2019年前半もクレジットカード情報の流出事件が続いている。大きな事件としては、宅ふぁいる便とヤマダ電機だ。Webセキュリティの第一人者である徳丸浩氏に、二つの事件について語ってもらった。2回に分けて掲載する。前半はサービス停止に追い込まれた宅ふぁいる便について解説する。

(聞き手は日経xTECH Active編集部)

古い環境を使い回す危険性

2019年前半に目立った事件として、宅ふぁいる便とヤマダ電機の事案を考えていきたいと思います。まずは宅ふぁいる便の事件からお願いできますか。

解説:宅ふぁいる便事件でどこが問題になるのか
 大阪ガス100%子会社のオージス総研が提供するファイル転送サービス「宅ふぁいる便」で、480万件のメールアドレスとパスワードが漏洩した事件。2019年1月23日にサービスを停止し、その後、停止中のままである。不正アクセスの原因は「一部サーバーの脆弱性を攻撃された」(オージス総研)としている。

 この事件で最も深刻なポイントは、Webサービスにログインするために使うメールアドレスとパスワードが、暗号化もハッシュ化もしていない平文のまま流出したということだ。流出したログイン情報を悪用してさまざまなWebサービスへの不正ログインを試みる「リスト型攻撃」が増える恐れがある。

徳丸 宅ふぁいる便の事件には2つのポイントがあります。一つ目は、古くからの著名なサービスであるということ。古くからのサービスというのは開発当初の環境で動いていることがありまして、我が社の顧客でもそういうものをだましだまし使っているケースが多いです。

新しい環境に乗せ替えたりせずに、だましだまし使っているところが多いと。

徳丸 宅ふぁいる便がそうだったという確証はないのですが、一般論としてはそういうことが多いですね。この事件のことを考えると、古い環境をどうするかという課題があると思いました。OSの入れ替えなどはしたとしても、アプリケーションを作り直すといったことはしていなかったはずです。作りも古いので安全性という点で課題があったのではないでしょうか。

もう一つのポイントはなんでしょう。

徳丸 もう一つは非常に世間を騒がせた、パスワードを暗号化していなかったという点。あるいはハッシュ値で保存されていなかったということですね。取材などによると、「やろうやろうと思っていたけど後回しになっていた」と聞きました。

 別のメディアからは「徳丸さん、あらためてパスワードについて講演してください」という依頼が来て、「え、いまさらですか」と驚いたんですが、やってみるとこれが好評でした。みんな、実はパスワードについてあまり知らないんですね。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。