「宅ふぁいる便」大規模個人情報漏洩の技術的考察

2019年1月25日、大阪ガス子会社のオージス総研(大阪市)が運営する大容量ファイル転送サービスの「宅ふぁいる便」で、約480万件の個人情報を流出したとの発表がありました。

FormOK技術チームも、当然、ITセキュリティは専門分野ですので、この事件に注目しています。日が経つにつれ、次第に状況が判明してきましたので、ここで一旦、専門家としての視点でまとめてみたいと思います。

1. 概要

「宅ふぁいる便」は、1999年にサービスを開始し、現在、無料の約330万会員、有料の約2万会員が利用する大容量ファイルの転送サービスです。有料の場合、初期費用2万円、月額利用料17,000円(クラウド版共用型100ユーザ)〜で提供されています。

今回の一連の事件は、2019年1月22日に海外からの不正アクセスがあったことから端を発し、翌23日にサービスを停止しました。漏洩の公式発表はその2日後の25日です。

2. 漏洩内容

運営側より、今回の不正アクセスで以下の個人情報が漏洩したとの発表がありました。

  • 氏名(ふりがな)
  • ログイン用メールアドレス
  • ログインパスワード
  • 生年月日
  • 性別
  • 職業・業種・職種
  • 居住地の都道府県名
  • 予備メールアドレス
  • 居住地の郵便番号
  • 勤務先の都道府県名
  • 勤務先の郵便番号
  • 配偶者
  • 子供

3. 所見

まず、無料サービスで個人情報を取り過ぎている感が否めません。マーケティングなどで活用したいという目論見でしょうが、あまり多くの個人情報を求めるサービスには要注意です。

次に着目したのは、ログインパスワードがあろうことか平文のまま保存されていたという事です。これはITセキュリティの基本中の基本であり、初級編レベルでもやっておいて当然の事ですが、パスワードは暗号化(厳密にはハッシュ化といいます)して、最悪、漏洩してもパスワード文字が解読できないようにしておくべきです。

FormOKでは、当然のことですがパスワードは我々技術チームでも解読不可能なようにしてサーバに保存しています。

例えばパスワード文字が「password」とします。実際、passwordというパスワードは登録できませんし、他のサービスでもpasswordで登録してはいけません。あくまで例としますが、この場合、FormOKのサーバには

$2y$10$sbNYYlbDEDTE.U3lVIJ9Be31sHsKuO2s15SKlopKd5YMP4Qjc3xbW

などで保存されます。見ての通りpasswordの原形もなく文字数も長くなっています。
これがハッシュ化という技術です。SSLなどの暗号化でも同様の技術が使われています。ハッシュ化は素数を使っていて、不可逆変換、つまり password → $2y$10$…3xbW にはできるけど、その逆にはコンピュータで計算しても決してできない(スーパーコンピュータでも数年かかるとされる)のです。

更にそれだけではなく、FormOK では password と設定しても毎回異なるハッシュ化文字列になるので、上の $2y$10$…3xbW は、ほぼ二度と同じ結果になりません。

$2y$10$0rjRlekBkPs0YN1Eo60IF.cjJmKrPlFUn7BioY3XH87RBt0piRBiG

もう一度、ハッシュ化した結果が上です。先程の結果とまるで異なる事が分かると思います。

このように、パスワードはユーザが入力したまま(平文といいます)でサーバに保存しないのは、最低条件であり、この程度のセキュリティ知識も無いのであれば、一事が万事で、外部攻撃にも脆弱であるだろうという事が容易に推測できます。

しかしユーザからは、そのサービスがどのような形式でサーバにパスワードを保管しているかは分かりませんので「そちらのサービスでは、パスワードはハッシュ化して保存しているか?」という事を事前に確認してみると良いかも知れません。

ちなみに今回、宅ふぁいる便が情報漏洩した原因ですが、「SQLインジェクション」ではないかと推察しています。公式発表されていないので、あくまでも推測の範疇ですが、公表されている情報をもとに状況的に考えて、入力項目にSQLというデータベース言語をある方法で入力すると、データベース内のローデータを抜き取る事が出来てしまうというものです。

当然、FormOKではこの手口を使えないよう施していますが、セキュリティ意識の低いサイトでは、不正アクセスによく使われています。

4. プライバシーマークがあるのに?

日本国内のサービスによく見る「プライバシーマーク」。今回の「宅ふぁいる便」もプライバシーマーク認証済みでした。

も、というのはプライバシーマーク認証済みなのに個人情報漏洩しているケースがやたら多いからです。業界内の裏側の話として、実際、プライバシーマークに個人情報漏洩の効果はほぼ無いのが実情です。

ITセキュリティの専門知識があるんだかないんだかという調査員が書類上のチェックのみで取得できるのがプライバシーマークと言ったら大袈裟でしょうか。取得費用は高額なので、お金があれば取れる認証という印象が強いです。これは技術的と言うより政治的なことなので詳細にはここでは言及しません。ネットで幾らでも出ると思います。

ただ、ユーザとしてプライバシーマークがあるからと言って個人情報漏洩しない担保にはならないと考えておくと良いかも知れません。

FormOK技術チーム

シェアする

  • このエントリーをはてなブックマークに追加

フォローする