平文パスワード保存は流行りなのでしょうか・・・。Security Nextの少し前の記事に波通の個人情報漏えいの記事がありました。
www.security-next.com
■公式発表 【重要】 個人情報漏えいに関するお詫びとご報告
サーファー向けに海の状況をリアルタイムで提供するサービス「波通」において、登録ユーザーのメールアドレスとパスワードが流出したことがわかった。不正アクセスの可能性が高いとしている。
同サービスを運営するデジサーフによれば、2018年1月5日以前に同サービスに登録した会員のメールアドレスと平文のパスワード1万9700件が外部に流出したもの。
(Security Next記事より引用)
◆キタきつねの所感
今回の事件は、事件の経緯と再発防止策を含む公式発表が出ていましたので見てみたのですが、、、
1.本件の発覚の経緯及び情報漏えいの概要等
(中略)
なお、現時点におきましては、上記の情報のほかには、情報漏えいの対象となった情報は確認されておりません。また、現時点におきましては、第三者によるアカウントの不正利用、漏えい情報の拡散等の二次被害は確認されておりません。
現時点で原因の断定には至っておりませんが、外部通報者による報告内容及び弊社における事実調査の状況を踏まえ、外部からの不正なアクセスによる情報漏えいである可能性が高いものと考えております。
(公式発表より引用)
月間訪問者が120万人を超える、サーファー向けの人気サイトからの会員情報が漏洩したという事件にしては、さらっとしている印象です。
漏洩件数は2万件弱だからでしょうか。先日の宅ふぁいる便と同じく、『パスワードを平文で保存してました』という、個人情報取り扱い事業者としてはセキュリティを考えてないとしか思えない運用を突かれています。
事件報告では仕方が無い部分があるとは言え、影響範囲を小さく見せる表現、『(今の所)二次被害は確認されていません』という表現が気になります。平文パスワードが漏洩したという事は、そのパスワードを使いまわししているであろう、自社の会員が他社サイトで情報侵害を受ける可能性は計り知れません。
もう1点公式発表を読んでいて、残念だったのは、『外部からの不正アクセス』と書いておけば良いと言わんばかりの、侵入された脆弱性部分をまったく書いてないところです。
再発防止策(対策)の部分にその対となる脆弱性が書かれている事が多いのですが、
上記のほか、弊社としては、今後、速やかに以下の措置を実施し、同様の情報漏えいが生じないよう、再発防止に努める予定です。
① 本件と同様の方法による不正アクセスへの技術的予防措置の実施
② 円滑かつ確実なセキュリティ対策を実現するためのサーバ環境の変更
(公式発表より引用)
『本件と同様な方法』とあるので、不正アクセスを受けた脆弱性については、波通側は把握している様なのですが、その対策は『技術的予防措置』・・・と何を実施するのかよく分からない記載です。(FWでも入れるのでしょうか・・・)
②の措置は、日本語の読解能力が問われますが(注:公式発表を読む上では必須な能力な気がします)、サーバ環境の問題があってセキュリティ対策を実現できない状況だった事が分かります。
また、①②の対策は『今後』『速やかに』と書かれているので、脆弱性は残っており、当面は、同じ攻撃手法で侵入される可能性がある事を示唆しています。監視強化とパスワードのハッシュ化の対策で当面乗り切るのだと思いますが、ハッシュ化という対策も、正直、その実装法によってはリスクが残っている場合もあるので注意が必要です。
例えば、レインボーテーブルが出来てしまっている事もありえるので、単にハッシュ化したから安全、という考えならば、今一度、それで大丈夫なのか見直す必要があるかと思います。
事件が2件出てきた事から考えると、平文パスワードでのパスワード保管。まだまだ多くのサイトでやっていそうです。
参考:徳丸さんの情報(少し古い内容もありますが勉強になります)
www.slideshare.net
更新履歴
