「宅ふぁいる便」と「Peing」の情報漏えいの違いとリスク

2つの漏えい事件について

2019年1月末、2つのサービスで大規模な情報漏えい(Peingは実質的にその危険に晒されていた)の事件が発生した。

一つはファイル転送サービスである「宅ふぁいる便」約480万件。
もう一つはTwitter上で匿名で質問を送る俗に「質問箱」と言われる「Peing」約150万件弱。
※なお、実際に漏えいしていたのは、APIトークン。直接的な情報については、そのAPIトークンを利用して二次的に漏えいしていた可能性がある、という状況)

どちらも極めて個人や企業に結びつきやすいサービスであった。
情報漏えい自体は、Webサービス提供者として最も注意するべきリスクの一つである。
ただ、今回の2件の漏えい事件には一つ違いがあり、短期長期的双方から鑑みて利用者影響の観点では大きな差が生まれた。

パスワードのハッシュ化有無の違い

この2つのサービスに限らず、登録時、利用者は

  • アカウント名(メールアドレス)
  • パスワード

を登録することがほとんどだ。
このとき、Webサービス側ではそれらを管理する単純な方法として
「パスワードをそのまま(平文のまま)保存する」という方法が考えられる。
こちらは「宅ふぁいる便」のケースである。
ただ、現在では特別な事情がない限り、パスワードの平文での管理はされてはならない

もう一つは「パスワードに何らかの加工を行って保存する」という方法が考えられる。
それをする理由は、後述する情報漏えい時の重大なリスクを現実的に無害化するためである。
つまり、パスワードをそのまま持っていることは、漏れたときにいろいろまずいことが起きるわけだが、だったら、もともとのパスワードとは違う形に変更して保存しておけば悪用されないよね?という論理である。
これを実現するための方法の一つがハッシュ化である。

ハッシュ化について

ハッシュ化は、ハッシュ関数と呼ばれる処理によってある固定長(必ず決まった文字数)の文字列(ダイジェストと呼ばれる)に変換する方法である。
つまり、直接パスワードを管理せずハッシュ関数で処理し、ダイジェストを保管しておく、という寸法だ。ハッシュ関数が同じである限り、必ず同じダイジェストに変換されるので、同一性を(天文学的な確率を無視すれば)保証できる。
また、ハッシュ関数の特徴の一つとして、ダイジェストから元のパスワードに戻すことは(天文学的な時間を掛けなければ)できない。事実上不可逆である。

Wikipedia - 暗号化的ハッシュ関数より引用
ハッシュ化は「Peing」が実施していた方法であり、現代のWebサービスでは、常識とされている方法だ。
まあ「常識」とはいいつつも、巨大なサービスであるTwitterでさえ2018年5月というつい最近まで平文のパスワードを内部ログに保存してしまう不具合を抱えていた(記事)ので、必ずしもその常識を信用していいものではない。
ただ、絶対に特定できない、というわけでなく、上に書いたカッコ書きのとおり、天文学的な時間を掛けたりなどすれば理論的には特定が可能である。これが、PeingがPeing-質問箱-における情報漏洩についてお詫びとご説明(第二報)で言及されていることと言える。
 なお、漏洩した可能性のあるパスワードはハッシュ化されており、同時に漏洩した可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能な状況となっておりましたが、一般的に容易な方法では解析不可能であり、現段階において確認された具体的な被害はございません。
Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報)より引用

なので、実際のところ天文学的な時間を掛けるようなことをする人はいないので、Peing利用者は、”今のところは”漏洩された情報をもとに特定されないと思っていい。
※ "今のところは"というのは、現在の機械性能や技術では容易とは言えない、だけであり、
  • 今後機械性能が上がった
  • 計算技術が向上した
  • 使われたハッシュ関数の脆弱性が発覚した
などした場合には、その限りでない、ということだ。理論的には時間をかければ、必ず判明することになる。それが1年後か、10年後か、100年後か天文学的な時間を費やすのかは、神のみぞ知るとしか言えない。

一方、「宅ふぁいる便」については、パスワードも平文で管理されていた。つまり、手に入れさえできれば、すぐに悪用できる状態にある。では、そのリスクはなにか。

情報漏えい時のリスク

漏洩したサービスに直接なりすましによる不正アクセス

一つは、直接そのサービスに、例えば「宅ふぁいる便」の既存のユーザーになりすますことができる、ということ。ただ、これは漏えいが発覚したときに、攻撃が不可能になる。つまり、現在の宅ふぁいる便のようにサービス停止してしまえば悪用もできない、ということだ。
じゃあ、停止したから安心かというとそうでない。「二次的な被害が半永久的に生まれる可能性」がある。

