2019年前半もクレジットカード情報の流出事件が続いている。大きな事件としては、宅ふぁいる便とヤマダ電機だ。Webセキュリティの第一人者である徳丸浩氏に、二つの事件について語ってもらった。2回に分けて掲載する。前半はサービス停止に追い込まれた宅ふぁいる便について解説する。
古い環境を使い回す危険性
2019年前半に目立った事件として、宅ふぁいる便とヤマダ電機の事案を考えていきたいと思います。まずは宅ふぁいる便の事件からお願いできますか。
この事件で最も深刻なポイントは、Webサービスにログインするために使うメールアドレスとパスワードが、暗号化もハッシュ化もしていない平文のまま流出したということだ。流出したログイン情報を悪用してさまざまなWebサービスへの不正ログインを試みる「リスト型攻撃」が増える恐れがある。
徳丸 宅ふぁいる便の事件には2つのポイントがあります。一つ目は、古くからの著名なサービスであるということ。古くからのサービスというのは開発当初の環境で動いていることがありまして、我が社の顧客でもそういうものをだましだまし使っているケースが多いです。
新しい環境に乗せ替えたりせずに、だましだまし使っているところが多いと。
徳丸 宅ふぁいる便がそうだったという確証はないのですが、一般論としてはそういうことが多いですね。この事件のことを考えると、古い環境をどうするかという課題があると思いました。OSの入れ替えなどはしたとしても、アプリケーションを作り直すといったことはしていなかったはずです。作りも古いので安全性という点で課題があったのではないでしょうか。
もう一つのポイントはなんでしょう。
徳丸 もう一つは非常に世間を騒がせた、パスワードを暗号化していなかったという点。あるいはハッシュ値で保存されていなかったということですね。取材などによると、「やろうやろうと思っていたけど後回しになっていた」と聞きました。
別のメディアからは「徳丸さん、あらためてパスワードについて講演してください」という依頼が来て、「え、いまさらですか」と驚いたんですが、やってみるとこれが好評でした。みんな、実はパスワードについてあまり知らないんですね。