パスワードを忘れた? アカウント作成
13823696 story
情報漏洩

宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 137

ストーリー by headless
漏洩 部門より
オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせYOMIURI ONLINEの記事)。

同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。

パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。

現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 自分は幸い、ネット経由でファイル受け渡しが必要になる機会はしばらく無さそうですが。
    (最近、google driveのURL公開を使ったくらい。)
    // MEGAに暗号化してアップロード、が許されるような所もあったりする?

  • by Anonymous Coward on 2019年01月26日 18時00分 (#3555085)

    このプレスリリースを見るに、パスワードがハッシュ化されていたとはとても思えないわけだが…。

    宅ふぁいる便自体、結構昔からあるサービスだからそういうの考慮されてない可能性高いし、かつ「ハッシュ化されたパスワード」って書く方が批判減るのに、そう書けないって事はしてないのだろう。

    業務ファイルを宅ふぁいる便で送って来る人とか居たけど、OneDriveとかDropBoxとかじゃなくてそんなよく分からん会社がやってるサービス使うのは情報リテラシーなってないわ。

    • by Anonymous Coward

      検閲を利用規約で明言しているOneDriveを使うほうが頭おかしいだろ(for Businessを除く)

    • by Anonymous Coward

      Dropboxも何年か前に今回の20倍のユーザー数のお漏らしたり、パスワードなしでファイルアクセスできる事件起こしてるんですけど、情報リテラシー大丈夫?

      • by Anonymous Coward

        しかもあいつら漏洩したこと隠ぺいしてたしな。Dropboxなんか一番信用できないストレージサービスじゃねーか。

  • by Anonymous Coward on 2019年01月26日 17時50分 (#3555078)

    パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。

    • by Anonymous Coward on 2019年01月26日 18時04分 (#3555091)

      GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
      ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?

      無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。
      でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししないので、ハッシュ化によるセキュリティ向上の恩恵は受けられないのです。

      あと、WEBサーバに不正アクセスされたならパスワードをリアルタイムに悪意のあるサーバに投げるJavaScriptの注入とかもできます

      ってことで、パスワードのハッシュ化なんてものは今の時代たいして役にたちません。
      パスワードやそのハッシュが漏洩しないようにセキュリティを万全にすることが第一で、そこを破られたらもうどうしようもないのです。

      親コメント
      • 高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。

        高木浩光先生はパスワードの定期的変更不要派で、パスワードのハッシュが漏洩する可能性を考慮してしまうとパスワードの定期的変更が必要派に餌を与えてしまうってことも影響しているだろうけどね(生パスワードの場合漏洩したら解析時間必要なく即悪用される可能性があるので定期的変更しても無駄だが、パスワードハッシュは解析に時間がかかるので定期的変更で攻撃を防げる場合がある)。

        2012年
        https://twitter.com/HiromitsuTakagi/status/198005727317598208 [twitter.com]
        > しかし、業界の中にはそういう常識を共有していない愚事業者もいるわけで、パスワードをハッシュ化せずに保管したり、(略)するアホが未だ絶えない。

         ↓

        2018年
        https://twitter.com/HiromitsuTakagi/status/986086337005547520 [twitter.com]
        > ハッシュ化パスワードを流出させた場合(この場合オフライン攻撃される)を想定する必要がないのは、他のサイトで同じパスワードを使わないのが今日では鉄則だから。

        2018年
        https://twitter.com/HiromitsuTakagi/status/1029730665489547264 [twitter.com]
        > パスワードはサイト毎に別のものを設定するのが当然となってしまった今日、一周回ってdocomoのパスワード表示機能は妥当な設計ではないか?という時代に突入してきた感ある。

        いつまでも昔のセキュリティの常識を絶対だと考えていると、老害扱いされるから気を付けた方が良いよ。
        昔常識だったパスワードの定期的変更や、入力時のパスワードのマスキング(アスタリスク化)が今では不要となってきているように、世の中は変化していっているから。

        親コメント
      • by Anonymous Coward

        こんなこと言っても揚げ足取りにしかならないけれど、ハッシュ化によるセキュリティ上の恩恵はあるでしょう
        平文保存だったら即座に不正アクセス可能なんだから
        そもそもハッシュ化して保存する目的と意味はパスワード使いまわしするユーザーがいてもいなくても変わらない

      • by Anonymous Coward

        saltが十分に長くてもGPUクラウドで解析可能なの?

