開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2019/02/19

宅ふぁいる便の衝撃的漏えい、しかしパスワードの平文保存は「超レア」と言えない現実

セキュリティへの誤解と見えざる攻撃背景

ファイル転送サービスの『宅ふぁいる便』から、パスワードやメールアドレス含む480万件もの個人情報が流出した。多くのメディアやSNSで取り上げられたが、一部にセキュリティ技術や対策への誤認につながりかねない情報も見受けられた。また、報道はパスワードの平文保存と個人情報の流出問題を主に伝えているが、別の視点からの考察が必要なインシデントでもある。セキュリティ技術へのよくある誤解と、報道等に抜けている視点について考えてみたい。

フリーランスライター 中尾真二

フリーランスライター 中尾真二

フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。

photo
パスワード平文保存「だけ」が問題なのか?
(©enzozo - Fotolia)

480万件の情報漏えいの概要

 宅ふぁいる便の情報漏えいについて、すでに多くのメディアが報じているので、ここではポイントだけ整理する。

 インシデントは宅ふぁいる便サービスを行っているサーバ内に不審なファイルを発見(1/22)したことから発覚した。追加調査で不審なアクセスログも確認され、被害防止のためサービスを停止し(1/23)、第一報を発表。その後、情報漏えいを確認した(1/25)。

 漏えいが確認された情報は、1月28日付け同社の第三報によると以下のとおりだ。

2005年以降に収集された以下の情報:
氏名(ふりがな)
ログイン用メールアドレス
ログインパスワード
生年月日
性別
職業・業種・職種(選択肢の番号)
居住地の都道府県名
メールアドレス2、メールアドレス3

2005年から2012年までの間に入力された以下の情報:
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者、子供(選択肢の番号)

 漏えい件数は480万件と発表されたが、漏えいした情報が不正利用された事実は確認されていないとしている。該当するユーザーにはお詫びとお知らせのメールを送付し、同じIDやパスワードを設定している他のサービスのID・パスワードの変更を促し、便乗メール(フィッシング、詐欺)への注意喚起を行っている。

サービス停止などの意思決定の早さは評価したい

 このインシデントに関連して、さまざまな報道がなされ、SNSやブログでも問題点を指摘する声があふれた。現在、事件直後の報道はひと段落し、メディアの報道も落ち着いてきている。

 専門家やメディアの意見では、パスワードを平文(暗号化などの処理をしていない、パスワードそのままのデータ)で保存していた点が特に叩かれた。中には、運営側の事後対応を非難する声もあるが、わかっている状況から判断するに、サービス停止の判断やお詫び・お知らせなど外部への情報発信など、むしろ評価できる。

 異常発見から、調査、サービス停止、第一報など、その後の対応や被害拡大、市場の混乱を回避するためにポイントとなる、重要な意思決定が迅速になされている。インシデントのトリアージやエスカレーションが機能していないとできない対応だ。重大インシデントでは、外部への公表や通知のタイミングや判断が難しいが、時間をかけるほど臆測や風評を呼び、炎上など二次被害のリスクが高まる。ネットの時代、情報管制による制御はむしろ難しい。

 もちろん、サーバに発見されたという不審なファイルがどんなものか、不正侵入がいつ、どのようにして行われたかによって、今後、被害企業の責任が問われることもある。現状の情報でも、運営企業にまったく問題はなかったとは思わないが、事後対応は多くの企業は参考にしてよい。少なくとも、自分の会社がインシデント発覚からほぼ1日でサービス停止まで決定できるかどうか考えてみてほしい。

パスワードの平文保存はあり得ないのか

 多くの専門家が指摘するパスワードの平文保存はどうだろうか。近年のセキュリティ対策では、パスワードの平文保存はありえない。宅ふぁいる便を運営するオージス技研では、なぜハッシュ化せず保存していたかは調査中としている。

 現在のセキュリティの常識では、パスワードは漏えい対策のため、ハッシュ化したデータを保存する方法が一般的だ。しかし、宅ふぁいる便は10年以上前から続くファイル転送サービスの老舗であり、当時はパスワードを暗号化しないで保存するサービスはそれほど珍しくなかったと思われる。

 だからといって、平文保存が許される理由にはならない。リスクを知っていて改善しなかったのなら不作為を問われるし、リスクの認識がなかったとしたら、Webでのサービススキルに問題があったといわざるを得ない。

 しかし、現実問題として、パスワードを平文で保存しなければならない事情も存在する。

【次ページ】パスワードを平文保存しなければならない事情とは?

情報漏えい対策 ジャンルのセミナー

情報漏えい対策 ジャンルのトピックス

情報漏えい対策 ジャンルのIT導入支援情報

PR

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!