「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性
1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、30日12時40分にサービスを再開。問題点と改善点を発表しました。
1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩(ろうえい)した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問題点と改善点を報告しながら、利用者にパスワードの変更を呼び掛けています。
「Peing -質問箱-」は、28日21時ごろから第三者がツイートできてしまう不具合が発見され、緊急メンテナンス状態に。29日15時ごろに今回の問題で発生しうる事象などについて詳細を説明(関連記事)し、同日19時53分には「検知された問題が全て解決し、安心して利用できる状態になった」としてメンテナンスを終了していましたが、「一部問題があることが分かった」として再開から1時間弱で再びメンテナンスに入っていました(関連記事)。
公式Twitterによると、問題となっているのは主に3点。1つ目はAPIトークンが第三者に見える状態になっていたことで、第三者が各SNSのAPIを利用して、他者の「質問箱」の情報を閲覧したりTwitterでツイートできるようになっていた点です。これについては28日22時10分に対応を終え、同様の操作ができなくなっています。
2つ目は、質問箱に登録したメールアドレスと、APIトークンを用いてSNSに登録していたメールアドレスが閲覧可能な状況になっていた点。3つ目は、質問箱に登録してハッシュ化されていたパスワードが閲覧可能となっていた点です。パスワードはハッシュ化で不可逆変換していますが、相応な環境と時間をかけることで特定のユーザーのパスワードを調べることは理論上不可能ではないと、漏洩の危険性を説明しています。
ジラフのプレスリリースによると、「Peing-質問箱-」との連携サービスにおいて今回漏洩した可能性のある情報は、Twitterに登録したメールアドレス、Facebookのアカウント名、氏名、プロフィール写真、メールアドレス、その他各SNSのOAuthアクセストークンなど。
3点の問題点から、サービスの利用者には、登録したメールアドレスへのフィッシング詐欺や、同じメールアドレスやアカウント名、ハッシュ化されたパスワードを利用したサービスに無断でログインされる被害が考えられるとのこと。現時点でこれらの被害は確認されていませんが、利用者は質問箱のパスワードおよび、他サービスでも同一のパスワードに設定していた場合はそれも変更するよう、Peing側は呼び掛けています。
Peingは長時間のメンテナンスによって指摘箇所を修正したことに加え、各API、ページを網羅的に確認して「安全にサービスがご提供できる状態になったと判断」し、31日昼にサービスを再開したとのこと。現在外部機関による調査を実施中で、2月中頃には完了予定、調査結果はプレスリリースで公表するとしています。また調査の進捗についても、新たに伝えるべき状況になり次第、適宜情報開示を行っていくとしています。
「引き続きご利用いただけるよう、安全性の確保、安定したサービスの提供のため全力を尽くしてまいりますので、どうぞよろしくお願いいたします。重ねてのお詫びにはなりますが、本件に関しまして多大なるご心配、ご迷惑をおかけし申し訳ございませんでした」(Peing公式Twitterより)
関連記事
メンテが明けたばかりの「Peing -質問箱-」、再度メンテが始まる 「一部問題があることが分かった」ため
終わらない。質問箱が勝手にツイートされる問題について報告 「鍵アカのツイートも見られる状態だった」「DMの”閲覧”はできない」
メンテナンスは29日18時までに延長。【更新】Peing-質問箱-、「第三者が勝手にツイートできてしまう問題」で緊急メンテナンス
問題へ対応後も調査のためメンテナンスを延長。Peing-質問箱-に動画や音声での回答機能追加 記念に「黒歴史箱」イベントを実施、自身の古傷をえぐる
無茶しやがって……。確定申告の備えになる手軽な領収書管理法 玄関に置いた箱に入れて月ごとに袋へまとめるだけ
帰宅のたびにレシートをすぐ入れられて、管理の習慣をつけやすそう。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.