先週発生したこの事件、最大677万件の漏えいした可能性がある個人情報の中に私のデータも混じっていた様です。
www.zdnet.com
公式発表
キタきつねの所感
先週11/17に発表された事件を今更取り上げるのもどうかと思ったのですが、ZDNetが昨日記事をUPしていたのと、どうやら私も被害者の1人の様なので、ZDNet記事の情報を元に考察してみます。
※国内記事等々に関してはpiyologでまとめ記事が出ていますので、そちらをご覧になると良いかと思います。
尚、漏えいした可能性がある個人情報は、「氏名、ユーザー名、電子メール、ソルトおよびハッシュ化されたパスワード」となっており、平文パスワードが漏えいした訳でもありませんので、不正アクセスリスクは少ないのではないかと思いますが、ハッシュ方式が分かりませんので、私はパスワード再登録を行いました。
ZDNetの記事から引用しますが、流出サイトからのデータを流用している(コピーしたハッカーが別な所で公開している)サイトの内容が以下になります。
この中でまず気になったのが「SQL」です。Peatixは今回の事件の侵害原因を発表していません。関連記事にもこの辺りに触れた記事を見かけなかったのですが、データベースが侵害されている事を考えると、SQLインジェクションだった、という可能性は結構あるのではないでしょうか。
漏えいしたサンプルデータを見ているZDNetの記事でもそこは明記されてないので、可能性・・としか言えませんが、仮に単純なSQLインジェクションが原因だったとすれば、多くの個人情報を預かるPeatixのセキュリティ体制は厳しく問われても仕方が無い気がします。
もう1点気になったのが、漏えいしたメールアドレスプロバイダー情報です。ここにも「peatix.sql」の記載がありますが、Peatix漏えいデータ、その多くが日本人のデータであった事が分かるドメイン記載です。(※Gmailは日本ユーザーでも.com)
一番下の部分には「ほとんど日本人のものです」とも書かれています。このデータの中で、hotmail.com、yahoo.com、peatix.comと一部のgmail.comが日本人でないと仮定して、最大677万件の漏えいデータ(※DarkWeb上では約421万件が流出したと見られている)の85%程度、つまり約575万件(※DarkWebデータ換算だと約358万件)が日本人のデータであったと推測されます。
これはPeatixが日本のスタートアップである事も大きい気がします。
2011年に日本でサービス立ち上げを行った後に、シンガポールや米国等に海外進出した事も大きいかと思います。(※違う見方をすれば、漏えいデータから考えると、日本以外のビジネス規模はまだそれほど大きくは無いのかと思われます)
Peatixの会社概要を見ると創業メンバーは3人います。3人の方の経歴を見ると、セキュリティ系の経歴を持たれている方はいない様に見受けられます。
現在は会社規模から考えても当然、CTO(CSO/CISO)がいるのかと思いますが、会社がいい様からはそうした方の顔が見えない(=セキュリティへの会社としてのウェイトがあまり高く無い)様にも思えます。
この辺りに、こうした(SQLインジェクションが疑われる)侵害事件に紐づく要因があったのかも知れません。
余談です。Peatixにアクセスしようとすると、パスワード再設定が促されます。この時点で新しいメール(侵害通知とは別です)が登録アドレスに飛んでくる様です。こちらのリンクを使い、パスワード再設定を行う事ができました。
侵害通知メール(11/21受領)はこんな内容でした。公式発表の書き方とは少し違いますが、Peatixのサイトにも同じ内容が貼られているので、ユーザー向け告知はこちらが使われている様です。
この注意書き(お客様へのお願い)は、他の侵害を受けたサイトでも使える(流用できる)内容だと思います。
まぁ、だからと言ってユーザー側がパスワードの使い回しを止める人ばかりではないのが現状ですが。
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