2019年1月25日、「宅ふぁいる便」というファイル転送サービスで個人情報約480万件の漏洩が発覚する、という事件がありました。
このサービスは、株式会社オージス総研が運営する、Web上でファイル転送を実現するサービスで、メールでは送信できないようなサイズのファイルでも転送(送信者がサーバー上にファイルをアップロードし、受信者がそのファイルをダウンロードする仕組み)できる、というサービスです。
自分がこのWebサービスの開発に関わっていた?
実は自分は10年ほど前のプログラマー新人時代、このWebサービスのシステム開発に関わっていたので、どんなWebサービスなのかはシステムの中身も含めてよく知っています^^;
ある日ニュースアプリを見ていると、個人情報漏洩ニュースを目にし、しかもそれが自分が過去開発に関わっていたWebサービスだったと。これはマジで個人的には気になるというか、かなりビックリしたニュースだったので取り上げたいと思います。
なお、この事件についてはシステム的にダメだったところが1つあって、ニュースやブログではそこばかりをピックアップしている印象を受けます。
このブログでも一応そこに触れつつ、かつ何でダメなのかを分かりやすく解説しますが、それよりも「もっとここを取り上げろよ!」ってところをプログラマー視点で書いてみましたので是非さいごまで読んでもらえれば。
一体何が起きた?
ニュースの詳細をチラ身する
えーと、まずは事件で起きたことを簡単に説明しておきます。
- サイバー攻撃を受けてサーバーの脆弱性をつかれる
- 氏名、メールアドレス、パスワード、生年月日、などの個人情報約480万件が漏洩する
ネットニュースやブログを見ていると、漏洩したパスワードが平文で保存されていた、というところが注目されているようです。
パスワードを平文で保存って?
平文で保存とはどういうことかというと、暗号化されていない状態ということです。
パスワードなど秘密性の高い情報は、万が一情報漏洩したとしても二次災害を防ぐために暗号化するのが一般的になっています。
とはいえ、10年以上前も一般的だったか?というとかなり怪しい。暗号化したほうがいいと認識はしているものの対応していないシステムは多々あったはず。
メールアドレスとパスワードが一緒に漏れると非常にマズイ\(^o^)/
今回はパスワードと一緒にメールアドレスも漏洩してるのがマズいですね。
ほとんどのWebサービスやアプリは、メールアドレスとパスワードの組み合わせでログインしますよね。そして、同じメールアドレスとパスワードを使いまわしてる人は結構多いんじゃないでしょうか。
だんだん恐くなってきましたね。
そうして盗んだ犯人は、手に入れたメールアドレスとパスワードを使って片っ端からWebサービスやアプリにログインを試すわけです。数撃ちゃ当たる方式で端から端まで試します。
もちろん人の手で480万件xすべてのWebサービスやアプリのログインを試すなんてことはしません。全部コンピューターにやらせるわけです。
そうやって数撃ちゃ当たる方式により、なりすましでログインされると、そこから更に情報が盗まれるわけです。例えば、オンライン銀行にログインされるとお金取られちゃったり^^;
そこで、少なくともパスワードが暗号化されていれば、解読するのに膨大な時間がかかるので、その間にパスワードを変更するなどの対応ができるってわけです。
まー言っても、暗号化にもいくつも種類があって、ふるーい方式の暗号化だと、最近の超高性能なコンピュータにかかればあっという間に解読されちゃいますけどね。。。(←プログラマー目指すならココ大事!!テストに出るとこ)
言えることは100%安全なシステムなんてない
ってことです。
悪いひとたちは、常にサイバー攻撃を仕掛けてシステムから個人情報を盗むべく虎視眈々と我々の個人情報を狙っています。
去年のコインチェック流出事件も記憶に新しいですよね。当時の価値で580億円相当の流出とか、ケタがおかしすぎて逆に笑っちゃいました。
100%安全なシステムなんて存在しない!ということを頭に入れつつ、システムからは情報漏洩する!という前提で、とにかくパスワードの使いまわしはやめましょう。
ニュースやブログでは「平文が平文がー」「暗号化暗号化ー」言うてますけど
まーパスワードは暗号化しましょう。さらに、ふるーい暗号化方式はやめましょう。
ってところが、ネットニュースやブログなんかで言われてるところなんですが、僕が思ったのはここじゃないんですよね。
暗号化なんてもはや一般的になってるので、改めて言わなくてもええよねって感じです。
そんなことよりも
一体どんな攻撃を受けたんだ????
これがすげー気になります。
公式発表だと
2.原因
(1)本サービスのセキュリティ対策に継続的に取り組んでいましたが、一部サーバーの脆弱性を攻撃され、不正アクセスが行われました。
とあります。
たぶん、データベースサーバにアクセスされて、ユーザー情報を管理しているデータが盗まれたんだと想像してるけど。
この辺もっと詳細な情報って開示出来ないものかね??
一部サーバーの脆弱性ってなんだよ??
ウィルス仕掛けられた??どんなウィルスをどうやって混入した??
SQLインジェクションでデータ抜かれた??
などなど、少し専門用語を使っちゃいましたが、プログラマーとしてスゲー気になりますし、情報開示してくれたら他のシステムにも同じ危険があるか調査できるし対策も打てるのになあ。
何より日本のプログラマーのITセキュリティレベル向上にも繋がるし。
オージス総研さん、是非情報の開示をお願いします!
おわりに
まー今回は筆者が関わったことのあるシステムだったので取り上げてみたんだけど、この手のニュースを見ると、プログラマーとしては「どうやって不正アクセスしたのか?」が気になったりします。
特に筆者はWebシステムに関わることが多いので、中途半端にWebの仕組みを知っている分、そのあたりがすごく気になります。
IT業界やプログラマーに興味がある人なんかだと、悪い人たちがどうやって不正アクセスしてるのかにも興味あるんじゃないかな?
このあたり、どんな手段があるのかなど調べればいろいろ情報は転がってるので興味あるひとは調べてみるといいですね。調べることでWebの仕組みやネットワークの勉強にもなってオススメですよ。
今度そのあたり記事にしてみようかな。
それでは。
コメント