情報漏えい事件における「致命傷」 (2019/2/28 セキュリティレポート)
「宅ふぁいる便」情報漏えい事件の発生・発覚から1カ月ほど経過しましたが、1月28日に発表された第3報以降の続報がなく、引き続きサービスも停止したままとなっており、その後の進捗がわからない状況が続いています。
IT系メディアなどでは散発的にコラムなどの形式で話題が続いていますが、一般のマスコミではそれほど目にすることがなくなりました。
世間のインパクトとしては、ちょうど1年前のコインチェック事件の方が「580億円相当の仮想通貨が流出」ということで衝撃的だったのかもしれませんが、今回の宅ふぁいる便事件はその規模という点ではセキュリティ関係者などから史上最悪規模との評価がされています。
時系列としては1月22日に異常を確認し調査を開始、翌23日にはサービス停止に踏み切ります。
ここまでの対応はある程度早かったのかなという印象ですが、22日の内にサービス停止にまで踏み切るかどうかの議論がなされたのかが気になるところです。
さらに25日には情報漏えいを確認したとして詳細を公表、続けて26日に第2報、28日に第3報というのがここまでの流れです。
公表された内容としては、約480万件の氏名やメールアドレスと平文のパスワードが漏えいしたとされており、件数もさることながら「平文のパスワード」が流出したという事実に大きな波紋を呼びました。
一度に漏えいした件数として多い方という点もありますが、パスワードが平文のままこの規模で流出したという事例は他にはないと思われます。
今でも「クレジットカードの番号・有効期限・セキュリティコード」がセットで数千件漏えいするような事件は発生しますが、「数百万件規模のメールアドレスと平文パスワード」は史上最悪規模の影響と言わざるを得ないところです。
さらにサービスの特性を考えると、メールアドレスとパスワードはともかくとしても、生年月日、性別、 職業・業種・職種、居住地の都道府県名などの情報が必要だったのかという点は若干の疑問が残ります。
もちろん不正アクセス事件であることから犯人が悪いという点に疑いようはありませんが、運営元のオージス総研にいくつかの不手際があったのもまた事実でしょう。
発覚からサービスを停止し把握した事実を公表するまでの流れは「ある程度早いか、普通」という評価かもしれませんが、第3報を公表して以降1カ月近く音沙汰がありません。
例えばどのような体制で調査を継続しているか、セキュリティベンダーや捜査機関や第三者委員会などとどのような連携を進めているかなど、公表できそうな事項も想像できますが、何も公表されないのはただでさえ落ちてしまった信用をさらに落とすことに繋がる可能性があると言わざるを得ません。
そして最大の関心事は「何故パスワードが平分で保存されていたのか」という点が明らかになっていないことでしょう。
もちろん不正アクセスを許さないような体制での運用がなされていれば問題はなかったわけですが、仮にそれを許してしまってもパスワードが適切に暗号化されていれば傷はもう少し浅かった可能性はあります。
20年近い歴史を持つサービスであることから、開始当初からの「技術的負債」に引きずられ対応ができなかったのではないかという想像はできますが、それだけの歴史があれば何度もリニューアルのチャンスがあったのではないかとも思えるだけに、この辺りは今後の詳細な続報で明らかになって欲しいものです。
現在までに明らかになっていることを踏まえても、学ぶべきポイントが多くあります。
何よりも「複数のサービスでメールアドレスとパスワードを使い回すことがどのようなリスクなのか」という点が今回の事件で明らかになりました。
犯人の素性がわからないものの、480万件の「メールアドレスとパスワードの組み合わせ」が流出していることになり、これを利用したリスト型攻撃が発生する可能性は否定できないところです。
せめてパスワードを使いまわしていなければ、可能ならメールアドレスさえ拡張メールアドレスを使ってサービスごとに別のものにしていれば、リスト型攻撃で被害を受ける可能性は大きく低減されます。
そしてサービスを運営する側の視点としては、パスワードの平文保存は絶対にダメだということです。
今も昔も、それこそ技術的な理由だったりユーザビリティのためなどと言い訳をして平文保存をしているサービスやサイトが存在しますが、今回の事案を見て分かる通り、万が一漏えい事故が発生した際に批判を受けることは免れられません。
もちろん暗号化しておけば何でも良いというわけではなく、適度な強度を持った方式で暗号化やハッシュ化をして保存しておかなければなりません。
加えてもう一つ、情報公開のタイミングや情報量が適切でないとユーザや世間の印象がどんどん悪くなるというのもまた当たり前の事実として気付かされます。この辺りは組織としての意思決定や情報共有のスピード感にも左右されるため、日頃からの体制作りがいかに重要かということかもしれません。
今回の宅ふぁいる便の事件はサービス提供側の視点で見るといくつかの不手際が重複した結果、サービス継続に支障をきたすほどの致命傷を受けただけでなく、利用していたユーザ側にとってもメールアドレスと平文のパスワードが流出するという致命傷を受けてしまったことになります。
どちらの立場であっても致命傷を避けられたポイントがあったように感じられます。
そのポイントは押さえておきたいところです。
- 関連記事
- IT企業のデータ収集に「優越的地位の濫用」適用へ
- Tポイントカードに握られる個人情報
- IPAが「安全なウェブサイトの運用管理に向けての20ヶ条」を公開
- 同意なき情報収集の代償としての信頼
- 医療機関等がサイバー攻撃を受けた場合、厚労省医療技術情報推進室へ連絡を―厚労省