Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ) | ScanNetSecurity
2020.04.03(金)

Peing-質問箱-にて第三者に個人情報が閲覧可能な状態に(ジラフ)

株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

インシデント・事故 インシデント・情報漏えい
トップページ
トップページ 全 8 枚 拡大写真
株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。

これは1月28日午後6時18分に、ユーザーからの問い合わせがあり社内調査を行ったところ、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明し、個人情報が第三者に閲覧可能な状態であったことが判明したというもの。

1月31日の第二報で発表された、漏えいした情報の詳細と件数は以下の通り。

○Peing-質問箱-内の情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス:最大1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード:最大949,480件
salt(パスワードを暗号化する際に付与されるデータ)
デバイストークン

○Peing-質問箱-と連携した他サービスにおける情報(連携したユーザーのみ)
・Twitter:登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット

・Instagram:OAuthアクセストークン

・Google:OAuthアクセストークン、OAuth id token、Googleアカウント名、登録氏名

・Facebook:OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレス

なお漏えいしたPeing-質問箱のトークン情報を使用して、Peing-質問箱-に登録されているメールアドレス、ハッシュ化されたパスワード、パスワード再発行の際に一時的に発行される仮パスワード、Twitterに登録されているメールアドレスの閲覧とTwitterへの書き込み、過去に行ったツイート情報(非公開ツイートの場合も含む)の閲覧、相手先を指定したダイレクトメッセージの送付などが可能だった。但し、Twitterアカウントへのログインは不可能であった。

同社での当該事象への修正対応は同日午後10時10分に完了し、現在は当該事象を用いた不正アクセスはできない。

なお同社が2018年10月26日に、外部のセキュリティリサーチャーから指摘を受けた事項と本件が関連しているという情報については指摘後に調査を実施し、2018年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認され対応完了としていた。

同社では、Peing-質問箱-またはPeing-質問箱-と連携しているTwitter、Instagram、Google、Facebook等のサービスと同一のメールアドレス、パスワードを使用して他のサービスを利用されているユーザーに対して、二次被害防止の為に該当サービスのログインパスワード変更を呼びかけている。

また漏えいした可能性のあるパスワードはハッシュ化されているため、同時に漏えいした可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能であったが、一般的に容易な方法では解析不可能で、現段階において確認された具体的な被害はないとのこと。

同社では今後、定期的な外部機関による調査を実施し不正アクセスの可能性を低減し、また不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、情報セキュリティ管理体制の強化を図り再発を防ぐ。

《ScanNetSecurity》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

    全国手話検定試験受験者の個人情報記録、USBメモリ紛失(全国手話研修センター全国手話検定試験事務局)

  2. 従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

    従業員が顧客の取引履歴をツイート、社内規定に則り処分予定(晴れる屋)

  3. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

  4. ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

    ? ランサムウェアの犯人「新型コロナ危機の間は医療機関を標的にしないことを俺たちは誓う」(The Register)

  5. 成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

    成人動画サービスの顧客情報漏えい続報、原因はCDNのキャッシュか(ソフト・オン・デマンド)

  6. iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

    iPS 細胞研究所の非常勤職員を懲戒解雇、機密書類スキャンや教授宛メール盗み見(京都大学)

  7. メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

    メール誤送信による情報漏えい、事故原因の分析と対策の手がかり

  8. 放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構)

    放射線技師が電子カルテ閲覧、20名の電話番号抜き出し懲戒処分に(大阪市、大阪市民病院機構)

  9. 最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出

    最強のバイリンガルエンジニア集団が開く、グローバルセキュリティエキスパートの東南アジア進出PR

  10. 「人材不足と丸投げ体質が課題」、GSX西日本支社がセキュリティエンジニア教育に本格的に取り組む理由

    「人材不足と丸投げ体質が課題」、GSX西日本支社がセキュリティエンジニア教育に本格的に取り組む理由PR

ランキングをもっと見る