限定公開でまとめを作れば、相互フォローやフォロワー限定でまとめを共有できます!
316
宅ふぁいる便 @takufailebin
ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to
piyokango @piyokango
(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 2019年1月28日 filesend.to/index0128.html pic.twitter.com/TzPbWvPSm9
 拡大
しもしゃん @shimosyan
宅ふぁいる便流出の何がやばいってこれでしょ。世のエンジニア卒倒レベルやん pic.twitter.com/DTYUuHewvD
 拡大
Yuichi Uemura @u1
宅ふぁいる便, 完全に死亡のお知らせ 「流出したログインパスワードは、暗号化されておりませんでした。」 ご質問一覧 buff.ly/2sRwt0u
リンク www.filesend.to 3 users 27 ご質問一覧
コリス🍡 @colisscom
「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、約480万件のお客さま情報のデータが外部に漏洩したことを確認いたしました。 filesend.to メールアドレス、ログインパスワード、生年月日の漏洩は確定、とのこと。
Takei @takei
宅ふぁいる便、どうやら国内史上最悪のセキュリティ事故っぽい。 2005年からの480万件のめーる、パスワード(平文)漏洩か サービスの性質上、会社のメアドで登録が多そうだし、リスト型攻撃が出てきそう pic.twitter.com/ulaMIsGx7y
 拡大
 拡大
 拡大
 拡大
しもしゃん @shimosyan
宅ふぁいる便公式サイトの「情報漏洩は企業経営の大きなリスク」、ここまで特大ブーメランなのはなかなかないと思う ogis-ri.co.jp/pickup/takufil… pic.twitter.com/VZhMHofUVQ
 拡大
ktgohan(停止中) @ktgohan
ogis-ri.co.jp/news/1268715_6… 宅ふぁいる便で最大480万件のメールアドレスと「暗号化等が一切されていない」パスワードが漏洩した件、オージス総研は『現時点で個人情報漏洩による二次被害は確認されておりません』と言い切っていますが、こういう不誠実極まりない戯言は、絶対に信用しないでください。
ktgohan(停止中) @ktgohan
というのも、これらのユーザーID・パスワードの組み合わせが漏れ、それが悪意ある第三者に使われたとしても、それがオージス総研から漏れたものであることを証明する(故の被害である)ことを立証するのはものすごく困難なのです。宅ふぁいる便から漏れたものかもしれない。違うかもしれない。
ktgohan(停止中) @ktgohan
賭けてもいいですよ。たとえば、とあるサービスにてリストアタックが急増したとしましょう。オージス総研に「当社サービスにてリストアタックが増加中である。宅ふぁいる便のアカウント情報漏洩由来のものか調査したいので協力してほしい」といってもオージス総研側がこれに応じるわけがないですから。
ktgohan(停止中) @ktgohan
応じられるわけがない。お互いが持つユーザー情報を勝手に交換するわけにもいきませんから。つまり、「二次被害が出ている」ことを確認する術がないんです。どうやっても「これひょっとして宅ふぁいる便の?」と勝手に推測するのが関の山。
いし@名誉🚉長 5年皆勤 @mk_ishi
宅ふぁいる便の今回の大失態。 「大阪ガスは廃業するべき」レベルだよ。 なんだよ「ログインパスワードは、暗号化されておりませんでした」って。 宅ふぁいる便は、大阪ガスの子会社の事業だから信用されてたのに、なにやってんの。 親会社の大阪ガスはなにしてたの。 filesend.to/faq.html pic.twitter.com/oxkmPYOG9T
 拡大
しもしゃん @shimosyan
@sitraskaleid 大手SI会社が運営するサービスとは思えんですよ
yamatoji @yamatoji
@shimosyan @ZARASOKU 普通、ハッシュを使うんじゃないんですか?(汗)
遠野深雪@tohnomiyuki @tohnomiyuki00
@shimosyan 使わなくなって数年経つけど、なんだかなぁ;;;;
しもしゃん @shimosyan
