Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

Under Armour子会社の会員サイトから1.5億件のデータ漏えい

下着メーカーで有名なUnder Armourが3/29に食べ物と栄養のアプリケーションとWebサービスを提供する「MyFitnessPal」でユーザ情報が漏えいしたと発表しました。

mainichi.jp

■公式発表

Under Armour Notifies MyFitnessPal Users Of Data Security Issue (NYSE:UAA)

 
事件の状況 
  • 3月25日にMyFitnessPalチームが不明の第三者が2月下旬のユーザアカウント情報が漏えいした事を認識し、業界トップのデータセキュリティ会社と関係当局と事件を調査中
  • 最大で150百万(1.5億)ユーザアカウントが影響を受けた可能性がある
    (ユーザ名、Eメールアドレス、ハッシュパスワード<bcrypt>/一部ハッシュはSHA1
  • クレジットカード情報や社会保障番号、運転免許情報等は漏えいしていない
  • MyFitnessPalユーザにはパスワード変更を推奨

インシデントタイムライン

日時 出来事 備考
2018/2後半 MyFitnessPalのアカウントデータが漏えいした可能性  
2018/3/25 不明な第三者がユーザデータを入手した事をMyFitnessPalチームが認識  
2018/3/29 事件を公表 *公式リリース

 

◆キタきつねの所感

不正に会員データを奪取された(不正アクセスの)理由がまだ出てきておらず、”不正に会員データを入手された”ところからのニュースリリースなのでよく分からない部分もあるのですが、会員データが漏えいしている事を「発見した」のは、推測ではありますが、DarkWebに会員データが売りに出されていたのを見つけたのかと思います。

iedge.tech

iedgeの記事によると、

アンダーアーマーは2015年、当時ユーザー数8000万人だったMyFitnessPalを4億7500万ドルで買収しました。それ以来フィットネストラッカーとの連携やアプリの改良を推し進め、登録ユーザー数は3年で約2倍になりました。

とありますので、買収した子会社のアプリ(Web)からの情報漏えい事件のとなります。

一般論ですが、買収した会社のセキュリティについては(FinTech企業の勢いを削がないために)、強力なセキュリティ対策を親会社が追加要求しないケースが多いといわれており、ましてや今回のケースでは親会社がUnder Armourですので、そうした防御体制に穴があったのかなと思います。

漏えい経路は分かりませんが、漏えいした情報の中で重要度が高いのは「ハッシュ化されたパスワード」くらいでしょうか。クレジットカード情報も漏れてませんし、住所や電話番号がもれている訳でもありませんので、毎月の様に大きな個人情報漏えい事件が発生する米国での事件にしては、そう大きな漏えい範囲では無い気もします。

一方で、Under Armour社は、漏えいした可能性がある(1.5億人の)ユーザに対し「パスワード変更」をお願いしています。パスワードのハッシュはbcryptとリリースに書かれていたので、現役のハッシュ方式で何で急いで変更依頼する必要があるのか?と疑問に思ったのですが、その答えは、Under Armour社の事件に関するFAQの中にありました。

5. What is "bcrypt"?

Bcrypt is a password hashing mechanism that incorporates security features, including multiple rounds of computation, to provide advanced protection against password cracking.

6. What hashing function was used to protect the MyFitnessPal account information that was not protected by bcrypt?

The MyFitnessPal account information that was not protected using bcrypt was protected with SHA-1, a 160-bit hashing function.

6番に「bcrypt」で守られてないアカウント情報は何のハッシュが使われていたのか?という質問とその回答があり、要するに「bcrypt」と「SHA-1」の両方が使われていた事が暗示されています。SHA-1が混じっていたとしたら、全ユーザにパスワード変更をして貰った方が良いという判断に至ったのも何となく分かります。

 

侵入経路が気になるので続報が出たら(それに気づけたら)、また記事を書くかも知れません。

 

参考:SHA-1

www.ipa.go.jp

 

スマートウォッチを使う人のイラスト

 

更新履歴

  • 2018年3月31日PM(予約投稿)