株式会社ジラフは1月31日、第三者が勝手にツイートできてしまう問題などでサービスを一時停止してた匿名で質問することができるサービス「Peing(ペイング) -質問箱-」の運用を再開。一時停止と調査の中で、パスワードやメールアドレスが漏えいした可能性が確認されたと報告しています。
「Peing-質問箱-」で情報漏洩の可能性、第三者が勝手にツイートできてしまう問題などの調査で発覚
匿名で質問できるサービス「Peing-質問箱-」(以下、質問箱)から、ユーザーのパスワード約95万件、メールアドレス約150万件が漏えいした可能性があると、運営会社ジラフが発表しています。
質問箱は1月28日、第三者が勝手にツイートできてしまう問題に対応するためメンテナンスを実施。調査の中で第三者がTwitterのAPIトークンを取得できてしまう問題が確認され、ユーザーのメールアドレスやハッシュ化されたパスワード、過去のツイート情報(鍵垢の場合も含む)、Twitterへの投稿、相手先を指定したDM送信ができる状態になっていたと発表されています。
緊急のメンテナスを実施します。ご迷惑をおかけして大変もう申し訳ありません。
— Peing-質問箱-(公式) (@Peing_net) January 28, 2019
第三者が勝手にツイートできてしまう問題について対応中で、
— Peing-質問箱-(公式) (@Peing_net) January 28, 2019
明朝までに復旧見込みです。
本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。
詳細は明日、会社よりお知らせ致します。
ご迷惑をおかけし大変申し訳ございません。
Peing-質問箱ご利用ユーザー様
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
昨晩からの問題に関する対応は完了しておりますが、安心して皆様にご利用いただくためメンテナンスを延長し、Twitter連携部分に関して調査・確認をしております。
メンテナンス終了時間は16時を予定しておりますので、今後ともどうぞよろしくお願い致します。
メンテナンス中に自動質問機能、通知機能が作動していた件につきましては、現在機能停止をしております。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
質問箱を継続して安全にご利用頂くため、問題の解決を図っております。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
メンテナンス終了を16時としておりましたが、もうしばらく延長をさせて頂きます。
また発生している問題および、ご心配頂いております影響範囲については、いまから順次、本アカウントにてツイートし共有させて頂きます。
今回発生しております問題は第三者がユーザ様のTwitterのAPIのトークンを取得できてしまう事象になります。(既にトークン自体が無効になっておりますので、ご安心下さい。)
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
詳細情報に関しては、本ツイートのリプライに記載致しますので、ご確認下さい。
本事象により起きうる事象は下記の通りです。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
1)ユーザ様のTwitterの情報の取得できた
・トークンを用いて、登録されたメールアドレス
・ハッシュ化されたパスワード
・過去に自分で行ったツイートの情報など(鍵垢の場合も含む)
2)Twitterへの書き込み
3)相手先を指定したDMの送付
またTwitterやネット上で言われている下記のことはできず、これらが悪用されることはございません。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
・プロフィールに記載のない電話番号や住所などの個人情報の取得
・Twitterへのログイン
・Twitterログインを用いた他サービスへのログイン
・DM内容の閲覧
Twitterでの連携解除ですが、28日(月)22時10分に対応が完了しておりますので、連携解除を行わなくても情報が第三者に渡ることがございませんので、ご安心下さい。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
メンテナンス終了時刻を1月29日(火)18時を予定しておりましたが、改善の実装が完了し最終確認中のため20時まで延期とさせていただきます。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
サービス提供開始次第、公式アカウントからご連絡させていただきます。
ご迷惑をおかけ致しますが、ご理解ご協力のほど、よろしくお願い致します。
メンテナンスは29日の19時53分に一度終了していましたが、同日20時44分に再び一部に問題が判明し再度メンテナンスを実施。同日中に完了する予定だとされていましたが、サービス再開スケジュールは翌日に提示するとメンテナンス状態が続いていました。
Peing-質問箱-ご利用ユーザー様
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
長らくお待たせ致しましたメンテナンスが無事終了致しました。
検知されていた問題は全て解決し皆様に安心してご利用いただける状態になっております。
ご迷惑をおかけ致しましたが、今後ともご利用のほどよろしくお願い致します。
https://t.co/c5XNgjgzF1
一部問題があることがわかり、再度メンテナンスを実施いたします。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
さっそく多くのユーザ様にご利用いただいていたにも関わらず、申し訳ありません。
本日中に対応できるよう、取り組んでおります。
恐縮ではございますが、今しばらくお時間をください。
問題の対応を進めておりますが、網羅的な確認、専門企業による確認などの対応を行い、より安全な状態でサービスをご提供したいと考えています。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
そのため本日のメンテナンス終了を延期し明日改めて再開のスケジュールをご提示させてください。
早期に復活いたしますので、どうぞ宜しくお願い致します。
1月30日、質問箱はサービス再開にあたり今回の騒動の経緯と状況を報告。主な問題点は3つあり、(1)APIトークンが第三者に見える状態になっていた、(2)SNSに登録されているメールアドレスが閲覧可能な状態になっていた、(3)質問箱に登録されていたハッシュ化されたパスワードが閲覧可能になっていた、と報告しています。