バズったら宣伝してもいいと古事記にも書いてあるそうなので… 東方アレンジを中心にクラブミュージック作ってます! 委託販売もしてるので良かったら買ってね!! soundcloud.com/shimosyan/myst… ショップ→ melonbooks.co.jp/detail/detail.…
ふうか @mogukumi
宅ふぁいる便から「情報漏えいの恐れがあるお客様」ですとメールが来た。 ほんと、困るよね。
宮脇淳(ノオト代表) @miyawaki
不正アクセスで個人情報ダダ漏れした宅ふぁいる便さんから、こんなメールが届いた。 ●他のウェブサービスで「宅ふぁいる便」と同一のユーザーID、パスワードを使っていたらすぐ変更して! ●なお「宅ふぁいる便」は現在サービス停止中なので、パスワードを確認・変更できません。 どうしろと。
ひみか @himicamus
使ってるgmailに宅ふぁいる便からメール来てた そしてこのメールで使ってたDMM のパス変えておいた😢 pic.twitter.com/SDjJiUiJeN
 拡大
このしろ @knsr___
宅ふぁいる便マジか😭って思ってたらメール届いてた………… pic.twitter.com/u5IRdCIBU2
 拡大
清 史弘 @f_sei
たった今、宅ふぁいる便からメールが届いた。 相当深刻だと思われるので情報共有のため貼っておく。 filesend.to 私は会員になっていないと思うのだが、臨時的に使っても危ないということか。どこまでの情報を提供したかは覚えていない。

コメント

おろろ @fYe39CoQsPrbZVK 1月29日
日本は「セキュリティガバガバで何か問題出たら商品券配れば安く済む」というサイバーノーガード戦法がまかり通る魔境なので、いい加減集団訴訟起こして潰してやらんと目冷めんよこいつら
カミ @kami2805 1月29日
身分証預けたら盗まれたようなもんだと思うんだけどなぁ。もうちょっと罰を与えて欲しい
汝、翼を与える@ばってん先に翼ばくれんね イベント・・(出た、出たが最初から居るとまでは・・・) @ryunosinfx 1月29日
やはり、法人消滅までの罰を与えないと今後もお漏らしは無くならないのでは?持つこと自体がリスクという認識まで昇華しないと。
すずみ @666Range 1月29日
こういうの使う時は登録なし&捨てアドでやり取りするに限るな
きたあかり @kita_akari0420 1月29日
ひとり500円ずつ払えばいいんだろ?みたいのはもう無しにして欲しい
愛媛人と大阪人のハーフ @TmtRj 1月29日
郵便番号まで流出してて草もはえない
やし○ @kkr8612 1月29日
「パスワードの平文管理」ってお前…お前……!
monolith@フォロー外から失礼します @se_monolith 1月29日
大企業の法人向けサービスがこんな体たらくって…
元ダルマ @motsu_ad1885 1月29日
平文は論外として、そもそもこのサービスであればパスワードはハッシュ化出来たのでは。
いくら @YamadaIkra 1月29日
平文でパスワード保存してる他の企業「うちは漏れないからヘーキヘーキ」
シナモン @cinnamonP 1月29日
関係者「『漏洩対策の金額>漏洩した後のお詫びの金額』 なら漏洩対策しなくても良いよね♪」
いぬだわん @InuWang 1月29日
オージス総研って技術コンサルやオブジェクト広場運営してたり洋書の翻訳してたりと意識高い系IT屋だと思ってただけに自社のサービスがグズグズだったのが残念。
kotobato @kotobato 1月29日
ここまで酷いサービスだとは思わなかったが 明らかに漏洩発表以降 日本人タレント名や顔文字入りスパム劇増中
HasHeadache @HasHeadache 1月29日
今時平文でパス管理してる企業があるとか…と思ったが表に出てないだけでこんなのは氷山の一角なのかもしれない
やし○ @kkr8612 1月29日
HasHeadache むしろ宅ふぁいる便とかってこの手のサービスでは比較的古参(2005年からの情報って言ってるし)なので逆にセキュリティ管理のアップデートがついていってないんじゃないのって感じ
緑川だむ @Dam_midorikawa 1月29日
問題は今後の代替サービスどうすんのかだよ
ゲーム用垢 @z1g6309 1月29日
10年、20年レベルで継続しているサービスでは実は平文保存ゴロゴロあります。 今あるデータをハッシュ化する難易度が高いし、(漏れなければ)特にやる利点も無いですから。
生き残った墺太利伊太利帝国さん @NotAustralia01 1月29日
・「特大のブーメラン」ツイートが2回まとめられてる ・勢い順とかいるか?
