パスワードを忘れた? アカウント作成
13826845 story
IT

「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 93

ストーリー by hylom
2次被害が予想されます 部門より

25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが(過去記事)、漏洩した情報には「暗号化されていない」パスワードが含まれていたという(宅ふぁいる便による「お知らせ」)。

これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。

FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 3年前の総務省のwebサービス調査によると
    http://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]
    パスワードの暗号化もハッシュ化もしてないのが14%もある。

    ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。

    • 一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。
      ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。

      パスワードベースの鍵導出関数(PBKDF2やscryptなど)を
      どのように使うべきか規格らしいものが定められていないので
      「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。

      親コメント
    • みんな理屈としてはハッシュと塩にして…は理解してても
      ・パスワード忘れたときに再発行ではなく教えてほしいって客の要望に屈した
      ・連携する外部のシステムがあれこれのauthorizationの仕組み使ってなくて平文でID/PW渡すしかない
      でパスワードを復号できる形で永続化する事例多々多々なんだよな。特に後者はエコシステム全体を汚染していく。悲惨だ。

      親コメント
  • パスワードハッシュ化の作業やって結構しんどくて、だからって誰かがすぐ嬉しがる改修でもなくて、まあ淡々とやったことがある。

    あのときに巻き戻ってすこしはほめてくれないかな。みんな即物的なんだよな。

    • by Anonymous Coward

      エライ人は往々にしてそうなことしても利益にならないとしか考えないですもんね

    • by Anonymous Coward

      そこら辺はフレームワークで用意された機能使うだけじゃねーの
      と思ったけど既存の平文をそれに合わせて直すとかだと結構大変そうだな

  • by Anonymous Coward on 2019年01月30日 19時25分 (#3557074)

    この件と直接関係はないと思うけど、昔はパスワードハッシュへの理解って低かったよね。昔々の2chに「パワハラしたらエンジニアが辞めちゃって、顧客から顧客情報の問い合わせがあって、問い詰めたけど暗号化を解除する方法をどうしても吐かない、解読不可能だと嘘をついている。誰か手伝ってくれ」って大意の質問があったなあ。

    スレ住民がエスパーしてその「顧客情報」はパスワードのことで、「解読不可能な暗号」はハッシュ化のことで、つまり解読は不可能だけどする必要もなく、単に古いパスワードを消して再登録させればいいんだ、新しいエンジニアを探してそう依頼しろとこんこんと説明して何とか納得させてた覚えがある。

    それで納得しない人がいると、では平文保存、となっちゃうのかなあ。

    • by shesee (27226) on 2019年01月30日 19時36分 (#3557082) 日記

      昔はハッシュ関数でもなくDESや3DESだった。(未だにパスワード8文字制限の所があってげんなりする)
      今なら数秒で解読できるけど、まだそういう昔の方法や弱いハッシュ使っているところも多いのだろうな

      親コメント
      • by Anonymous Coward on 2019年01月30日 21時35分 (#3557169)

        実際、ADですら「復元可能な形でパスワードを保存」なんてオプションがあるくらいだから、
        ハッシュでは対応できない認証システムは山のようにある。

        大企業のイントラで導入されてる「統合認証基盤」はだいたいそう。

        親コメント
    • by Anonymous Coward on 2019年01月30日 20時30分 (#3557120)

      以前にもスラドでどこかの時に書きましたが
      偉い人が「コールセンターがパスワードを回答出来ないとはサービスレベルが低い」とハッシュ保存を嫌がる場合が多々あるのですよ
      DBでは暗号化までは許すがCRMのGUI側では簡単に復号され確認できるようにしろとか・・・
      後は顧客分析に必要だから手軽に個人情報付きで顧客情報ダウンロードさせろとか
      部下が進言したところで「お前の常識だろ」と聞きやしない、外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか
      「何でお前たちは漏れる事前提で話すんだ、漏れるシステムが悪いんだろ」とか

      親コメント
      • そもそも暗号化自体が「のぞき見られた状況を想定している」って事を理解していない人が多い。
        暗号化しなければいけないとか言われているからしてる、ってレベルの人たち。

        自組織がそんな感じだったら、さっさと言われたとおりに設計実装して、保守フェイズが始まる頃には
        退職できる段取りを整えておいた方がよさげ。

        親コメント
      • by Anonymous Coward

        これについては、今回このように巨大な他山の石というか、聳え立つ糞の山が建立されたので、その手の輩に対して前より説得は楽そう。

        被害に遭った人には悪いけど……

        • by Anonymous Coward

          外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか

          結局これが発動するから科学的なビジネスをやってないうちは何があってもダメなんじゃないの

  • 利用者が常に同じ端末でログインするとは限らないし、
    利用者以外が流出したパスワードを使って、
    不正にログインしていない事を確認できるの?

