株式会社ジラフは1月29日、同社が運営しているPeing-質問箱-にて個人情報が第三者に閲覧可能な状態であったことが判明したと発表した。
これは1月28日午後6時18分に、ユーザーからの問い合わせがあり社内調査を行ったところ、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明し、個人情報が第三者に閲覧可能な状態であったことが判明したというもの。
1月31日の第二報で発表された、漏えいした情報の詳細と件数は以下の通り。
○Peing-質問箱-内の情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス:最大1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード:最大949,480件
salt(パスワードを暗号化する際に付与されるデータ)
デバイストークン
○Peing-質問箱-と連携した他サービスにおける情報(連携したユーザーのみ)
・Twitter:登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット
・Instagram:OAuthアクセストークン
・Google:OAuthアクセストークン、OAuth id token、Googleアカウント名、登録氏名
・Facebook:OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレス
なお漏えいしたPeing-質問箱のトークン情報を使用して、Peing-質問箱-に登録されているメールアドレス、ハッシュ化されたパスワード、パスワード再発行の際に一時的に発行される仮パスワード、Twitterに登録されているメールアドレスの閲覧とTwitterへの書き込み、過去に行ったツイート情報(非公開ツイートの場合も含む)の閲覧、相手先を指定したダイレクトメッセージの送付などが可能だった。但し、Twitterアカウントへのログインは不可能であった。
同社での当該事象への修正対応は同日午後10時10分に完了し、現在は当該事象を用いた不正アクセスはできない。
なお同社が2018年10月26日に、外部のセキュリティリサーチャーから指摘を受けた事項と本件が関連しているという情報については指摘後に調査を実施し、2018年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認され対応完了としていた。
同社では、Peing-質問箱-またはPeing-質問箱-と連携しているTwitter、Instagram、Google、Facebook等のサービスと同一のメールアドレス、パスワードを使用して他のサービスを利用されているユーザーに対して、二次被害防止の為に該当サービスのログインパスワード変更を呼びかけている。
また漏えいした可能性のあるパスワードはハッシュ化されているため、同時に漏えいした可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能であったが、一般的に容易な方法では解析不可能で、現段階において確認された具体的な被害はないとのこと。
同社では今後、定期的な外部機関による調査を実施し不正アクセスの可能性を低減し、また不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、情報セキュリティ管理体制の強化を図り再発を防ぐ。
これは1月28日午後6時18分に、ユーザーからの問い合わせがあり社内調査を行ったところ、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が判明し、個人情報が第三者に閲覧可能な状態であったことが判明したというもの。
1月31日の第二報で発表された、漏えいした情報の詳細と件数は以下の通り。
○Peing-質問箱-内の情報
トークン
トークンシークレット
Peing-質問箱-に登録したメールアドレス:最大1,497,967件
ハッシュ化されたPeing-質問箱-のパスワード:最大949,480件
salt(パスワードを暗号化する際に付与されるデータ)
デバイストークン
○Peing-質問箱-と連携した他サービスにおける情報(連携したユーザーのみ)
・Twitter:登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット
・Instagram:OAuthアクセストークン
・Google:OAuthアクセストークン、OAuth id token、Googleアカウント名、登録氏名
・Facebook:OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレス
なお漏えいしたPeing-質問箱のトークン情報を使用して、Peing-質問箱-に登録されているメールアドレス、ハッシュ化されたパスワード、パスワード再発行の際に一時的に発行される仮パスワード、Twitterに登録されているメールアドレスの閲覧とTwitterへの書き込み、過去に行ったツイート情報(非公開ツイートの場合も含む)の閲覧、相手先を指定したダイレクトメッセージの送付などが可能だった。但し、Twitterアカウントへのログインは不可能であった。
同社での当該事象への修正対応は同日午後10時10分に完了し、現在は当該事象を用いた不正アクセスはできない。
なお同社が2018年10月26日に、外部のセキュリティリサーチャーから指摘を受けた事項と本件が関連しているという情報については指摘後に調査を実施し、2018年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認され対応完了としていた。
同社では、Peing-質問箱-またはPeing-質問箱-と連携しているTwitter、Instagram、Google、Facebook等のサービスと同一のメールアドレス、パスワードを使用して他のサービスを利用されているユーザーに対して、二次被害防止の為に該当サービスのログインパスワード変更を呼びかけている。
また漏えいした可能性のあるパスワードはハッシュ化されているため、同時に漏えいした可能性のあるsalt情報と合わせて特定の方法を用いてパスワードを解析することが理論上可能であったが、一般的に容易な方法では解析不可能で、現段階において確認された具体的な被害はないとのこと。
同社では今後、定期的な外部機関による調査を実施し不正アクセスの可能性を低減し、また不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、情報セキュリティ管理体制の強化を図り再発を防ぐ。
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