エリ・エリ・レマ・サンバディトゥナイ @mtoaki 1月29日
●ですら暗号化はされてた…ような気がするけど覚えてない。
@x8I48mibYNrdgi5 1月29日
z1g6309 昨日今日産まれたサービスだって(漏れなければ)暗号化する利点なんてないんですが
妹之山正雄@7th情報まだー? @masawoImonoyama 1月29日
DBにパス平文書いてたって・・・これ責任者がリアル割腹チェストするレベルの大失態やん(滝汗)
frisky @friskymonpetit 1月29日
通信路が信頼できない場合は、平文パスワード+ダイジェスト認証という構成もあるのよね。たいていは通信路の暗号化+ハッシュ化パスワードの構成にするけどね。 平文パスワードの保管時に暗号化されていたかどうかはまた別の話で、今回はそれがされていなかったから問題が大きくなっているように思う。(まぁパスワード格納時に暗号化できるような運営体制ならハッシュ化もできるだろうけどな)
もこ @mocomb 1月29日
こういうの、もちろんクラックする側が悪いんだけど、やらかした企業に対しても内容によっては罰則設けないとだめでしょ。さすがに平文管理だの退会情報保管だのひどすぎる。
高村武義 #WalkAway @tk_takamura 1月29日
今回の対応で最低なのが、何の賠償も償いも無く、ユーザーに対して宅ふぁいる便と同一のメールアドレス、パス使ってるwebのパス変更を要求してるところだろう。どれだけそれが面倒な作業になるのか分って言ってるのか。
冶金 @yakeen4510 1月29日
これはひどすぎるけど、情報漏洩は完全にはなくならない。だからクレジットカードとかマイナンバーは怖いわけよ……。
せんたく @senn_taku 1月29日
つい先日、平文で流出する可能性もあるとは言ったがタイムリーすぎる
trycatch777 @trycatch777 1月29日
うわー、平文とはほんとうにビックリだ… ありえへん…
TD-M18もっこㄘん @Mokko_Chin 1月29日
紙にでも書いてたほうが遥かにマシだったな。
trycatch777 @trycatch777 1月29日
「今あるデータをハッシュ化するのは難易度が高い」って。エンジニアが自分でハッシュ値計算するわけでもあるまい? あと、「漏れなければ」という前提がそもそもダメなんだけど。漏洩は外部からのハッキングに限らないのだが、わかってんのかな。
倉瀬美都 @clausemitz 1月29日
たまに、こういうパスワードをハッシュ化や暗号化せずに平文で残しました、って信じらない事故を聞くけど、中学生のアルバイトにでも発注してるんかね?
倉瀬美都 @clausemitz 1月29日
「今あるデータをハッシュ化するのは難易度が高い」? え?言っている意味がわかんない。パスワードを一個ずつ手作業でハッシュ化するつもりだったとか?
こねこのゆっきー @vicy 1月29日
fYe39CoQsPrbZVK 某ネトゲの情報が流出した時に諦めたわ。いろんな所で集団訴訟って言ってたら、ゲハ厨にボロクソに叩かれたわ。
堀石 廉 (石華工匠) @Holyithylene 1月29日
しばらく前のレイバン祭りで、宅ファイル便からのパスワード流出を疑ってる人が周囲にいた。公表されていない(or感知されていない)流出事案が過去にもあったのかもしれない。
紺碧 @Konpekin 1月29日
そもそも重要なパスもデータも扱わない前提だしと開き直ってる所はギガファイルやファイアストレージだけど、セキュリティ管理に厳しい大手百貨店やデザイナーほど容量少なくても使いづらくても宅ふぁいる便で送ってくる、って印象があったのでマジで怖い
フシハラ @Fushihara 1月29日
漏れなければって前提がそもそも駄目だろ。泥棒に入られなければ問題ないって鍵かけないのかよお前は。
Simon_Sin @Simon_Sin 1月29日
総務省あたりが「お前の会社のサービスはパスワード平文保存してねえだろうな?」と脅しをかけてもいいのではないか
すいか @pear00234 1月29日
オージス総研って、色々新しい技術や手法のセミナーだなんだやってるとこなんだけど、ここの技術者は今後どんな顔してセミナーとかやるんやろ。 「デジタルイノベーション(パスワードを平文保存)2019」とか、「イノベーションを成長させて(退会顧客情報を破棄せず保存して)ますか?」とか。
saku @sakuuuuuuune 1月29日
みためがぱっとみ古い日本のサービスは、パスワード平気で平文で保存してそうだから、結構警戒するし、多少便利そうでもやめたりする
VRAM01K @VRAM01K 1月29日
パスワード忘れた時に、登録メールアドレスにパスワード送ってくるサービスは平文保存ですよね。宅ファイルはどうしてましたっけ
すいか @pear00234 1月29日
つーかよ、オージス総研、2度とISMSとかセキュリティとか口にするなって感じだな。 https://www.ogis-ri.co.jp/qua/security.html
Nina Z @ninazrdl 1月29日
アタックされた!→まぁ仕方ないね、今の時代ではよくあることだから。情報漏れた!→まぁ、アタックされたから仕方ないね、次はちゃんとしろよ。暗号化もしてないよどうしよ!→一遍死んでみる?
