Photo By Shutterstock
伊藤僑
Free-lance Writer / Editor
IT、ビジネス、ライフスタイル、ガジェット関連を中心に執筆。現代用語辞典imidasでは2000年版より情報セキュリティを担当する。SE/30からのMacユーザー。著書に「ビジネスマンの今さら聞けないネットセキュリティ〜パソコンで失敗しないための39の鉄則〜」(ダイヤモンド社)などがある。
不正アクセスに関するお詫びのメールが届いた
3月23日の深夜にクラウド型の手帳サービスを運営する「Lifebear」(ライフベア社)のユーザーサポートからメールが届いた。「(重要)当社サーバーへの不正アクセスに関するお詫びとご報告」というタイトルだったので、慌ててその内容を読んでみると……。
Lifebearは、確かiPhone 4s時代にいくつか類似アプリを比べてみて使い始めることにしたと記憶している。人気アプリだけあって、電子手帳として求められる機能はほぼ網羅しており、私にとって手帳を使い続けるためには必須のデザイン性もかなり優れていた。ここ2年ほどは手帳の必要性をあまり感じなくなってしまったため、滅多に開くこともなくなってしまっていたのだが。
メールによると、2019年3月18日に外部のセキュリティ専門家より連絡があり、Lifebearに対して第三者による不正アクセスが行われ、情報が不正に取得された可能性が判明。直ちに調査を行ったところ、過去に運用されていた同社データベースへの障害対応用のアクセス経路に問題があったことが確認されたという。
今回判明した不正アクセスは、この経路を使って2019年2月に攻撃が行われたものと判断したようだ。
漏洩は確認されたが、パスワードはハッシュ化
不正取得が確認されたのは、Lifebearにアカウント登録しているユーザーの「ユーザー名」、「メールアドレス」、「アプリ内の設定画面(カレンダーの表示に関する設定の設定値)」、「パスワードを確認するための、本来のパスワードが推測できない形で変換された文字列」の4項目だった模様。クレジットカード情報やiTunesアカウント、Google Playアカウントといった商品購入に関する情報は一切保存していないため、今回不正に取得された情報には含まれていないようだ。
当然ながら気になるのは、パスワードについてだ。
同社によると、「パスワードそのものは保存しておりません。「ハッシュ化」および「ソルトの付加」などの措置を講じることで、パスワードそれ自体を得ることができないような処理を行った上で情報を保管しております」とのこと。
ハッシュ化といえども完璧ではない
ハッシュ化とは、元のデータ(ここではパスワード)をハッシュ関数と呼ばれる特殊な計算手順によって規則性のない固定長の値に変換する不可逆変換処理のこと。求められたハッシュ値から元のデータを復元することは困難なのでパスワードの保管などに適しているとされる。
しかし、ハッシュ化といえども完璧ではない。
例えば、2015年9月に発生した出会い系サイト「Ashuley Madison」からのパスワード流出事例では、解読に数百年かかると言われていたアルゴリズムでハッシュ化されていたにもかかわらず、悪意ある攻撃者によって解読され、サイトの利用を暴露された一部のユーザーが自殺に追い込まれるなどの深刻な事態を招いている。
驚くべきことに、LinkedInやAdobe Systemsといった著名企業すら、ハッシュ化されたパスワードを解読される被害を受けているのだ。
Lifebearが実施している「ソルトの付加」とは、パスワードをハッシュ化する前に、システム側が導き出した文字列(ソルト)を付与することで、より強固な安全性を得られるものだ。
不正アクセス判明後に同社が実施した対策
不正アクセスの判明後、同社では、その原因とみられる通信経路を遮断し、不正アクセスされたサーバーを含めたすべての管理用パスワードのリセットを実施。さらに、旧来の内部システムに代わるものとして新規構築を進めていた、新しい内部システムへの移行も早めたようだ。
また、パスワードのハッシュ化アルゴリズムなどの情報保護の手法についても、より強固なものを利用しているという。
電子手帳サービスは、ユーザーの人には知られたくないプライベートな情報や、ビジネス上必要な機密情報などを預かる、極めて秘匿性の高いサービスといえる。厳重にユーザーのパスワードを管理するのは当然のこととはいえ、システム運用上の苦労も多いことだろう。
今回の事例から、セキュリティ意識の高い企業のアプリやサービスを選択することの重要性を痛感させられた。
数億人分のパスワードを平文で保存していたFacebook
秘匿性の高い情報を預かるという意味では、個人対個人や、個人対企業などのコミュニケーションに利用されるSNSにも、同レベルのセキュリティ対策が求められるはずだ。にもかかわらず、Facebookでは2〜6億人分のパスワードを社員が参照可能な平文(プレーンテキスト)の状態で保存していたという。
米セキュリティ情報サイト「Krebs on Secrity」によれば、パスワードを平文で保存し始めたのは2012年からで、2万人以上の従業員が参照できた模様だ。Facebookもこれを認めており、現在ではハッシュ化処理を済ませ、従業員も参照できなくなっているとされる。
米セキュリティ情報サイト「Krebs on Secrity」
今後は、よりパーソナルな方向へサービス内容の舵を切るというFacebook。だとすれば、より一層のセキュリティ対策を講じてほしいものだ。