「宅ふぁいる便」のユーザー情報漏洩、漏洩したパスワードは暗号化されていなかった 93
ストーリー by hylom
2次被害が予想されます 部門より
2次被害が予想されます 部門より
25日、ファイルアップローダサービス「宅ふぁいる便」でユーザー情報が漏洩していたことが発覚したが(過去記事)、漏洩した情報には「暗号化されていない」パスワードが含まれていたという(宅ふぁいる便による「お知らせ」)。
これによると、「流出したログインパスワードは、暗号化されておりませんでした」とのこと。なお、1月29日17時時点で復旧の目処は立っておらず、また復旧するまで登録しているアドレス帳の内容や退会手続き、領収書の発行などが行えない状況だという。
FNN PRIMEの記事によると、同サービスは開始当初からパスワードを暗号化していなかったとのこと。この仕様が問題だという認識はあったようだが、具体的な対応はまだ行われていなかったという。また、アップロードされたファイルについては漏洩は確認されていないようだ。
パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:4, 参考になる)
3年前の総務省のwebサービス調査によると
http://www.soumu.go.jp/main_content/000370852.pdf [soumu.go.jp]
パスワードの暗号化もハッシュ化もしてないのが14%もある。
ただ、この調査は200社弱に調査協力を依頼して28社だけしか回答してもらえなかったものなので、回答した会社はかなりちゃんとしたところ(つまりダメダメな会社はガン無視)なので実際はもっと低いのではないかと推測される。
Re:パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:1)
一概にハッシュ化と言ってもどのようなアルゴリズムを使っているのかも調べたほうがいいですね。
ハッシュアルゴリズム、鍵導出アルゴリズム、イテレーション回数などで大きく変わってきます。
パスワードベースの鍵導出関数(PBKDF2やscryptなど)を
どのように使うべきか規格らしいものが定められていないので
「CRYPTREC暗号リスト」などにもこういった基準を追加すべきではないかと思います。
Re:パスワードの暗号化もハッシュ化もしてないサービスは14%(かもっと多い) (スコア:1)
みんな理屈としてはハッシュと塩にして…は理解してても
・パスワード忘れたときに再発行ではなく教えてほしいって客の要望に屈した
・連携する外部のシステムがあれこれのauthorizationの仕組み使ってなくて平文でID/PW渡すしかない
でパスワードを復号できる形で永続化する事例多々多々なんだよな。特に後者はエコシステム全体を汚染していく。悲惨だ。
ちょっと前に (スコア:2)
パスワードハッシュ化の作業やって結構しんどくて、だからって誰かがすぐ嬉しがる改修でもなくて、まあ淡々とやったことがある。
あのときに巻き戻ってすこしはほめてくれないかな。みんな即物的なんだよな。
Re: (スコア:0)
エライ人は往々にしてそうなことしても利益にならないとしか考えないですもんね
Re: (スコア:0)
そこら辺はフレームワークで用意された機能使うだけじゃねーの
と思ったけど既存の平文をそれに合わせて直すとかだと結構大変そうだな
昔の2chを思い出す (スコア:1)
この件と直接関係はないと思うけど、昔はパスワードハッシュへの理解って低かったよね。昔々の2chに「パワハラしたらエンジニアが辞めちゃって、顧客から顧客情報の問い合わせがあって、問い詰めたけど暗号化を解除する方法をどうしても吐かない、解読不可能だと嘘をついている。誰か手伝ってくれ」って大意の質問があったなあ。
スレ住民がエスパーしてその「顧客情報」はパスワードのことで、「解読不可能な暗号」はハッシュ化のことで、つまり解読は不可能だけどする必要もなく、単に古いパスワードを消して再登録させればいいんだ、新しいエンジニアを探してそう依頼しろとこんこんと説明して何とか納得させてた覚えがある。
それで納得しない人がいると、では平文保存、となっちゃうのかなあ。
Re:昔の2chを思い出す (スコア:1)
昔はハッシュ関数でもなくDESや3DESだった。(未だにパスワード8文字制限の所があってげんなりする)
今なら数秒で解読できるけど、まだそういう昔の方法や弱いハッシュ使っているところも多いのだろうな
Re:昔の2chを思い出す (スコア:1)
実際、ADですら「復元可能な形でパスワードを保存」なんてオプションがあるくらいだから、
ハッシュでは対応できない認証システムは山のようにある。
大企業のイントラで導入されてる「統合認証基盤」はだいたいそう。
Re:昔の2chを思い出す (スコア:1)
以前にもスラドでどこかの時に書きましたが
偉い人が「コールセンターがパスワードを回答出来ないとはサービスレベルが低い」とハッシュ保存を嫌がる場合が多々あるのですよ