m.nak @friedaji 1月29日
日本企業は「やらかし」を極端に恐れる パスワードをハッシュ化する作業の結果、どこかで不具合が出た場合のリスクを過剰に考えて リスクあるならやらないほうがいいよねーとなった可能性が
すいか @pear00234 1月29日
VRAM01K 普通はメールで「パスワードをリセットした」ってお知らせでそれなりのランダムな文字列送ってくるけど、システムにはそのパスワードで初期化させるとして、保存するのはハッシュ文字列だと思う。
すいか @pear00234 1月29日
InuWang まあぶっちゃけ、紹介や布教や啓発や啓蒙だけなら簡単ではあるってことなのかもね。「現実的にどうすんのか」を無視して「そこはお前らが個別で頑張ることだ」できるなら、理想論とか最新技術語るのって相当気軽に出来ることだろうし。
ありよし/コアロン @TnrSoft 1月29日
「WindowsサーバのWindowsUpdateを行うとサーバーの再起動が発生して業務が止まるためWindowsUpdate禁止」という通達がある大企業だってあるんですよ!!!!!!
点面悪鬼百之助 @x743 1月29日
サービスが10日くらい停止していた疑いもあるようなので、たとえハッシュ化をしていてもこの間に鍵やら何やらが流出してそう
たるたる @heporap 1月29日
z1g6309 漏れない前提なら第三者のサービスを利用する意味もないんですが。
Jun Okada @ojunn 1月29日
「職業、配偶者や子供の項目については、該当する選択肢番号を選ぶ形式のため、具体的なお客さま情報が明記されているわけではありません。」という回答もふざけてるよなあ。同じデータベース内にその選択肢番号の意味が分かる情報は含まれてなかったのか?それが分かるソースコードは流出してなかったのか?
Jun Okada @ojunn 1月29日
まあ2005年ならハッシュ化していても今は複号できるレベルだったかもしれんな。 必要なバージョンアップを怠るといつか痛い目を見る。
Daregada @daichi14657 1月29日
kkr8612 ええと、パスワードをそのまま保存せずハッシュ(または暗号化)関数で変換した情報だけを保存する、って1970年代にはすでに行われている手法なので
セプタ @interceptor128 1月29日
平成ももう終わりだけど、メアド&パスワード平文保存って今時ありえない
Jun Okada @ojunn 1月29日
VRAM01K パスワードが送られてくる形式ではなくて、リセット用のURLが送られてくるタイプだったようです。それなのに平文保存されてたということで驚きました。
裕@自家通販受付中・メロンブックス委託中 @hiro315 1月29日
Simon_Sin マイナンバーカードのQRコードにマイナンバーそのまんま入れる総務省には巨大ブーメラン…
Jun Okada @ojunn 1月29日
土下座もできないならさっさと確認用のフォームを用意しろよなあ
Jun Okada @ojunn 1月29日
2005年当時からhttpsを使っているという点ではましなセキュリティ意識もあったはずなんだけどなあ
すいか @pear00234 1月29日
オージス総研って、様々なセミナーやらコンサルティングを通してこういう人を育成する会社なんだよね→ TnrSoft 開発手法とかマネージメント手法とかまあ様々だけど、ITに関する「意識高い」知識やなんかを広めてる人達の1つがオージス総研っっていったほうがいいかな。
SAKURA87@多摩丙丁督 @Sakura87_net 1月29日
開発したエンジニア泡吹いてハゲ散らかしてそう……。
すいか @pear00234 1月29日
ojunn 「あなたの情報が漏れてないかを確認します!このフォームにメールアドレスとパスワード、漏れてるか確認したい情報を入力してください!」ってフォーム作るんですね分かります。
すいか @pear00234 1月29日
Sakura87_net それよりも、セミナーだなんだをやる人達ですよ。 「デジタルイノベーション(パスワードを平文保存)2019」とか、「イノベーションを成長させて(退会顧客情報を破棄せず保存して)ますか?」とかですもん。 今後オージスの人達がなにを言っても、心の中で「でもパスワードは平文でデータベース保存するんだよね?(笑)」って言われ続けるんだと思います。
yuki🌾4さい⚔ @yuki_obana 1月29日
サービス復旧めどがつかない…(´・ω・`)あっ…(リクルートサイトでも巡回させるかの、安い給料で募集してるwwってまたネタ投下してね(ちなみに現状の実装がかなり美しいもので瞬時に理解できても修正まで(ry まぁ別に500円の商品券で済むんだからそれでええと思うでww保険会社が精査も定期モニターもせずに加入できることが分かればみんな平文管理するやろwwエンジニア高いしwwwwwwww
