宅ふぁいる便、ユーザーのメールアドレスやパスワードなど約480万件が漏洩 137
ストーリー by headless
漏洩 部門より
漏洩 部門より
オージス総研は25日、同社が運営するファイル転送サービス「宅ふぁいる便」のサーバーが不正アクセスを受け、約480万件のユーザー情報が漏洩したことを発表した(オージス総研のお知らせ、
YOMIURI ONLINEの記事)。
同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。
パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。
現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。
同社は22日に宅ふぁいる便のサーバーに不審なアクセスログを確認し、23日からサービスを停止している。漏洩した約480万件のユーザー情報のうち、漏洩が確定しているのはユーザーのメールアドレス(ユーザーID)とログインパスワード、生年月日。氏名、性別、業種・職種、居住地(都道府県のみ)も漏洩した可能性があるという。有料会員のクレジットカード情報などは別会社に料金請求システムを委託しているため、今回の漏洩には含まれないとのこと。
パスワードが平文だったのかどうかについては書かれていないが、他社サービスで宅ふぁいる便と同じユーザーIDとパスワードを使用している場合はパスワードを変更するよう求めている。また、1月13日~23日にファイルを送信した場合、相手に届いていない場合もあるとして確認を呼び掛けている。
現在、宅ふぁいる便のWebサイトにアクセスすると、オージス総研のお知らせと同じ内容が表示される。現時点でサービス再開のめどはたっていないとのことだ。
代替ってあるのでしょうか (スコア:2)
自分は幸い、ネット経由でファイル受け渡しが必要になる機会はしばらく無さそうですが。
(最近、google driveのURL公開を使ったくらい。)
// MEGAに暗号化してアップロード、が許されるような所もあったりする?
Re:代替ってあるのでしょうか (スコア:1)
1,2GBくらいまでのファイルならslackとかChatWorkとかで良さそうな気がします
一人以外は全員敗者
それでもあきらめるより熱くなれ
Re:代替ってあるのでしょうか (スコア:2)
「おもおか」するべきか悩ましいでしょうね...。 // いや真面目な提案かもしれない
Re:代替ってあるのでしょうか (スコア:2)
使ったことがないのでわからないのですが、たぶん、他のファイルアップロードサービスとそう変わらないのではないかと想像します。
ただファイルサイズ大きいものが扱えるとかURL非公開とかダウンロードパスワードとかあるかも。
あと技術に関係なく会社でホワイトリストで許可だったりすると大変だろうなーと。
なぜパスワードまで漏洩するのだ (スコア:1)
このプレスリリースを見るに、パスワードがハッシュ化されていたとはとても思えないわけだが…。
宅ふぁいる便自体、結構昔からあるサービスだからそういうの考慮されてない可能性高いし、かつ「ハッシュ化されたパスワード」って書く方が批判減るのに、そう書けないって事はしてないのだろう。
業務ファイルを宅ふぁいる便で送って来る人とか居たけど、OneDriveとかDropBoxとかじゃなくてそんなよく分からん会社がやってるサービス使うのは情報リテラシーなってないわ。
Re: (スコア:0)
検閲を利用規約で明言しているOneDriveを使うほうが頭おかしいだろ(for Businessを除く)
Re: (スコア:0)
7zipでaes256暗号化圧縮して使えばワンチャン
Re:なぜパスワードまで漏洩するのだ (スコア:2)
Re: (スコア:0)
規約に書いてあったところで実際に中身を漏らしたりしたらサービスへのダメージがやばいので大手ほどそういうことは出来ないと思うが
Re: (スコア:0)
PC Watchのライター、OneDriveにバイナリファイルをアップロードしていたところアカウントをロックされる [it.srad.jp]
とりあえず中身は意図的には漏らさないにしても、見てはいるよ。
Re: (スコア:0)
こういうのを見るにステガノグラフィに再注目したい。
まさか気付いてないだけで実は一般常識になってたりする?
Re: (スコア:0)
あなたには、このコメントのやり取りが雑談に見えるのですね。
Welcome to Underground
Re: (スコア:0)
Dropboxも何年か前に今回の20倍のユーザー数のお漏らしたり、パスワードなしでファイルアクセスできる事件起こしてるんですけど、情報リテラシー大丈夫?