他のサービスでなりすますことによる不正アクセス

二次的な被害というのは、つまり「ユーザーがパスワードを使い回していることによる他のサービスでの不正アクセス」だ。
もしユーザーが他のサービスで同じメールアドレス、同じパスワードの組み合わせを使いまわしていた場合、不正アクセスを許すことになる。重大なことは、当の本人が気をつける以外、誰も気づけない。
なので、ユーザーは漏えい事件が起きた場合に、自主的にチェックしてパスワードを変更しなければならない。これを行う責任は、ユーザーにある。
そういったことを考えると、そもそもとして「パスワードの使い回しをしない」ということも重要だ。
また、二段階認証などの副次的な認証方法も設定しておけば、パスワードが漏れただけではログインできない、などという防御策もあるので、対策しておくことが望ましい。

個人情報をもとにしてなりすますことによる情報搾取

「宅ふぁいる便」では生年月日なども漏れている。例えば、パスワードの再発行に生年月日を聞くサービスもある。つまり、パスワードを変更して対策を取ったとしても、他に漏れた個人情報を利用して、パスワードを再発行する、などと言った方法も考えられる。
この方法は必ずしも容易なものではないが、カスタマーデスクの個人確認が適当だったりすると、それで悪用されることもある。

行うべき対策

宅ふぁいる便およびPeingを使っていたユーザーは、他のサービスで同じメールアドレスとパスワードの組み合わせを使いまわしていた場合、パスワードを変更するべきだ。
特に、宅ふぁいる便のユーザーについては、すぐに悪用されるリスクがあるので直ちに行うべきである。
一方、Peingのユーザーは、今日明日で解析されたり悪用されることはないと考えて差し支えない。だからといって、そのまま放置しておいて、数年後に解析が可能になったときに悪用される…という事も万が一にもないとは言い切れないので、なるべく早めに他のサービスのパスワードを変更しておくほうが望ましい。

宅ふぁいる便のユーザーに関しては、同じメールアドレスで登録している他のサービスに関して、可能ならメールアドレスの変更をしておくことが望ましい。容易ではないが、個人情報をもとになりすましを行うことができる危険性がある。残念ながらこのリスクは、可能性は低いものの漏えい情報がネット上で流通される限り半永久的につきまとい続けるリスクだ。

Peingのユーザーについて、ここでは言及しなかったが、Twitterや他のOpenIDのサービスと連携している場合は、その連携を切るようにしよう。連携は、Peing側でなくTwitter側など連携側のサービスから切ることができる。
この連携を放置しておいて、アカウントそのものを乗っ取られることはないが、Twitterについては無断で投稿できるなどのリスクがある。連携を切る(と言っていたが、発行したOAuthトークンを無効化する)ことができれば、そのリスクは解消される。

まとめ

2019年1月に発生した2つの漏えい事件について言及した。
Webサービスのパスワード管理において、ずさんな管理をされていることにより、ユーザー側で発生するリスクについて言及した。また、そのリスクはユーザー側でパスワードを使い回すなどによって、他のサービスにも波及することを言及した。
漏えいしたときの対策についても言及した。ただ、必ずしも完璧に防げるとは言えないので、気をつけ続けるべきだ。

Scrapboxにもメモをしているのでリンクを張っておく。

コメント

コメントを投稿

このブログの人気の投稿

リモートワークをLogicoolのマウスとキーボードで複数PC切り替えて優勝した

イメージ
デバイス多すぎるんやが問題 仕事上シンクライアントPCを支給されているのだけれども、当然キーボードとマウスが増えるのでとても面倒くさい。 シンクライアントPCはノートPCなのでノートのキーボード使えやって話でもあるけど、使いにくいでしょ? ということで、自前のをつないでいるんだけれど、メインPCでも調べごとしながらしているとなかなか作業場が厄介になる。 メインで使っているのはMXREGOじゃない 上図のマウス1に当たる部分はLogicoolのMX REGOというトラックボールマウスである 「そういえばこれPC2台接続できるじゃない? ということで、ついでにキーボードも切り替えできるものとしてK375sを購入した Logicool K375s Multi-Device Wireless Keyboard & Stand Combo 構成 問題点 シンクライアントPCにLogicoolのソフト入れられない シンクライアントPCなのでLogicoolのPCにUnifyingソフトウェアを入れることができない。 つまり設定することができない つまり詰んだ? ぴえん🥺 解決法 「聞こえますか…UnifyingはBIOSで認識できるのです...」 アラサーおじさんが泣いていると直接脳内に声が聞こえました。 アメージング! Unifyingレシーバーは直接デバイスとペアリングしているのです! ここらへんの仕様を調べたのですが、Logicoolのホワイトペーパーとかも見当たらないし、今ひとつつかめないんですよね。 同じような無線仕様のBluetoothはアプリケーションレベルで解決してるっぽい?のですが、Unifyingはハードウェアレベルで解決してるようですね。 話はそれましたが、解決法はこうです。 メインPCに2つ目のレシーバーを挿す 通常どおりペアリングする そのレシーバーを外しメインPCには元のレシーバーを挿す シンクラPCに2つ目のレシーバーを挿す これで解決できました。レシーバー上にペアリング情報が残るのですね。なので、こういった他PCでペアリングして指し直して使うという取り回しができるようですね。 リモートワークも一組のキーボードとマウスですむようになった
続きを読む