がみお @gamioibg 1月29日
まあ、同情する。 2005年開始のサービスで、当時は平文保存も普通にあった。 ガス会社で改訂のための予算取りする大変さもあったんだろうし。
Jun Okada @ojunn 1月29日
pear00234 何か問題ありますか?どこにでもあるログインフォームと同じですよ。
バニヤマダ @baniyamada 1月29日
退会してても漏洩対象は笑うしかない
HasHeadache @HasHeadache 1月29日
kkr8612 上がリスクを理解してくれなくてシステム改修ができなかった可能性もありますね。他の同様に平文でパス管理してるサービスも「あそこは運が悪かった」ぐらいにしか思ってなさそう
VRAM01K @VRAM01K 1月29日
ojunn それは驚きですねぇ… まぁパスワード送ってきてたらその時点で指摘されてたでしょうね
pekoe_tw @peckoe_tw 1月29日
宅ファイル便って類似・後続サービスニョキニョキ生えだした頃セキュリティ監理が不安視されて使用非推奨になってなかったっけ?
電子レンヂ @nyaccy 1月29日
企業側がお粗末であり全面的に悪い、と承知の上で、他サービスで同一パスワード使ってるほうもよくないぞ。
Cereza @Lucifer_ps 1月29日
javaScriptで逮捕してるヒマあったら、不可逆暗号で保存しないと処罰する法律作れよ
prad_bitt @pradbitt42 1月29日
z1g6309 ハッシュアルゴリズムの変更(MD5→SALT付SHA256)とかは若干面倒だけど(ログイン時に更新を実行させる仕組みを入れる必要があるし、ログインしないユーザのはいつまで経っても変更されない)、平文保存→ハッシュ化は超簡単だよ。
frisky @friskymonpetit 1月29日
trycatch777 連携先システム(コールセンターなどのバックエンド業務含む)のすべてに対して同時にパスワード形式の変更をやらなきゃいけない(新旧に形式のパスワードに対応する方法もあるだろうけどそっちのほうがさらにコスト高い)ので、システムの全体像を理解してないと業務を止めちゃうのよね。で、その保守開発をやっても利益は増えない。難しいってのはそういう話でしょう。
すいか @pear00234 1月29日
HasHeadache もしそれをオージスの人やましてやオージスのトップが言ったなら、オージスは2度とセキュリティ関係の業務にも会合にもに出入りできなくなるレベル。まあそこまで意識低くも恥知らずでもないとは思うけどもなあ…。
frisky @friskymonpetit 1月29日
システム間連携にレガシーな技術(なんだろう、CORBAとかEJBとか…商用DBのストアドプロシージャとか…)が入ってたりするともう最悪で、見て見ぬふりをしたくなるのよね。
Yeme @yer_meme 1月29日
friskymonpetit うわー、何スかその超絶クソ設計……
すいか @pear00234 1月29日
Simon_Sin あなたが担当者や企業のトップだったらどう答えますか?と考えたら自ずと「そんなん無意味」だと分かると思います。
すいか @pear00234 1月29日
それにしても、どうやってISMS通したんだこれ。いくらなんでも「リスク受容」で通せるもんじゃないと思うんだが。
frisky @friskymonpetit 1月29日
yer_meme そりゃゴールがわかったうえで0から作るならそんなクソ設計するやつはおらんでしょ。ただ、10年以上継続して拡張してきたシステムなんだとすると、ゴールがわかってることはほとんどないと思うのよねぇ。知らんけど。
luke yuzo @togoshicom 1月29日
2005年の開発で、今まで運用していたということなら、平文パスワードはどこでも良くあったし、退会だって、退会フラグに1を立てておしまい、みたいな仕様はごくごく普通にあった。だいたいパスワードの文字数が4文字くらいでもOKみたいな仕様すらあったからね。
にせれぶ @2celeb 1月29日
こういうクソ企業が被害者面できるのが日本がIT後進国の現れだよな。どう考えても戦犯だろ。
べるへる @beru2007 1月29日
情報流出で500円相当を配った企業もほとぼり冷めて, 更に機密性が高いはずの大学入学共通テストに食い込めてますし, 特に対応するメリットもないんでしょう. 卒倒しているのは現場のエンジニアだけでは? (皮肉です)
ばしにぃ @hiro_orso_viola 1月29日
一般には馴染みが無いかも知れませんが、かつて基幹系システム開発の分野で「大阪ガス」(OGS)といえば東西問わず名の通った大手SIだったと記憶しています。その関連会社のシステムがこんなにも杜撰だったとは…。
