどのような体制で調査を継続しているか、セキュリティベンダーや捜査機関や第三者委員会などとどのような連携を進めているかなど、公表できそうな事項も想像できますが、何も公表されないのはただでさえ落ちてしまった信用をさらに落とすことに繋がる可能性があると言わざるを得ません。
そして最大の関心事は「何故パスワードが平分で保存されていたのか」という点が明らかになっていないことでしょう。
もちろん不正アクセスを許さないような体制での運用がなされていれば問題はなかったわけですが、仮にそれを許してしまってもパスワードが適切に暗号化されていれば傷はもう少し浅かった可能性はあります。
20年近い歴史を持つサービスであることから、開始当初からの「技術的負債」に引きずられ対応ができなかったのではないかという想像はできますが、それだけの歴史があれば何度もリニューアルのチャンスがあったのではないかとも思えるだけに、この辺りは今後の詳細な続報で明らかになって欲しいものです。
現在までに明らかになっていることを踏まえても、学ぶべきポイントが多くあります。
何よりも「複数のサービスでメールアドレスとパスワードを使い回すことがどのようなリスクなのか」という点が今回の事件で明らかになりました。
犯人の素性がわからないものの、480万件の「メールアドレスとパスワードの組み合わせ」が流出していることになり、これを利用したリスト型攻撃が発生する可能性は否定できないところです。
せめてパスワードを使いまわしていなければ、可能ならメールアドレスさえ拡張メールアドレスを使ってサービスごとに別のものにしていれば、リスト型攻撃で被害を受ける可能性は大きく低減されます。
そしてサービスを運営する側の視点としては、パスワードの平文保存は絶対にダメだということです。
今も昔も、それこそ技術的な理由だったりユーザビリティのためなどと言い訳をして平文保存をしているサービスやサイトが存在しますが、今回の事案を見て分かる通り、万が一漏えい事故が発生した際に批判を受けることは免れられません。
もちろん暗号化しておけば何でも良いというわけではなく、適度な強度を持った方式で暗号化やハッシュ化をして保存しておかなければなりません。
加えてもう一つ、情報公開のタイミングや情報量が適切でないとユーザや世間の印象がどんどん悪くなるというのもまた当たり前の事実として気付かされます。この辺りは組織としての意思決定や情報共有のスピード感にも左右されるため、日頃からの体制作りがいかに重要かということかもしれません。
今回の宅ふぁいる便の事件はサービス提供側の視点で見るといくつかの不手際が重複した結果、サービス継続に支障をきたすほどの致命傷を受けただけでなく、利用していたユーザ側にとってもメールアドレスと平文のパスワードが流出するという致命傷を受けてしまったことになります。
どちらの立場であっても致命傷を避けられたポイントがあったように感じられます。
そのポイントは押さえておきたいところです。
この記事に関連するニュース
-
クラウドストレージサービス「HStorage」、第三者によるセキュリティ監査実施のお知らせ
PR TIMES / 2024年9月17日 10時45分
-
メールで気軽に「PPAP」を使っている人のヤバさ 「パスワードは別送します」が相手に強いる負担
東洋経済オンライン / 2024年9月10日 9時0分
-
カード不正利用、低額化/巧妙化が進むも、対策に遅れが目立つ 6万円未満の被害が過去3年間で10%増加
PR TIMES / 2024年9月9日 17時45分
-
「キャッシュレスセキュリティレポート2024(年次版)」を公開
PR TIMES / 2024年9月9日 17時45分
-
ペイメントアプリ改ざんでクレカ情報4.5万件流出の可能性 洋菓子「ヴィタメール」ECサイト
ITmedia NEWS / 2024年8月28日 12時36分
ランキング
-
1能登豪雨 輪島の海岸で新たに2人の遺体 犠牲者は11人に
テレ金NEWS NNN / 2024年9月25日 21時56分
-
2「死ぬのを待っているの?」原告の悲痛な叫び…水俣病訴訟の控訴審始まる 国などは「水俣病と診断した根拠の信用性に疑問」と主張 原告側は「水俣病の真実について的確な判断求める」
MBSニュース / 2024年9月25日 18時50分
-
3【飲酒運転で衝突死亡事故】大沢亮太容疑者の呼気からは基準値3倍超えのアルコール 事故前に6時間以上の“はしご酒”「いけないと言われているのにどうして…怒りしかない」葬儀に参列した知人の悲痛な声 北海道小樽市
北海道放送 / 2024年9月25日 19時11分
-
4タレント・羽賀研二容疑者を逮捕 暴力団幹部らと虚偽登記の疑い
毎日新聞 / 2024年9月25日 19時37分
-
5「あの時振り返っていれば」両手握りしめ、妻の発見願う夫 能登豪雨
毎日新聞 / 2024年9月25日 17時53分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください