Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。諸々のお問合せ(取材、執筆、各種お問合せ等)はフォックスエスタ (https://foxestar.hatenablog.com/)をご覧ください。

平文パスワード保存するなら会員DBを持つべきではない

 キルフェボンECサイトが会員情報を漏えいしていたとの記事がSecurity Nextに出ていました。

www.security-next.com

 取材に対し同社は、不正アクセスを受けた原因や経緯について委託しているシステム会社で調査を進めている状況と説明。影響を受けたアカウント数についても調査段階であり、具体的な件数など詳しい被害状況については判明次第、公表するとしている。

流出したパスワードの状態に関して、ハッシュ化やソルトの追加状況は、セキュリティ上の問題で回答できないとコメントを避けた。

(Security Next記事より引用)

 

■公式発表

 メールアドレスおよびパスワード情報流出について

 

流出した情報は登録済のメールアドレスとパスワードで、名前や住所、カード情報の流出は確認されておりません。

本件に関して全力で不正アクセスを許した原因を調査中ですが、現時点ではまだ進入経路が判明していないため、サービスの一時停止を行った次第であり、会員様およびご関係の皆様には、多大なるご迷惑とご心配をおかけしておりますことを、深くお詫び申し上げます。

(公式発表より引用)

 

◆キタきつねの所感

詳細情報が無いので不正アクセスがどうやって分かったのかが分からないのですが、もしかすると、2億件の個人情報・・・に入っていたことから流出が分かったのかも知れません。

www.itmedia.co.jp

この個人情報ファイルは、プレミアム・アウトレットの流出データも含まれていたと言いますので、TroyHunt氏がDarkWebで見つけたファイルに入っていた可能性もありそうです。

 

I've Just Added 2,844 New Data Breaches With 80M Records To Have I Been Pwned

 

余談が過ぎましたが、Security Nextさんのするどい突っ込み、パスワードはハッシュ化あるいはソルティングされて保存されていたのか?という質問に対して、「セキュリティ上の問題で回答できない」は、あまりに無防備な回答ではないでしょうか。私には”つまりやってない”以外にこの回答は読み取れません。

 

これが事実だとすれば、委託されていたシステム会社、及びその監督責任があったキルフェボンはWebで会員DBを持つ(構築する)のにふさわしくなかったのではないでしょうか。

 

ハッシュ化されていたパスワードが、レインボーテーブルで解読された・・・であればまだ分かるのです。でですが、ハッシュ化してませんでした。ごめんなさい・・・は、会員が最低限期待するセキュリティレベルを維持できてなかったと思います。

特に委託されていたシステム会社がどこだかは分かりませんが、パスワード平文保管を是としていたのだとすれば、システム会社・・であるとは思えません。

 

ECサイトで会員DBを構築される所の担当は、せめて以下の記事くらいは読んでおいて欲しいものです。

www.atmarkit.co.jp

 

フルーツタルトのイラスト

 

更新履歴

  • 2018年6月10日AM(予約投稿)