カントク @uokada 1月29日
平文パスワード持ってたならハッシュ化するのそんなに難しい問題じゃなくない?DB保存ならカラム1つ足して(ryぐらいだし。ハードウェアがしょぼくて出来なかったのかもしれないけど今はAWSだったんでしょ。
ゲーム用垢 @z1g6309 1月29日
15年動作しているユーザ数480万のシステムのDBのカラム一つをまるごと入れ替えてください。さらにこれをやったからと言って売上は一円たりとも上がりません。寧ろその作業内容が外に漏れると袋叩きに合う可能性があります。 って作業を進んでやりたがるかって話ですよ。ほとんどの経営者は見て見ぬ振りをすると思います。本気でやるなら国家権力による強制査察なんかが必要になるかもしれないですね。
ばしにぃ @hiro_orso_viola 1月29日
DBが何か知らないけど、Oracleならカラムの暗号化なんて簡単なのになー(棒
ばしにぃ @hiro_orso_viola 1月29日
z1g6309 数千万件ならともかく、500万件程度ならマイグレにしろパッチにしろ数日もかからないのでは…。というか、今まで老朽化対応で刷新するとき問題にならなかったのかと(;´Д`)
セマフォ @NoMoreLivesOne 1月29日
しかし、どうやって漏れたんだ? こんだけの組織がこの規模でおもらしするって、内部犯行くらいしか思いつかんけどなぁ。
セマフォ @NoMoreLivesOne 1月29日
実装云々に難癖付けたってしょうがないでしょ。お金稼いでないサービスに、工数かけるわけ無いじゃん。 本来使う側が、無料サービスなんだから、こいつはやべぇ、って思ってないと駄目なんだよ。
こねこのゆっきー @vicy 1月29日
ojunn それ、皮肉とかじゃなくて、セキュリティクラスタで先週バズったネタだから、あんたが問題視されてるわけじゃねーよ。
堀石 廉 (石華工匠) @Holyithylene 1月29日
ハッシュ化って結構神経使うと思うんだけどねえ。DBに平文パスワードを格納するときに取り除かれてるデータがあったせいで、DBに持ってる平文パスワードから生成したハッシュと入力パスワードのハッシュ値が一部のユーザーで一致しなくなる事故とかわりとよくある。
Jun Okada @ojunn 1月29日
hiro_orso_viola DBを暗号化していればOKという問題ではないです。
Jun Okada @ojunn 1月29日
vicy そうなんですか。まあ、これに乗じてフィッシングに悪用される恐れはありますね。
おーむ @Armt_OM 1月29日
漏れなければ利点がないって理屈は、車の事故を起こさなければいいので無保険で運転するって位のイカれた発想やで。
Hydra @Hydra_118 1月29日
これが許されるなら、今後漏洩リスク管理の一環としてEUやアメリカから法人を日本に持ってくるってのもアリなんじゃないかってレベルだろ。 罰則も賠償も必要ない漏洩天国な先進国が世界にはありますよって宣伝するようなもんだ
悟りを壊すもの @satoriwokowasu 1月29日
生まれ変わって生年月日と性別を変えないと
ashen@こみトレ【か-13b】にて売り子 @Dol_Paula 1月29日
データ量が膨大過ぎて今さらハッシュ化できるか、なんて擁護意見があるのなら、システムが杜撰でも問題なかった昔から続いているサービスを使い続けること自体が危険ということなのかしら。
trycatch777 @trycatch777 1月29日
「平文のままなのはまずいからハッシュ化保存に変更する」って決めたらやるだけの話であって、クラウドサービス提供しておきながら平文パスワード保存をよしとするならその企業はそこまでだ、って話だけでしょ。「難しい」「時間がかかる」「大変」かどうかの議論じゃないだろってことですよ。事情なんて知らん。
きゃっつ(Kats)⊿2/23乃木坂7BDL京セラドーム @grayengineer 1月29日
以前、佐川急便に問い合わせたとき、こちらが設定していたパスワードを平文で言われたので、暗号化されてない(または可逆的にしか暗号化されていない)んだなーと思ったことがある。他にも、マイページで平文のパスワードを確認できるサイトなどもけっこうよく見かける。一般的には不可逆に暗号化(ハッシュ化)して、照合するときは入力されたパスワードを暗号化して、保存した暗号化パスワードと一致するかを見る、というのが基本のはずで、だからこそ忘れた人には教えるのではなくリセットするようになってるんですけどね
べるへる @beru2007 1月29日
grayengineer そういった暴露は社会的意義がありそうですね! バルトナインなどの座席のウェブ予約システムのKINEZOですが, 発券機でログインパスワードが必要で, ロビーのスタッフにお願いしたら快く教えてくれました!
