Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ) | ScanNetSecurity
2024.04.26(金)

Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ)

株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 8 枚 拡大写真
株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

これは1月28日午後6時18分に、ユーザーからの問い合わせがあり社内調査を行ったところ、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明し、個人情報が第三者に閲覧可能な状態であったことが判明したというもの。

1月31日の第二報で発表された、漏えいした情報の詳細と件数は以下の通り。

○Peing-質問箱-内の情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス:最大1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード:最大949,480件
salt(パスワードを暗号化する際に付与されるデータ)
デバイストークン

○Peing-質問箱-と連携した他サービスにおける情報(連携したユーザーのみ)
・Twitter:登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット

・Instagram:OAuthアクセストークン

・Google:OAuthアクセストークン、OAuth id token、Googleアカウント名、登録氏名

・Facebook:OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレス

なお漏えいしたPeing-質問箱のトークン情報を使用して、Peing-質問箱-に登録されているメールアドレス、ハッシュ化されたパスワード、パスワード再発行の際に一時的に発行される仮パスワード、Twitterに登録されているメールアドレスの閲覧とTwitterへの書き込み、過去に行ったツイート情報(非公開ツイートの場合も含む)の閲覧、相手先を指定したダイレクトメッセージの送付などが可能だった。但し、Twitterアカウントへのログインは不可能であった。

同社での当該事象への修正対応は同日午後10時10分に完了し、現在は当該事象を用いた不正アクセスはできない。

なお同社が2018年10月26日に、外部のセキュリティリサーチャーから指摘を受けた事項と本件が関連しているという情報については指摘後に調査を実施し、2018年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認され対応完了としていた。

同社では、Peing-質問箱-またはPeing-質問箱-と連携しているTwitter、Instagram、Google、Facebook等のサービスと同一のメールアドレス、パスワードを使用して他のサービスを利用されているユーザーに対して、二次被害防止の為に該当サービスのログインパスワード変更を呼びかけている。

また漏えいした可能性のあるパスワードはハッシュ化されているため、同時に漏えいした可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能であったが、一般的に容易な方法では解析不可能で、現段階において確認された具体的な被害はないとのこと。

同社では今後、定期的な外部機関による調査を実施し不正アクセスの可能性を低減し、また不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、情報セキュリティ管理体制の強化を図り再発を防ぐ。

《ScanNetSecurity》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. 社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

    社員のセキュリティ意欲高める施策とは? 罰則は逆効果 ~ プルーフポイント「2024 State of the Phish」日本語版公表

  3. 訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

    訃報:セキュリティの草分けロス・アンダーソン氏 死去 67 歳、何回分かの生涯に匹敵する業績

  4. LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

    LINEヤフー委託先への不正アクセス、報告書を受け 2 度目の行政指導

  5. スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談

    スペシャリスト集結! マネーフォワード・ラック・富士ソフト・電通総研から学ぶ、脆弱性診断内製化の成功法則とは? AeyeScan 導入企業との公開対談PR

  6. タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

    タカラベルモントの海外向けウェブサイトのサーバがフィッシングメール送信の踏み台に

  7. 国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

    国内カード発行会社のドメイン毎の DMARC 設定率 36.2%「キャッシュレスセキュリティレポート(2023年10-12月版)」公表

  8. Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

    Linux の GSM ドライバにおける Use-After-Free の脆弱性(Scan Tech Report)

  9. 東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

    東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性

  10. 情報処理学会、高等学校情報科の全教科書の用語リスト公開

    情報処理学会、高等学校情報科の全教科書の用語リスト公開

ランキングをもっと見る