VBAでのInterfaceやキャスト

前段 個人的に、Excel VBAを仕事で組む機会がある。 自由に組んでいるので、いろいろと設計方法、実装方法を考える。 VBAのインターフェース VBAにはJavaでいうextendsのような継承はない。 Interfaceがあるので、ポリモーフィズムを実現するときは、これを使うのが一つの方法論だ。 ただ、インターフェースは、というか、VBAはクラスのキャストができない。 インターフェイス自体が、そうする性質のものではないのだが、つい欲しくなるときがある。 Object型 さて、話は変わるが、VBAには、Object型というものがある。 平たく言うと、あらゆるクラスに適する型である。あらゆるクラスのスーパークラスと思うと話が早い。 そして、Objcet型からは元のクラスで実装したプロシージャを呼ぶことができる。ObjectによるポリモーフィズムもVBAでは可能、といえる。 なので、ダウンキャストを実現するために、インターフェイスでインスタンスが自己をObjectで出力するためのメソッドを定義してあげることで、スーパークラスからサブクラスへのキャストを実現する。 実装例 Class InterfaceClass '' プロパティ Public porp as String  '' イミディエイトウィンドウに出力する Public Sub printOut() As String End Sub '' 自己をObject型で出力する Public Function Object() As Object End Function Class ImplementClass '' InterfaceClassを実装する Implements InterfaceClass '' スーパークラスのGet,Letのため、 '' 値を保持しておくためのプロパティ Private prop As String '' Getter Public Property Get InterfaceClass_prop() As String InterfaceClass_prop = prop End Property
続きを読む

SUPERHOTがいかにSUPERHOTか語りたい

イメージ
注意 ただの感想の垂れ流しです 全世界が驚愕した待望したゲーム性 SUPER HOT は、今までで3作でている。 SUPER HOT (以下SUPERHOT) SUPER HOT VR(以下VR) SUPER HOT : MIND CONTROL DELETE(以下DELETE) SUPERHOTは2013年にKickStarterでクラウンドファンディングされて、見事成立させできたゲームだ。 このゲーム性は、シンプルかつ非常に魅力的なものだった。 「自分が動いている間だけ時間が進む。自分が動かなければ(ほとんど)すべてが止まる」 映画MATRIXの有名な場面のように 弾丸が止まって見える を体現したゲームだったのだ。 死角から弾丸が発射されても、軌道を見てから紙一重で避けて、反撃する。そんな映画みたいな演出を実体験できる。 ブラウザでできるプロトタイプからそれが実現できていた。 プロトタイプを再生する-SUPERHOT クラウンドファンディングが成功して当然のゲームなのだ。 質実剛健なグラフィック SUPERHOTが発売されたものは、グラフィック自体は特に凝っているわけではなかった。すべて3Dグラフィックだが、ポリゴンチックで2013年当時でもきめ細かいグラフィックとは言えない。 ただ、その表現が非常にゲームとしてシンプルかつ機能美を追求したものだった。 敵は赤色 武器は黒色 ステージなどその他は白色 直感的でゲームを理解できる。そして、敵キャラクターはほとんど同じ造形のポリゴン。ただの記号だ。 ゲームはゲーム。下手な感情移入など不要。そう言わんばかりの作りだ。 先の「映画的な楽しみ方」を100%没頭させるゲームなのだ。 シンプルなゲーム性に高い戦略性 しかし、一言でいうとこのゲーム「死にゲー」である。 ルールハシンプルだが、かなりの高い戦略性を求められる。 1対1で射撃戦を講じるなら余裕だろう。しかし、このゲーム敵がわんさか出て、1対多を必然的に求められる。 360度どこから弾丸が飛んでくるか分からない。故に、全体を見渡しての状況把握が必要となる。 そうやって視点を動かしている間に背後を取られる、などというのもしばしば起こる。 そして、「ゲームオーバー」 さながら、ワンマンアーミーの過酷さ
続きを読む