ゲーム用垢 @z1g6309 1月29日
そろそろ車の車検みたいにWebシステムも法律で縛りをかける時期に来てるのかもしれませんね
yasu (HIRATA Yasuyuki)@アスカネット @hirayasu 1月29日
大阪ガスを叩いているのはさすがに頭がおかしい。
Shun (大★躍☭進) @ShunActU 1月29日
こー言うときにPWを使い回していなければ、少なくとも自分自身については「大丈夫だろ」って言える。 一方で自分で提供するサービスに流出情報を元にリスト攻撃される恐れは高まるので、ログイン系にMFA導入する必要性が高まる。 とは言えそんなの今に始まった話じゃないので卒倒レベルは言い過ぎに思うが「アホか」位は言うだろうね。
picreek @picreek 1月29日
tk_takamura そもそもパスワードを使い回すべきではないです。流出しなくても、サービス提供者に悪意があればパスワードを知ることなんて容易なんですから
TBT1102 @TBT1102 1月29日
パスワードのハッシュ化くらいpythonの標準ライブラリを使ってもソルト付きでも2行で実装できるのにこいつらときたら
signal9.jp @Signal9J 1月29日
この流失データのメールアドレス宛に「宅ふぁいる便です。システムが復旧しました!すぐにパスワードを更新してください!」って偽装メール出して、嘘サイトに入力させるスパムがすぐに出る悪寒。
名無しV層もどき @desuga_NlkL5EiN 1月29日
x8I48mibYNrdgi5 なので、昨日今日生まれたサービスも、平文で持っちゃいけないものを平文で持ってたり、廃棄しなきゃいけないものを廃棄してないのでは、と疑うのが合理的ということで……。
ǝunsʇo ıɯnɟɐsɐɯ @otsune 1月29日
仮にsalt付きhash化パスワードであっても、侵入されてデータを奪われたらレインボーテーブル攻撃されるから、認証周りは別のところに分離しましょう……と言われている昨今だよね
いくた♥️なお/ナマひめアンソロ参加者募集中 @ikutana 1月29日
IDとハッシュ化パスワードのペアの漏洩だと、実はやばいのはリバースブルートフォース攻撃な気がする
たるたる @heporap 1月29日
z1g6309 セキュリティーアップデートをやっても1円にもなりませんがそれをやってる会社は五万とあります。でも、わざわざその内容を報告してる会社はありませんよ。
Shin Matsuda @syncbunny 1月29日
Holyithylene そのケースだとDBに保存してある平文パスワードとユーザが入力したパスワードの照合でも失敗しそうですが。
FX-702P @fx702p 1月29日
「宅ふぁいる便でパスワードが漏れた方はこちらをクリック!」
いくら @YamadaIkra 1月29日
パスワードのシステム変更でやらかしたと言えば、最近ではモバイルSuicaの事例 https://togetter.com/li/1269971
Shin Matsuda @syncbunny 1月29日
運営会社のオージス総研はPマーク取得企業だってのがねぇ。漏洩そのものもそうだけど、パスワードを平文で保存するくらい意識が低い企業でもPマーク取れますってのを晒しちゃったのも地味に各所にダメージありそう。
せんたく @senn_taku 1月29日
マイナンバー占いとかヤバイのがあった事を考えると、情報漏洩占いとか出てくる可能性が
neologcutter @neologcut_er 1月29日
明石市長に「損害賠償は個人で負え」「責任取ってもらう。辞表出しても許さん」と言われてもしょうがないレベルの事故だわー。
undo(ドアの開けざまにママ張り倒せ) @tolucky774 1月29日
いやこれインフラの子会社がやっちゃいかんだろ
しぇりりん(予定潰れるわ多分) @m_sheririn 1月29日
これがIT(イット)革命の行き着く先か…
ふひひっ☆ @satoda3104s2 1月29日
もう警察案件やん。公にして事の重大さに気づかせてやらないとダメ。
都幾川 沙月 @SatsukiFox 1月29日