Re: (スコア:0)
しかもあいつら漏洩したこと隠ぺいしてたしな。Dropboxなんか一番信用できないストレージサービスじゃねーか。
Re:なぜパスワードまで漏洩するのだ (スコア:1)
少なくとも日本国内で裁判ができるってのはリスク計算の上では重要っすよw
高額な懲罰的賠償金制度があるアメリカとか、個人情報絡みでヒステリックなEUと違って、日本じゃ情報漏洩で訴訟しても訴えた側が費用倒れになるのがいいとこ。だからこそサイバーノーガード戦法が成り立つんだし。
むしろ「やらかしたらヤバい」アメリカやEUの企業のほうが金かけるからマシ。
少なくとも個人ユーザーからしたら、預けるのが相当にセンシィティブな情報(信条とか各種コンプレックスとかレベル)でもない限り、弁護士費用だけで赤字になるような国で、裁判できる相手(ただし日本ローカル)であることにメリットは無いよ。
いい加減に (スコア:0)
パスワードを復元可能な形式で運用していたら社長以下専務・常務クラスまで獄門晒し首、仕様を作ったエンジニアも二度とIT業界での仕事ができないようにする、ぐらいしても良いのではないか。
GPUクラウドの時代、ハッシュ化しても無駄です (スコア:3, 興味深い)
GPUクラウドの時代、一般人が付けるような簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)ならSHA-2等でハッシュ化しても現実的な時間で解析できちゃうので無駄です。
ソルトとストレッチングやっててもWebサーバで1秒以下で演算できるレベルならGPUクラウドで解析できちゃうし、強度の高いストレッチングやるためにパスワード認証するWebサーバのバックエンドにGPUクラウド使うわけでもないでしょ?
無論、10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワードとかはGPUクラウドで簡単に解析できないので、ハッシュ化の意味はあります。
でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししないので、ハッシュ化によるセキュリティ向上の恩恵は受けられないのです。
あと、WEBサーバに不正アクセスされたならパスワードをリアルタイムに悪意のあるサーバに投げるJavaScriptの注入とかもできます
。
ってことで、パスワードのハッシュ化なんてものは今の時代たいして役にたちません。
パスワードやそのハッシュが漏洩しないようにセキュリティを万全にすることが第一で、そこを破られたらもうどうしようもないのです。
高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:4, 興味深い)
高木浩光大先生も、パスワードを使いまわししないのが常識になったのだから、パスワード表示機能はあっても良いと言い出してるね。
高木浩光先生はパスワードの定期的変更不要派で、パスワードのハッシュが漏洩する可能性を考慮してしまうとパスワードの定期的変更が必要派に餌を与えてしまうってことも影響しているだろうけどね(生パスワードの場合漏洩したら解析時間必要なく即悪用される可能性があるので定期的変更しても無駄だが、パスワードハッシュは解析に時間がかかるので定期的変更で攻撃を防げる場合がある)。
2012年
https://twitter.com/HiromitsuTakagi/status/198005727317598208 [twitter.com]
> しかし、業界の中にはそういう常識を共有していない愚事業者もいるわけで、パスワードをハッシュ化せずに保管したり、(略)するアホが未だ絶えない。
↓
2018年
https://twitter.com/HiromitsuTakagi/status/986086337005547520 [twitter.com]
> ハッシュ化パスワードを流出させた場合(この場合オフライン攻撃される)を想定する必要がないのは、他のサイトで同じパスワードを使わないのが今日では鉄則だから。
2018年
https://twitter.com/HiromitsuTakagi/status/1029730665489547264 [twitter.com]
> パスワードはサイト毎に別のものを設定するのが当然となってしまった今日、一周回ってdocomoのパスワード表示機能は妥当な設計ではないか?という時代に突入してきた感ある。
いつまでも昔のセキュリティの常識を絶対だと考えていると、老害扱いされるから気を付けた方が良いよ。
昔常識だったパスワードの定期的変更や、入力時のパスワードのマスキング(アスタリスク化)が今では不要となってきているように、世の中は変化していっているから。
Re: (スコア:0)
パスワードをサイト毎に変えるのが常識と言ってもそれはマニアの間だけで全然末端に浸透してないし、
そもそも50個も80個もサイトにアカウントを持ってて全部違うパスワードを付けて覚えるのは不可能。
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
ヒント:Googleなら先頭にGO、Yahooなら先頭にYA、AmazonならAMをつける
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
マニアの間だけって、それいつの認識です?
今時のスマホは、Webサイトで新たにパスワード設定しようとしたら、長いランダムなパスワードを自動生成して記憶させるかを聞いてくるのがデフォルトになってるでしょう。
そしてスマホユーザー率・スマホのみでアクセスするユーザー率は上がってますし、よくわからないままに従うライトユーザーほどサイトごとにバラバラのパスワードになりますよ。
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
JPCERTがキャンペーンやって総務省も推奨している方法を
「マニアの間だけ」って言い切っちゃうのは、
あなたの周りの方々の常識の方を疑っちゃいますよねー
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
サイトごとに
srad1ujauja
srad2ujauja
srad3ujauja
srad4ujauja
srad5ujauja
と使い分けていて、その一つが漏洩してしまうと、現時点では多分ないとは思っても他のパスワードは変えたくなるよね。
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
で、君はどうやって管理してるのかな?
