「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性

1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、30日12時40分にサービスを再開。問題点と改善点を発表しました。

» 2019年01月31日 17時32分 公開
[ねとらぼ]

 1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩(ろうえい)した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問題点と改善点を報告しながら、利用者にパスワードの変更を呼び掛けています。

Peing-質問箱-」公式サイト

 「Peing -質問箱-」は、28日21時ごろから第三者がツイートできてしまう不具合が発見され、緊急メンテナンス状態に。29日15時ごろに今回の問題で発生しうる事象などについて詳細を説明(関連記事)し、同日19時53分には「検知された問題が全て解決し、安心して利用できる状態になった」としてメンテナンスを終了していましたが、「一部問題があることが分かった」として再開から1時間弱で再びメンテナンスに入っていました(関連記事)。

今回の問題点を報告する「Peing-質問箱-」公式Twitter

 公式Twitterによると、問題となっているのは主に3点。1つ目はAPIトークンが第三者に見える状態になっていたことで、第三者が各SNSのAPIを利用して、他者の「質問箱」の情報を閲覧したりTwitterでツイートできるようになっていた点です。これについては28日22時10分に対応を終え、同様の操作ができなくなっています。

 2つ目は、質問箱に登録したメールアドレスと、APIトークンを用いてSNSに登録していたメールアドレスが閲覧可能な状況になっていた点。3つ目は、質問箱に登録してハッシュ化されていたパスワードが閲覧可能となっていた点です。パスワードはハッシュ化で不可逆変換していますが、相応な環境と時間をかけることで特定のユーザーのパスワードを調べることは理論上不可能ではないと、漏洩の危険性を説明しています。

 ジラフのプレスリリースによると、「Peing-質問箱-」との連携サービスにおいて今回漏洩した可能性のある情報は、Twitterに登録したメールアドレス、Facebookのアカウント名、氏名、プロフィール写真、メールアドレス、その他各SNSのOAuthアクセストークンなど。

漏洩した可能性がある、Peing-質問箱-と連携した他サービスにおける情報(プレスリリースより)

 3点の問題点から、サービスの利用者には、登録したメールアドレスへのフィッシング詐欺や、同じメールアドレスやアカウント名、ハッシュ化されたパスワードを利用したサービスに無断でログインされる被害が考えられるとのこと。現時点でこれらの被害は確認されていませんが、利用者は質問箱のパスワードおよび、他サービスでも同一のパスワードに設定していた場合はそれも変更するよう、Peing側は呼び掛けています。

 Peingは長時間のメンテナンスによって指摘箇所を修正したことに加え、各API、ページを網羅的に確認して「安全にサービスがご提供できる状態になったと判断」し、31日昼にサービスを再開したとのこと。現在外部機関による調査を実施中で、2月中頃には完了予定、調査結果はプレスリリースで公表するとしています。また調査の進捗についても、新たに伝えるべき状況になり次第、適宜情報開示を行っていくとしています。

 「引き続きご利用いただけるよう、安全性の確保、安定したサービスの提供のため全力を尽くしてまいりますので、どうぞよろしくお願いいたします。重ねてのお詫びにはなりますが、本件に関しまして多大なるご心配、ご迷惑をおかけし申し訳ございませんでした」(Peing公式Twitterより)

Copyright © ITmedia, Inc. All Rights Reserved.

先週の総合アクセスTOP10
  1. 小1娘、ペンギンの卵を楽しみに育ててみたら…… 期待を裏切る生き物の爆誕に「声出して笑ってしまったw」「反応がめちゃくちゃ可愛い」
  2. 富山県警のX投稿に登場の女性白バイ隊員に過去一注目集まる「可愛い過ぎて、取締り情報が入ってこない」
  3. 2カ月赤ちゃん、おばあちゃんに少々強引な寝かしつけをされると…… コントのようなオチに「爆笑!」「可愛すぎて無事昇天」
  4. 異世界転生したローソン出現 ラスボスに挑む前のショップみたいで「合成かと思った」「日本にあるんだ」
  5. 【今日の計算】「8+9÷3−5」を計算せよ
  6. 21歳の無名アイドル、ビジュアル拡散で「あの頃の橋本環奈すぎる」とSNS騒然 「実物の方が可愛い」「見つかっちゃったなー」の声も
  7. 1歳赤ちゃん、寝る時間に現れないと思ったら…… 思わぬお仲間連れとご紹介が「めっちゃくちゃ可愛い」と220万再生
  8. 業務スーパーで買ったアサリに豆乳を与えて育てたら…… 数日後の摩訶不思議な変化に「面白い」「ちゃんと豆乳を食べてた?」
  9. 祖母から継いだ築80年の古家で「謎の箱」を発見→開けてみると…… 驚きの中身に「うわー!スゴッ」「かなり高価だと思いますよ!」
  10. 「ゆるキャン△」のイメージビジュアルそのまま? 工事の看板イラストが登場キャラにしか見えない 工事担当者「狙いました」
先月の総合アクセスTOP10
  1. フワちゃん、弟の結婚式で卑劣な行為に「席次見て名前覚えたからな」 めでたい場でのひんしゅく行為に「プライベート守ろうよ!」の声
  2. 親が「絶対たぬき」「賭けてもいい」と言い張る動物を、保護して育ててみた結果…… 驚愕の正体が230万表示「こんなん噴くわ!」
  3. 水道検針員から直筆の手紙、驚き確認すると…… メーターボックスで起きた珍事が300万再生「これはびっくり」「生命の逞しさ」
  4. フワちゃん、収録中に見えてはいけない“部位”が映る まさかの露出に「拡大しちゃったじゃん」「またか」の声
  5. スーパーで売れ残っていた半額のカニを水槽に入れてみたら…… 220万再生された涙の結末に「切なくなった」「凄く感動」
  6. 桐朋高等学校、78期卒業生の答辞に賛辞やまず 「只者ではない」「感動のあまり泣いて10回読み直した」
  7. 「これは悲劇」 ヤマザキ“春のパンまつり”シールを集めていたはずなのに…… 途中で気づいたまさかの現実
  8. 「ふざけんな」 宿泊施設に「キャンセル料金を払わなくする方法」が物議 宿泊施設「大目に見てきたが厳格化する」
  9. がん闘病中の見栄晴、20回以上の放射線治療を受け変化が…… 「痛がゆくなって来ました」
  10. 食べ終わったパイナップルの葉を土に植えたら…… 3年半後、目を疑う結果に「もう、ただただ感動です」「ちょっと泣きそう」