        • by Anonymous Coward

          そのsaltが漏洩しないと、どれだけ自信をもって言えるか。

          • saltは万一のハッシュ漏洩時に簡単にレインボーテーブルが作られない・使われないように、ハッシュ関数自体をユーザーごとにわずかに変える(塩を振って味付けする)ためものなので、平文で保存され、最悪漏洩しても構わないものです。
            あるsaltのハッシュからパスを推定できたとしても、同じパスの他のユーザはsaltが違うので特定できません。

            親コメント
          • by Anonymous Coward

            saltは漏洩している前提。
            だって、ハッシュ値が漏洩しているんだから。

            パスワードをハッシュ化する理由は、サーバー内部のファイルが見られた場合に、パスワードを保存していたら、そのパスワードを使って他のサイトの情報も盗めてしまうから。
            ハッシュ値が流出しても、それで他のサイトにはログインできない。ハッシュ値をパスワードに戻す必要がある。

            パスワードを単純にハッシュ化した場合、すでにレインボーテーブル(あらかじめパスワードとハッシュ値の対応表)が出回っているから、単純なハッシュ化では元のパスワードを復元できてしまう。

            そこで、パスワードごとにランダムに生成したsaltを、パスワードに付加してからハッシュ化することで、レインボーテーブルを事実上使えなくする方法がある。

            と素人の俺は考えているのだが、間違っていたら突っ込み頼む。

            • by Anonymous Coward

              GPUクラウド使えば計算できるんですよ、たぶん

            • by Anonymous Coward

              多分想定している攻撃が違うんだと思う。

              そこそこの数のアカウントの中から、できるだけ多くのハッシュを解読するという攻撃では、レインボーテーブルは有効だし、その対策として十分長いソルトを付けることも有効。

              一方で特定のアカウントのハッシュを解読するという攻撃では、パスワードのバリエーションがsaltのそれより小さくなるところで、効果がほぼ頭打ちになる。

              まぁ、被害者の視点に立つなら他人のパスワードがどれだけ漏洩したかは、あまり興味ないよね。

              • by Anonymous Coward

                なるほど、ある個人のパスワードをハッシュ値から求める場合は、もうばれているsalt値は意味がないので、純粋な計算量となる。
                あとはsalt + 生成したパスワード候補 をひたすらGPUでハッシュ化して、入手したハッシュ値と一致するかを試行すればいい。

                となるとsaltを使う意味はレインボーテーブルを使えなくして計算量を増やすメリットはあるにしても、
                もとパスワードが短ければ、GPUクラウドで計算量を大量に用意できれば、比較的短時間に一致させることができる。

                つまり、パスワードが短ければ、saltがいくら長くてもランダムでも、無駄だと。
                とはいえ、ランダムで長いsaltが無駄というわけではないけど。
                長いパスワードを使っていても、レインボーテーブルに載っていたら、すぐに解かれてしまうから。

      • by Anonymous Coward

        > 簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)

        > 10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワード

        の間に、結構な領域があるのでは。(つまり極論では?)

        私の場合、英文フレーズの各単語から文字を抽出(=辞書にない)+数字を入れた、10文字程度のパスワード、などを使う。
        だが、別にセキュリティマニアではないので、

        > でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししない

        という想定は成り立たない。(主観的なセキュリティクラスごとに、何種類かを使いまわしする)
        そういう人も少なくないと思うのだが。

        むしろ、情報が漏れた場合に「安易なパスワードユーザ」も「ある程度工夫したパスワードを使うユーザ」も、区別なしに瞬時に再利用できる生パスワード保存は、可能な防御もしていない点で、充分に非難されることだと思う。

        つまり、今でも業者がハッシュ化の意味は十分あるし、すべきだと思う。

    • by Anonymous Coward on 2019年01月26日 18時02分 (#3555087)