DBでは暗号化までは許すがCRMのGUI側では簡単に復号され確認できるようにしろとか・・・
後は顧客分析に必要だから手軽に個人情報付きで顧客情報ダウンロードさせろとか
部下が進言したところで「お前の常識だろ」と聞きやしない、外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか
「何でお前たちは漏れる事前提で話すんだ、漏れるシステムが悪いんだろ」とか
Re:昔の2chを思い出す (スコア:1)
そもそも暗号化自体が「のぞき見られた状況を想定している」って事を理解していない人が多い。
暗号化しなければいけないとか言われているからしてる、ってレベルの人たち。
自組織がそんな感じだったら、さっさと言われたとおりに設計実装して、保守フェイズが始まる頃には
退職できる段取りを整えておいた方がよさげ。
Re: (スコア:0)
これについては、今回このように巨大な他山の石というか、聳え立つ糞の山が建立されたので、その手の輩に対して前より説得は楽そう。
被害に遭った人には悪いけど……
Re: (スコア:0)
外部のコンサルから言われても「ビジネスにリスクは付き物だ」とか
結局これが発動するから科学的なビジネスをやってないうちは何があってもダメなんじゃないの
すば洞 (スコア:2)
後者はおまけに、開発者の方も気軽にCSVエクスポート機能とか追加しちゃいそうやしなあ。
パスワード漏れてるのに、ファイル漏洩は無いって確認できるの? (スコア:0)
利用者が常に同じ端末でログインするとは限らないし、
利用者以外が流出したパスワードを使って、
不正にログインしていない事を確認できるの?
Re: (スコア:0)
>アップロードされたファイルについては漏洩は確認されていないようだ。
どこ情報だろうね
Re: (スコア:0)
ファイル漏洩に限った話ではないですが、
「... 漏洩/悪用は確認されていない」はいわゆる定型句で、
「俺は聞いてない」の婉曲表現に当たります。
たとえ社外などからクレームが上がっても、
聞いていないことにすれば「確認されていない」にできますので、
非常に便利な定型句だったりします。
Re: (スコア:0)
元記事に確認されていない、なんて書いてないんだよな
Re: (スコア:0)
そんなこと言ったら漏洩してなくても「可能性はある」としか言えない。我々が欲しいのはそういう情報じゃないんだが。
Re: (スコア:0)
たとえアップロードされてたファイルと同じファイルの流出が確認されても、ユーザー側が「宅ふぁいる便」から漏洩したことはそうそう立証できないからね。
漏洩させた不正アクセスの犯人を逮捕してPC押収して、痕跡とログがとれたら辛うじて証拠にはなるけど、現実的じゃないし。
Re: (スコア:0)
あくまでもデータ送信の為のサービスなのでログインできても過去にアップロードしたファイルをダウンロードできるわけではありませんよ。(過去にアップロードしたファイルを画面上で確認出来るようになっていないし、アップロードしたファイルも3日で削除されてしまう)
後、ダウンロードはメール通知されたURLでおこなう仕様なので、そのURLにアクセスがない限り、漏洩していないと言って良いかと思います。
便が漏洩 (スコア:0)
さっさと復旧しろ
Re: (スコア:0)
漏洩したデータをどう復旧しろと
Re: (スコア:0)
早くサービスを再開しろという意味では?
Re: (スコア:0)
クソ漏らしというあだ名がついた俺の名誉挽回してくれってことだよね。
開発期間の短さを誇っていたが (スコア:0)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
Re:開発期間の短さを誇っていたが (スコア:4, 興味深い)
誇れるような実装でもなければ認識もダメダメだったわけだ。
今後はサービスを始める前にセキュリティ監査を受けることを義務付けるべきかもね。
この宅ふぁいる便のサービスをしてた大阪ガスの子会社オージス総研、ISMS適合性評価制度の認証を取ってるんだよな
ISMS(情報セキュリティマネジメントシステム)適合とはいったいなんなのか(哲学
Re:開発期間の短さを誇っていたが (スコア:5, 興味深い)
ISMSは、情報のセキュリティについて、リスクに対する計画の作成と実行、承認、監査を行うシステムです。
ですので、計画の作成者がリスクに対する計画を作っていない場合、それがどんな大きなリスクであっても、ISMSには影響しません。
そして、計画を作るのは、現場の人間が作るので、申請しやすい内容にしかなりません。
#ISMSやISO、Pマークなんてのはあくまで、該当のシステムに沿った監査を行った証でしかないのです。
#第三者機関が内から・外からセキュリティリスクを洗い出ししてるわけではないので・・・
Re:開発期間の短さを誇っていたが (スコア:1)
存在しないものに名を授ける神学的行為なのでは?