Re:高木浩光先生も、一周回ってパスワード表示機能は妥当と言い出してる (スコア:1)
高木先生が言ってるのはたぶん、
『セキュリティのために誰が何をやるべきか』
みたいな話。
平文のパスワードが漏れると、それを使い回しているユーザに被害が出るので、
サービス提供側が、ユーザのパスワードを暗号化するなどして守るべきだった。
↓
暗号解析が容易になって、ちょっと暗号化したくらいでは流出した際の被害は防げなくなってしまった。
↓
サービス側の暗号化では安全が確保できないので、ユーザ側で『パスワードを使い回さない』という対策をとるしかなくなった。
↓
ユーザ側で対策するしかないなら、サービス側は暗号化しない方がむしろ利便性高くていいんじゃないか?
みたいな感じ?
Re: (スコア:0)
こんなこと言っても揚げ足取りにしかならないけれど、ハッシュ化によるセキュリティ上の恩恵はあるでしょう
平文保存だったら即座に不正アクセス可能なんだから
そもそもハッシュ化して保存する目的と意味はパスワード使いまわしするユーザーがいてもいなくても変わらない
Re: (スコア:0)
saltが十分に長くてもGPUクラウドで解析可能なの?
Re: (スコア:0)
そのsaltが漏洩しないと、どれだけ自信をもって言えるか。
Re:GPUクラウドの時代、ハッシュ化しても無駄です (スコア:2)
saltは万一のハッシュ漏洩時に簡単にレインボーテーブルが作られない・使われないように、ハッシュ関数自体をユーザーごとにわずかに変える(塩を振って味付けする)ためものなので、平文で保存され、最悪漏洩しても構わないものです。
あるsaltのハッシュからパスを推定できたとしても、同じパスの他のユーザはsaltが違うので特定できません。
Re: (スコア:0)
saltは漏洩している前提。
だって、ハッシュ値が漏洩しているんだから。
パスワードをハッシュ化する理由は、サーバー内部のファイルが見られた場合に、パスワードを保存していたら、そのパスワードを使って他のサイトの情報も盗めてしまうから。
ハッシュ値が流出しても、それで他のサイトにはログインできない。ハッシュ値をパスワードに戻す必要がある。
パスワードを単純にハッシュ化した場合、すでにレインボーテーブル(あらかじめパスワードとハッシュ値の対応表)が出回っているから、単純なハッシュ化では元のパスワードを復元できてしまう。
そこで、パスワードごとにランダムに生成したsaltを、パスワードに付加してからハッシュ化することで、レインボーテーブルを事実上使えなくする方法がある。
と素人の俺は考えているのだが、間違っていたら突っ込み頼む。
Re: (スコア:0)
GPUクラウド使えば計算できるんですよ、たぶん
Re: (スコア:0)
多分想定している攻撃が違うんだと思う。
そこそこの数のアカウントの中から、できるだけ多くのハッシュを解読するという攻撃では、レインボーテーブルは有効だし、その対策として十分長いソルトを付けることも有効。
一方で特定のアカウントのハッシュを解読するという攻撃では、パスワードのバリエーションがsaltのそれより小さくなるところで、効果がほぼ頭打ちになる。
まぁ、被害者の視点に立つなら他人のパスワードがどれだけ漏洩したかは、あまり興味ないよね。
Re: (スコア:0)
なるほど、ある個人のパスワードをハッシュ値から求める場合は、もうばれているsalt値は意味がないので、純粋な計算量となる。
あとはsalt + 生成したパスワード候補 をひたすらGPUでハッシュ化して、入手したハッシュ値と一致するかを試行すればいい。
となるとsaltを使う意味はレインボーテーブルを使えなくして計算量を増やすメリットはあるにしても、
もとパスワードが短ければ、GPUクラウドで計算量を大量に用意できれば、比較的短時間に一致させることができる。
つまり、パスワードが短ければ、saltがいくら長くてもランダムでも、無駄だと。
とはいえ、ランダムで長いsaltが無駄というわけではないけど。
長いパスワードを使っていても、レインボーテーブルに載っていたら、すぐに解かれてしまうから。
極論では (スコア:0)
> 簡単なパスワード(人名+誕生日とか辞書に載っている単語+年号とか)
と
> 10文字のランダムな英数字だとか、英単語を5個ぐらい繋げたパスワード
の間に、結構な領域があるのでは。(つまり極論では?)