メンテナンスの延長が続き、ユーザの皆様に多大なるご心配、ご迷惑をおかけしており、申し訳ございません。
— Peing-質問箱-(公式) (@Peing_net) January 29, 2019
本問題の改修も含め、より安全で魅力的なサービスとしてご利用いただけるよう務めます。
本件の一連の問題に関し、重ねてお詫び申し上げます。
状況についてユーザ様にお知らせいたします。
— Peing-質問箱-(公式) (@Peing_net) January 30, 2019
現在、すべてのリソースを使いPeingの安全性確保をしたうえでの再開を目指し、網羅的なチェックをしております。
本日中に再度メンテナンスを終了しサービスをお届けするつもりで当たっております。
お待たせしており申し訳ありません。
サービス公開の準備が完了いたしましたが、再開の前に、本件に関する経緯および状況をご報告させていただきます。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
詳細については追ってプレスリリースを配信いたしますので、重要な点のみ、お伝えさせていただきます。
本件は先日のプレスリリースの通り、1/28に質問箱の脆弱性が指摘され、緊急メンテナンスを実施したところから始まります。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
指摘箇所を修正し、1/29にメンテナンスを終了しサービス提供を再開しましたが、別の問題が発見され、再度メンテナンスを実施しておりました。
問題となっている、主な点は3つございます。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
まずAPIトークンが第三者に見える状態になっていたこと。これにより、各SNSのAPIを利用し、情報の閲覧やTwitterではツイートが出来るようになっておりました。
こちらについては1/28の22:10に対応を終えており、同様の操作はできない状態になっております。
2点目に質問箱に登録されていたメールアドレスと、APIトークンを用いてSNSに登録されているメールアドレスが閲覧可能な状況になっておりました。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
3点目に質問箱に登録されていたハッシュ化されたパスワードが閲覧可能となっておりました。パスワードはハッシュ化されており不可逆ですが、相応な環境と時間をかけて特定のユーザー様のパスワードを調べることが理論上不可能ではありません。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
漏洩した可能性があるパスワードはハッシュ化されていたとされていますが、メールアドレスへのフィッシング詐欺などの被害が考えられるとし、質問箱と同一パスワードを使用しているサービスのパスワード変更をユーザーに呼びかけています。
これらの理由から登録いただいておりますメールアドレスへのフィッシング詐欺や、メールアドレスないしアカウント名と、ハッシュ化されたパスワードを利用した同一パスワードを利用しているサービスへのログインなどの被害が考えられます。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
現時点で、これら被害については確認されておりませんが、パスワードの変更頂くことが最善と考えております。お手数ではございますが、質問箱のPWおよび、本サービスと同一のパスワードを利用しているサービスのパスワードの変更をして頂きたく存じます。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
質問箱のサービスは1月30日12時40分より再開されています。
メンテナンスに長時間になってしまいましたが、すでにご指摘を頂いておりました箇所の修正に加え、各API、ページを網羅的に確認し、安全にサービスがご提供できる状態になったと判断いたしました。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
よって、12:40よりサービスを再開させていただきます。
引き続きご利用いただけるよう、安全性の確保、安定したサービスの提供のため全力を尽くしてまいりますので、どうぞよろしくお願いいたします。
— Peing-質問箱-(公式) (@Peing_net) January 31, 2019
重ねてのお詫びにはなりますが、本件に関しまして多大なるご心配、ご迷惑をおかけし申し訳ございませんでした。
ハッシュ化されたパスワード約95万件、メールアドレス約150万件が漏えいの可能性
ジラフが1月31日に発表した内容によると、今回の騒動で漏洩した可能性のある最大件数は、質問箱内のハッシュ化されたパスワードが949,480件。同じく質問箱に登録されたメールアドレスの1,497,697件とのこと。
漏えいしたパスワードはハッシュ化されているため、一般的に容易な方法では解析不可能であり、現段階で確認された具体的な被害はないとのこと。外部機関による調査は現在実施中で、2月中旬頃には完了予定だといい、調査結果は改めて公表するとしています。
ネット上では今回の騒動を「個人的にここまで危機感の無い実装をする企業のサービスは使わない」といったコメントも寄せられています。
ユーザが想像する「全部漏れた」を上回る、内部的な情報まですべて流出している酷い状態。個人的にここまで危機感の無い実装をする企業のサービスは使わない。ここまでの流出に対して自衛できる自信が無い。 / “Peing-質問箱-における情報漏洩についてお詫びとご説明(第二…” https://t.co/54ydrcR6qm
— ししゃ@はてブ垢(準備中) (@sisya_hatebu) 2019年1月31日
とりわけsaltが漏れたことに反応しているコメントがいくつかあるが,パスワードハッシングにおいてのデファクトスタンダードであるbcryptの出力にはsaltも含まれており,何の不思議もない.漏れたこと自体は当然問題. / “Peing-質問箱-における情報漏洩についてお詫びとご…” https://t.co/aDxfSGcMHb
— Naoto Yokoyama (@builtinnya) 2019年1月31日
saltも漏れてりゃパスワードなど辞書攻撃で余裕。 / 他28件のコメント https://t.co/hAOEficWCu “Peing-質問箱-における情報漏洩についてお詫びとご説明(第二報) | 株式会社ジラフ” https://t.co/WxxcEIqG4R
— napsucks (@napsucks) 2019年1月31日