Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Imgurの2014年のハッキング被害を調べてみた。

米国のメジャーなオンライン画像共有/管理サービスを提供するImgurが2014年にハッキング被害に遭っていたことを認めた件について、調べてみました。

japan.cnet.com

公式発表

インシデントタイムライン

日時 出来事
2017年11月23日 午後 セキュリティリサーチャー(Troy Hunt氏)からデータ流出した旨、メールをImgurに送付
2017年11月23日 深夜 COOがメールを受領し、リサーチャーに詳細を知りたい旨を連絡、同時にCEOと技術担当の副社長に連絡。
  技術担当の副社長がリサーチャーから(流出されたと疑われる)データを受領し、データがImgurユーザなのかを検証を開始。
2017年11月24日 早朝 170万件のユーザアカウントが2014年に流出したことを確認。
(流出したアカウント情報は、メールアドレスとパスワードだった)
2017年11月24日 午前 影響を受けたユーザの登録メールアドレスにデータ漏えいを知らせる。
ユーザのパスワードリセットを開始。
2017年11月24日 PM4時 事件を公表

 

原因

  • どうしてアカウント情報が侵害を受けたのかは調査中
  • パスワードはデータベースに暗号化して保管しているが、(2014年当時使っていた)古いハッシュアルゴリズム(SHA-256)が総当り(brute force)攻撃によってクラッキングされた可能性がある
  • ハッシュアルゴリズムは昨年bcyptアルゴリズムに変更している

対策(影響を受けたユーザ)

  • 全てのサイトとアプリケーションに対してメールとパスワードのコンビネーションを変えることを推奨する。
  • 強力なパスワードを使い、そして頻繁に変更してください。

◆キタきつねの所感

Twitterでこの事件をつぶやいていた時に、徳丸先生から「攻撃者の手元にあるハッシュ値に対する辞書攻撃か総当り攻撃ではないか」とコメントを頂きました(ここ見ているとは思いえませんが、、ご教授ありがとうございます)。170万件と大量のユーザデータが漏えいしている事から、何らかの脆弱性を突かれてハッシュデータが漏えいし、総当り(よくありがちなパスワード等々)で、パスワードが推定できてしまった、という事なのかなと現時点では想像されます。

CNETの記事にも、このデータ漏えいを知らせたセキュリティリサーチャーのHunt氏のコメントがありますが、私も同感です。このタイムラインでの対応は他社の模範となる事故対応ではないでしょうか。

私は是非、 今年の「第3回 情報セキュリティ事故対応アワード」に取り上げて欲しいと思います。

Hunt氏は、Imgurの迅速な対応を評価した。「この事件についてImgurに通知したのは、米国の感謝祭の連休真っただ中の夜遅くだった」とHunt氏は述べた。「これに直ちに気づき、影響を受けたアカウントを保護し、24時間以内に個人に通知して公表文を準備したことは、まさに模範的だ」(Hunt氏)(*2)

 

関連ニュース記事

 *1 Notice of Data Breach imgur blog

 *2 Imgur、170万件のアカウント情報流出認める--2014年にハッキング被害 cnet Japan

 

食べ物と自撮りをする人のイラスト

 

更新履歴

  • 2017年11月27日 PM 新規作成