    • by Anonymous Coward

      >アップロードされたファイルについては漏洩は確認されていないようだ。

      どこ情報だろうね

    • by Anonymous Coward

      ファイル漏洩に限った話ではないですが、
      「... 漏洩/悪用は確認されていない」はいわゆる定型句で、
      「俺は聞いてない」の婉曲表現に当たります。

      たとえ社外などからクレームが上がっても、
      聞いていないことにすれば「確認されていない」にできますので、
      非常に便利な定型句だったりします。

      • by Anonymous Coward

        元記事に確認されていない、なんて書いてないんだよな

    • by Anonymous Coward

      そんなこと言ったら漏洩してなくても「可能性はある」としか言えない。我々が欲しいのはそういう情報じゃないんだが。

      • by Anonymous Coward

        たとえアップロードされてたファイルと同じファイルの流出が確認されても、ユーザー側が「宅ふぁいる便」から漏洩したことはそうそう立証できないからね。
        漏洩させた不正アクセスの犯人を逮捕してPC押収して、痕跡とログがとれたら辛うじて証拠にはなるけど、現実的じゃないし。

    • by Anonymous Coward

      あくまでもデータ送信の為のサービスなのでログインできても過去にアップロードしたファイルをダウンロードできるわけではありませんよ。(過去にアップロードしたファイルを画面上で確認出来るようになっていないし、アップロードしたファイルも3日で削除されてしまう)

      後、ダウンロードはメール通知されたURLでおこなう仕様なので、そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。

  • by Anonymous Coward on 2019年01月30日 18時54分 (#3557066)

    さっさと復旧しろ

    • by Anonymous Coward

      漏洩したデータをどう復旧しろと

      • by Anonymous Coward

        早くサービスを再開しろという意味では?

      • by Anonymous Coward

        クソ漏らしというあだ名がついた俺の名誉挽回してくれってことだよね。

  • by Anonymous Coward on 2019年01月30日 19時31分 (#3557078)

    誇れるような実装でもなければ認識もダメダメだったわけだ。
    今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。

    • by simon (1336) on 2019年01月30日 20時12分 (#3557104)

      誇れるような実装でもなければ認識もダメダメだったわけだ。
      今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。

      この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな

      ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学

      親コメント
      • by Anonymous Coward on 2019年01月30日 21時43分 (#3557174)

        ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。
        ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。
        そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。

        #ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。
        #第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・

        親コメント
      • by Anonymous Coward on 2019年01月30日 20時18分 (#3557111)

        存在しないものに名を授ける神学的行為なのでは?

        親コメント
      • by Anonymous Coward on 2019年01月30日 21時38分 (#3557172)

        ISMSは最低限守るべき手続きの規定しかない。

        ISMSも取れない企業は信用に値しないことは間違いないが、
        ISMSを取ってるからと言っても信頼はできない。

        親コメント
      • by Anonymous Coward

        ISMSとってる大手なんか信用してはいけません。
        大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。

      • by Anonymous Coward

        プライバシーマーク(笑)と同じようなもんですよ

    • by Anonymous Coward

      嘘偽らざる日本の技術力ってのはこんなもんでしょ。監査やら対策やらしたところでパスワードの定期変更とか.exe形式自己解凍書庫導入とか、わざわざ事故が起こるように状況を悪化させておいて「悪化させなかったらお前は責任を取れるのか」とか反論を封じるようなことしかできないし。

    • by Anonymous Coward

      セキュリティ監査をやっても、監査する側が身内だったりお仲間だったりしますし、
      場合によっては「コンピュータなんて難しくて使えん!紙が最高!」っていうお爺ちゃんが
      書類審査にやってくるだけだったりすることもあります(いずれも実話)ので、あまり期待はできないですね。

      とはいえ、完全に知識を持った第三者がやってきたら、それはそれで今度は監査を受ける側が
      機密漏洩を気にしそうですが・・・

  • by Anonymous Coward on 2019年01月30日 19時56分 (#3557094)

    上の方の人「おい!パスワード忘れたと言われたどうするんだ!」
    末端「暗合なんで復号できるから大丈夫です!」
    上の方の人「許可する」

    • by nemui4 (20313) on 2019年01月31日 6時24分 (#3557272) 日記

      >上の方の人「おい!パスワード忘れたと言われたどうするんだ!」

      つ ユーザ情報確認の上でパスワード再発行

      というのが通常フローだと思ってた。

      #「通常」ってなんやろ。

      親コメント
      • by nim (10479) on 2019年02月01日 12時28分 (#3558053)

        1回のみ使用可、時間制限つきパスコードを発行して、それを使って本人がパスワード再設定、というのがスタンダードな方法だと思います。

        パスワード自体の再設定を許すと、オペレータがそれを使えてしまうので。

        親コメント
    • by Anonymous Coward

      いや実際、パスワードを復元しなきゃいけないってこともなくはないわけで、復号できないハッシュじゃなく、復号できる暗号化もありなんじゃないかと思うよ。

      いくつか暗号化のキーがあって、そのうち一定数のキーが揃わないと復号できないとか、色々な仕組みは既にあるわけなんだけど、もっと簡単に使えるようにならないものか。

      • by Anonymous Coward

        ねぇよ。複合しなきゃならん仕組みになってる時点でダメダメ。

  • by Anonymous Coward on 2019年01月30日 20時46分 (#3557127)

    とかあるんですけど。 なんでこの種のサービスにそんな情報がいるんですかね?

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...