      CHAP認証を提供しているISP(ほぼすべて)が全滅してネットが使えなくなりますね

      親コメント
    • by Anonymous Coward on 2019年01月26日 20時15分 (#3555148)

      良くない。
      パスワードを使い回してるユーザーが罰を受けるべき。
      コンピュータを利用するすべての人間が、送信したパスワード文字列は
      利用先サービスがそれを知ることができるのだという事実の意味を正しく認識するべき。

      性善説的思想はある程度排除できないと思ってはいるが、パスワード使い回しに関しては安易な性善説に頼り過ぎ。

      親コメント
    • by Anonymous Coward on 2019年01月27日 10時54分 (#3555347)

      ブラウザの機能として、パスワードが重複していたら警告するとかやらないものなのだろうか。拡張とかではあるんだろうけど。

      親コメント
    • by Anonymous Coward

      裁判所からネット犯罪者がインターネットに触れてはならない、投資詐欺師は金融業で仕事をしてはならないという判決を受けることはあっても、
      犯罪を犯したエンジニアやハッカーがコンピューター業界で働いてはならないという判決を受けたことはないのかな。あってもいいんじゃない。

      • by Anonymous Coward

        ケビン・ミトニックですら、出所後はPC業界で働いてますからねぇ・・・

        #どっちかって言うとソーシャルハッカーだけどね。

    • by Anonymous Coward

      ありえない極論を吐いてせいせいしてるうちは無理でしょうね。

    • by Anonymous Coward

      裁判する機会があれば、パスワードを平文で保存していたら、過失を指摘したいところだが、裁判費用が出るぐらい損害を受けて、それが俺にわかることはないだろうから、そんな機会はなさそう。

  • by Anonymous Coward on 2019年01月26日 19時20分 (#3555122)

    メールとパスワードも大事だろけど、このサービスの肝ではある預けてたファイルは漏洩したの?してないの?
    そっちの方が大事だと思うけど、何処にも書かれてないような?

    • by Anonymous Coward

      大手はこういうの禁止してるとこ多いから大丈夫だと思うけど、結構な数の会社が業務で使ってるんだよな。
      俺は使ってないけど、特に禁止もされてないので、使ってる社員が何人かいるのを知ってる。当然取引先にもいる。
      既に漏洩が確定してるメールとパスワードも企業アカウント多いと思う。今後の影響が心配。
      ファイルが漏洩してたら、もっとえらいことになりそうだ。

      • by Anonymous Coward

        気の利いたところはこの手のサービスを自前でやっていますね
        某組み込みパソコン屋さんは親会社のシステムを使ってるらしくって
        知らんとこのサーバを案内されてちょっと面食らった

        • by Anonymous Coward

          気が利いてるのかなぁ…。
          はっきり言って自前のサービスなんて、セキュリティレベルでは専業サービスの足元にも及ばないと思うのだけれども。

        • by Anonymous Coward

          気の利いたウチのシステム部門のヘルプデスクはファイル転送、クラウドストレージ系をアクセス制限かけてるくせに
          「業務用ノートPC利用者かつ社用スマホ所持者は、当該サービスに繋がらない場合LANケーブルを抜いて、Wi-Fiを社用スマホ"等"に接続しVPN起動せずに利用ください、当初の条件に合致しない方は同様の手順で繋がる場合もありますが保証いたしかねます」と丁寧に説明してくれる
          他にも最近気が効いた事に「接続禁止を予定していたUSBメモリは業務に支障があるとの意見が多いため延期(事実上無期限)しました、でも極力繋がないでね」なんて言い出した

          セキュリティ委員会って何の仕事してるんだろう・・・

          • by Anonymous Coward on 2019年01月26日 23時40分 (#3555236)

            ちゃんと仕事してんじゃん、だから延期なんて決定が出たんだろ。
            そんな状態で強硬したらたちの悪い輩が穴見つけてなんとかしだすので本末転倒だろ。
            業務を無視して事を進めるあたりマッチポンプ感はあるけどね。

            親コメント
    • by Anonymous Coward

      「なお、現時点で具体的な被害は確認されておりません」

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...