ニュース
» 2019年01月31日 17時32分 公開

「Peing-質問箱-」パスワード最大95万件、メールアドレス最大150万件の漏洩の可能性

1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、30日12時40分にサービスを再開。問題点と改善点を発表しました。

[ねとらぼ]

 1月28日夜から緊急メンテナンスを繰り返していたWebサービス「Peing-質問箱-」が、31日12時40分にサービスを再開しました。運営企業ジラフの発表によると、漏洩(ろうえい)した可能性のある登録情報の最大件数は、ハッシュ化されたパスワードで94万9480件、メールアドレスで149万7967件。公式Twitterは今回見つかった問題点と改善点を報告しながら、利用者にパスワードの変更を呼び掛けています。

Peing-質問箱-」公式サイト

 「Peing -質問箱-」は、28日21時ごろから第三者がツイートできてしまう不具合が発見され、緊急メンテナンス状態に。29日15時ごろに今回の問題で発生しうる事象などについて詳細を説明(関連記事)し、同日19時53分には「検知された問題が全て解決し、安心して利用できる状態になった」としてメンテナンスを終了していましたが、「一部問題があることが分かった」として再開から1時間弱で再びメンテナンスに入っていました(関連記事)。

今回の問題点を報告する「Peing-質問箱-」公式Twitter

 公式Twitterによると、問題となっているのは主に3点。1つ目はAPIトークンが第三者に見える状態になっていたことで、第三者が各SNSのAPIを利用して、他者の「質問箱」の情報を閲覧したりTwitterでツイートできるようになっていた点です。これについては28日22時10分に対応を終え、同様の操作ができなくなっています。

 2つ目は、質問箱に登録したメールアドレスと、APIトークンを用いてSNSに登録していたメールアドレスが閲覧可能な状況になっていた点。3つ目は、質問箱に登録してハッシュ化されていたパスワードが閲覧可能となっていた点です。パスワードはハッシュ化で不可逆変換していますが、相応な環境と時間をかけることで特定のユーザーのパスワードを調べることは理論上不可能ではないと、漏洩の危険性を説明しています。

 ジラフのプレスリリースによると、「Peing-質問箱-」との連携サービスにおいて今回漏洩した可能性のある情報は、Twitterに登録したメールアドレス、Facebookのアカウント名、氏名、プロフィール写真、メールアドレス、その他各SNSのOAuthアクセストークンなど。

漏洩した可能性がある、Peing-質問箱-と連携した他サービスにおける情報(プレスリリースより)

 3点の問題点から、サービスの利用者には、登録したメールアドレスへのフィッシング詐欺や、同じメールアドレスやアカウント名、ハッシュ化されたパスワードを利用したサービスに無断でログインされる被害が考えられるとのこと。現時点でこれらの被害は確認されていませんが、利用者は質問箱のパスワードおよび、他サービスでも同一のパスワードに設定していた場合はそれも変更するよう、Peing側は呼び掛けています。

 Peingは長時間のメンテナンスによって指摘箇所を修正したことに加え、各API、ページを網羅的に確認して「安全にサービスがご提供できる状態になったと判断」し、31日昼にサービスを再開したとのこと。現在外部機関による調査を実施中で、2月中頃には完了予定、調査結果はプレスリリースで公表するとしています。また調査の進捗についても、新たに伝えるべき状況になり次第、適宜情報開示を行っていくとしています。

 「引き続きご利用いただけるよう、安全性の確保、安定したサービスの提供のため全力を尽くしてまいりますので、どうぞよろしくお願いいたします。重ねてのお詫びにはなりますが、本件に関しまして多大なるご心配、ご迷惑をおかけし申し訳ございませんでした」(Peing公式Twitterより)

Copyright © ITmedia, Inc. All Rights Reserved.

この記事が気に入ったら
ねとらぼに「いいね!」しよう