Re:開発期間の短さを誇っていたが (スコア:1)
ISMSは最低限守るべき手続きの規定しかない。
ISMSも取れない企業は信用に値しないことは間違いないが、
ISMSを取ってるからと言っても信頼はできない。
Re: (スコア:0)
ISMSとってる大手なんか信用してはいけません。
大手PJのセキュリティチェック行為はザルで、効率下げているだけなので直ちに停止しろ。
Re: (スコア:0)
プライバシーマーク(笑)と同じようなもんですよ
Re: (スコア:0)
嘘偽らざる日本の技術力ってのはこんなもんでしょ。監査やら対策やらしたところでパスワードの定期変更とか.exe形式自己解凍書庫導入とか、わざわざ事故が起こるように状況を悪化させておいて「悪化させなかったらお前は責任を取れるのか」とか反論を封じるようなことしかできないし。
Re: (スコア:0)
セキュリティ監査をやっても、監査する側が身内だったりお仲間だったりしますし、
場合によっては「コンピュータなんて難しくて使えん!紙が最高!」っていうお爺ちゃんが
書類審査にやってくるだけだったりすることもあります(いずれも実話)ので、あまり期待はできないですね。
とはいえ、完全に知識を持った第三者がやってきたら、それはそれで今度は監査を受ける側が
機密漏洩を気にしそうですが・・・
Re:開発期間の短さを誇っていたが (スコア:1)
せっかくセキスペ(情報処理安全確保支援士)を士業にしたんだし、一定以上の個人情報を運用するには有資格者の監査必須にすればいいのに。
Re:開発期間の短さを誇っていたが (スコア:1)
情報処理安全確保支援士検索サービス
https://riss.ipa.go.jp/ [ipa.go.jp]
オージス総研で検索したら、28人の情報処理安全確保支援士が見つかりましたw
Re: (スコア:0)
えっ、監査って普段からきちんと対応してると監査人が仕事してない気になって面倒なこといいだすから、
あえて2,3差しさわりのない改善できる内容をそれとなく用意しておいてあげるものでしょ。
意味なんてあるわけないじゃん。
暗号化 (スコア:0)
上の方の人「おい!パスワード忘れたと言われたどうするんだ!」
末端「暗合なんで復号できるから大丈夫です!」
上の方の人「許可する」
Re:暗号化 (スコア:1)
>上の方の人「おい!パスワード忘れたと言われたどうするんだ!」
つ ユーザ情報確認の上でパスワード再発行
というのが通常フローだと思ってた。
#「通常」ってなんやろ。
Re:暗号化 (スコア:1)
1回のみ使用可、時間制限つきパスコードを発行して、それを使って本人がパスワード再設定、というのがスタンダードな方法だと思います。
パスワード自体の再設定を許すと、オペレータがそれを使えてしまうので。
Re:暗号化 (スコア:1)
サーセン、いつも甘えさせてもらってます m(_ _)m
#年1回くらいしか使わないシステムは覚えるより初期化/再設定するほうが楽
Re: (スコア:0)
いや実際、パスワードを復元しなきゃいけないってこともなくはないわけで、復号できないハッシュじゃなく、復号できる暗号化もありなんじゃないかと思うよ。
いくつか暗号化のキーがあって、そのうち一定数のキーが揃わないと復号できないとか、色々な仕組みは既にあるわけなんだけど、もっと簡単に使えるようにならないものか。
Re: (スコア:0)
ねぇよ。複合しなきゃならん仕組みになってる時点でダメダメ。
漏洩した個人情報の中に、配偶者の有無 子供の有無 (スコア:0)
とかあるんですけど。 なんでこの種のサービスにそんな情報がいるんですかね?
Re: (スコア:0)
テケトーに答えときゃいいだろそんなもん
無料サービスになんか本名さえ渡したくない罠
Re: (スコア:0)
登録情報が気になりますねー
特に住所では昔「ナメック星/ムーミン谷/ペンギン村」あたりがよくつかわれてましたが
今はどうなんでしょ?
ψアレゲな事を真面目にやることこそアレゲだと思う。
Re:漏洩した個人情報の中に、配偶者の有無 子供の有無 (スコア:1)
住所:シムイティ
ってのはやったことある
Re:漏洩した個人情報の中に、配偶者の有無 子供の有無 (スコア:1)
(typoした… シムシティ です。ボケで噛んで恥ずかしい…)
Re: (スコア:0)
研究学園都市計画事業B84街区1画とか。
#調べたら家の近所のコンビニの住所だった・・・・
#いまはフツーな住所になっちゃったけど
Re: (スコア:0)
登録画面が寂しいから適当に作ったとかいうものでしょ。
昔から無意味に情報とることがリストと散々バカにされてる話じゃん。