Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2019.08.26(月)

Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ)

株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 8 枚 拡大写真
株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

これは1月28日午後6時18分に、ユーザーからの問い合わせがあり社内調査を行ったところ、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明し、個人情報が第三者に閲覧可能な状態であったことが判明したというもの。

1月31日の第二報で発表された、漏えいした情報の詳細と件数は以下の通り。

○Peing-質問箱-内の情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス:最大1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード:最大949,480件
salt(パスワードを暗号化する際に付与されるデータ)
デバイストークン

○Peing-質問箱-と連携した他サービスにおける情報(連携したユーザーのみ)
・Twitter:登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット

・Instagram:OAuthアクセストークン

・Google:OAuthアクセストークン、OAuth id token、Googleアカウント名、登録氏名

・Facebook:OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレス

なお漏えいしたPeing-質問箱のトークン情報を使用して、Peing-質問箱-に登録されているメールアドレス、ハッシュ化されたパスワード、パスワード再発行の際に一時的に発行される仮パスワード、Twitterに登録されているメールアドレスの閲覧とTwitterへの書き込み、過去に行ったツイート情報(非公開ツイートの場合も含む)の閲覧、相手先を指定したダイレクトメッセージの送付などが可能だった。但し、Twitterアカウントへのログインは不可能であった。

同社での当該事象への修正対応は同日午後10時10分に完了し、現在は当該事象を用いた不正アクセスはできない。

なお同社が2018年10月26日に、外部のセキュリティリサーチャーから指摘を受けた事項と本件が関連しているという情報については指摘後に調査を実施し、2018年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認され対応完了としていた。

同社では、Peing-質問箱-またはPeing-質問箱-と連携しているTwitter、Instagram、Google、Facebook等のサービスと同一のメールアドレス、パスワードを使用して他のサービスを利用されているユーザーに対して、二次被害防止の為に該当サービスのログインパスワード変更を呼びかけている。

また漏えいした可能性のあるパスワードはハッシュ化されているため、同時に漏えいした可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能であったが、一般的に容易な方法では解析不可能で、現段階において確認された具体的な被害はないとのこと。

同社では今後、定期的な外部機関による調査を実施し不正アクセスの可能性を低減し、また不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、情報セキュリティ管理体制の強化を図り再発を防ぐ。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

    米裁判所が異例の常識的判断、Wannacry 仕留めた後 FBI に逮捕された英国人技術者を無罪放免(The Register)

  2. 「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

    「Webmin」の脆弱性を標的としたアクセスが増加(警察庁)

  3. 近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

    近畿地方整備局の保守業務事業者へ標的型メール攻撃、設備資料6件が流出可能性(国土交通省)

  4. DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

    DevOpsにはセキュリティ部門の関与が重要と認識するも実態は遠く(トレンドマイクロ)

  5. 新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

    新潟へぎそば通販サイトへ不正アクセス、2015年12月以降のカード決済情報流出(小嶋屋総本店)

  6. 権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

    権威DNSサーバ「NSD」にゾーンパーサがクラッシュする脆弱性(JPRS)

  7. 3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

    3,411件患者個人情報流出、データ匿名化するも運用の繁雑さから形骸化(横浜市立大学)

  8. 会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

    会員向けスマホアプリにパスワード型リスト攻撃、16,756件が閲覧された可能性(三井住友カード)

  9. 「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

    「セキュリティ要素が低い」とアカウント審査に誘導するAmazon偽メール(フィッシング対策協議会)

  10. 帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

    帰宅途中で会議書類一時紛失、対策として書類のペーパーレス化徹底も(大阪市)

ランキングをもっと見る