私の場合、英文フレーズの各単語から文字を抽出(=辞書にない)+数字を入れた、10文字程度のパスワード、などを使う。
だが、別にセキュリティマニアではないので、
> でも、そういう強度の高いパスワードをつけるようなセキュリティマニアは、そもそもパスワードを使いまわししない
という想定は成り立たない。(主観的なセキュリティクラスごとに、何種類かを使いまわしする)
そういう人も少なくないと思うのだが。
むしろ、情報が漏れた場合に「安易なパスワードユーザ」も「ある程度工夫したパスワードを使うユーザ」も、区別なしに瞬時に再利用できる生パスワード保存は、可能な防御もしていない点で、充分に非難されることだと思う。
つまり、今でも業者がハッシュ化の意味は十分あるし、すべきだと思う。
Re:いい加減に (スコア:1)
CHAP認証を提供しているISP(ほぼすべて)が全滅してネットが使えなくなりますね
Re:いい加減に (スコア:1)
良くない。
パスワードを使い回してるユーザーが罰を受けるべき。
コンピュータを利用するすべての人間が、送信したパスワード文字列は
利用先サービスがそれを知ることができるのだという事実の意味を正しく認識するべき。
性善説的思想はある程度排除できないと思ってはいるが、パスワード使い回しに関しては安易な性善説に頼り過ぎ。
Re:いい加減に (スコア:1)
ブラウザの機能として、パスワードが重複していたら警告するとかやらないものなのだろうか。拡張とかではあるんだろうけど。
Re: (スコア:0)
裁判所からネット犯罪者がインターネットに触れてはならない、投資詐欺師は金融業で仕事をしてはならないという判決を受けることはあっても、
犯罪を犯したエンジニアやハッカーがコンピューター業界で働いてはならないという判決を受けたことはないのかな。あってもいいんじゃない。
Re: (スコア:0)
ケビン・ミトニックですら、出所後はPC業界で働いてますからねぇ・・・
#どっちかって言うとソーシャルハッカーだけどね。
Re: (スコア:0)
ありえない極論を吐いてせいせいしてるうちは無理でしょうね。
Re: (スコア:0)
裁判する機会があれば、パスワードを平文で保存していたら、過失を指摘したいところだが、裁判費用が出るぐらい損害を受けて、それが俺にわかることはないだろうから、そんな機会はなさそう。
肝心な預けてたファイルは? (スコア:0)
メールとパスワードも大事だろけど、このサービスの肝ではある預けてたファイルは漏洩したの?してないの?
そっちの方が大事だと思うけど、何処にも書かれてないような?
Re: (スコア:0)
大手はこういうの禁止してるとこ多いから大丈夫だと思うけど、結構な数の会社が業務で使ってるんだよな。
俺は使ってないけど、特に禁止もされてないので、使ってる社員が何人かいるのを知ってる。当然取引先にもいる。
既に漏洩が確定してるメールとパスワードも企業アカウント多いと思う。今後の影響が心配。
ファイルが漏洩してたら、もっとえらいことになりそうだ。
Re: (スコア:0)
気の利いたところはこの手のサービスを自前でやっていますね
某組み込みパソコン屋さんは親会社のシステムを使ってるらしくって
知らんとこのサーバを案内されてちょっと面食らった
Re: (スコア:0)
気が利いてるのかなぁ…。
はっきり言って自前のサービスなんて、セキュリティレベルでは専業サービスの足元にも及ばないと思うのだけれども。
Re: (スコア:0)
気の利いたウチのシステム部門のヘルプデスクはファイル転送、クラウドストレージ系をアクセス制限かけてるくせに
「業務用ノートPC利用者かつ社用スマホ所持者は、当該サービスに繋がらない場合LANケーブルを抜いて、Wi-Fiを社用スマホ"等"に接続しVPN起動せずに利用ください、当初の条件に合致しない方は同様の手順で繋がる場合もありますが保証いたしかねます」と丁寧に説明してくれる
他にも最近気が効いた事に「接続禁止を予定していたUSBメモリは業務に支障があるとの意見が多いため延期(事実上無期限)しました、でも極力繋がないでね」なんて言い出した
セキュリティ委員会って何の仕事してるんだろう・・・
Re:肝心な預けてたファイルは? (スコア:1)
ちゃんと仕事してんじゃん、だから延期なんて決定が出たんだろ。
そんな状態で強硬したらたちの悪い輩が穴見つけてなんとかしだすので本末転倒だろ。
業務を無視して事を進めるあたりマッチポンプ感はあるけどね。
Re: (スコア:0)
「なお、現時点で具体的な被害は確認されておりません」
Re:退会したらデータ消せよ (スコア:3)
Q8. 今月利用分の領収書を発行してほしい。(ビジネスプラス会員(有料会員))
A. サービスの復旧まで、領収書の発行ができません。誠に申し訳ございません。
これ、仕事で使ってる人はかなり困りそう。
何ヶ月も後に経費精算しても落ちないし、ヘタに長引いたら3月末が決算な会社とか、困るような気がする。
Re:安心のセキュリティ (スコア:1)
技術的なセキュリティじゃなくて監査のためのセキュリティってことでしょ。