この問題の根っこにあるのって、今回のような漏洩への対策として、「定期的にパスワードを変更させる(効果は薄いけどサービス側で強制できる・ユーザーも手順は理解できる)」と「同じパスワードを複数サービスで使い回さない(確実だけどサービス側で強制できない・ユーザー側も管理手順が必要になる)」なんですが、現状、両方が混在しているせいで余計に話がややこしくなってるんですよね。(続きます)
都幾川 沙月 @SatsukiFox 1月29日
(承前)企業ユーザーだと勝手にソフトとかインストールできないので、パスワードマネージャーで複数パスワードを一括管理とかも困難だったりするのですが、サービス側は責任回避で「他と違うパスワード使え」と書くし、現実を見てないセキュリティ専門家(笑)は「リスク回避のためにサービスごとに違うパスワードにしろ」と言うし、というカオスな状況なのです。(続きます)
都幾川 沙月 @SatsukiFox 1月29日
(承前)で、何が問題かというと、ユーザーに対して「個々のサービスごとに違うパスワードを設定しつつ、一部のサービスは定期的にパスワードを変更する、業務ユーザーは結構な割合でパスワードマネージャー等外部ツールは使用不可」とかいう無理ゲーを強いているわけです。まあ、そのクソッタレな事情は「宅ふぁいる便」だけの責任ではないのですが。(続きます)
都幾川 沙月 @SatsukiFox 1月29日
(承前)とはいえ今回の事件で被害者が救われないのは、中途半端に前述の状況になっているせいで、「漏洩してID・パスワードが使い回されてもユーザーの責任」みたいな空気が一定以上出てきちゃうことなんですよ。そりゃ自己防衛策としては有効ですが、それが(利用条件やリテラシー的に)できない人のことを考えられていないわけです。世の中。(あと1個続きます)
都幾川 沙月 @SatsukiFox 1月29日
というわけで、今回の件は少なくとも「使い回しをされて被害に遭った人が、使い回しを理由に宅ふぁいる便運営側の免責に使われる」ことがあってはならないと思うんですよね。自衛も大切ですが、一番悪いのは漏洩させる側なわけですから。今回の件で、宅ふぁいる便がきちんと社会的責任を果たすことを祈るのみです。難しそうですが。
てす子 @momimomitest 1月29日
長年やってて仕事に使われたりもする大規模サービスがそこらの怪しいツイッター連携アプリ並にガバガバかよ
桃を食べる人 @yotajiro 1月29日
オージス総研といえば、今は知らんけど、昔は翻訳ソフトも作ってたんだよなー。30年くらい前にいくつかの翻訳ソフトのデモを見に行ったとき、オージス総研のは「SONY」を「息子のような」と訳してくれた。その人間離れした発想には感心するしかなかった。
マシン語P @mashingoP 1月29日
以前の勤め先で「会社として許可するセキュリティ上問題ないファイル転送サービス」が宅ふぁいる便だったんだよな。オフィス版だったかもしれないけど今頃情シスの人たちはどんな顔して残業しているんだろ。
茗荷昇紘 @masilite 1月29日
会員制サイトでパスワード暗号化しない企業はシステム開発禁止にしよう
ICHIKAWA Kento(おにぎり) @kentosho 1月29日
セキュリティの問題は結果論でたたかない方が良いと思う。何故ハッシュ化データ保持に移行できなかったのかの情報共有する方が後々のため
Briareos@残弾数はいつも────── @briareos 1月29日
サービスインしてしまうとなかなかシステムの変更ができないとは良く言うものの、流石に「平文パスワード」は真っ先に対応すべき事案だったろうに・・・
福田修志 @shujifukuda 1月29日
これ、ヤバイでしょ…。
オルクリスト @kamitsukimaru 1月29日
500円配ってごめんなさいで許される前例を作ったソフトバンクが悪い。あの時超厳しい行政処分やっておけばなぁ
ななし @nanasi300 1月29日
平文パスワードのハッシュ化なんてクソ簡単な課題を難しいとか言ったら袋叩き。まー当然やな。
初瀬 神楽 @Kagura_d34272 1月29日
サービスイン当初は平文保存しとるサービスもざらにあったろうし、規模がでかくなった以上、技術的にも「それなりに難しい」とは思うんよ。でも「難しいからやらない」はやっぱりあかんでしょ。特に親会社が社会インフラ受け持っとる会社なんやし。
すいか @pear00234 1月29日
今回の事故の何が滑稽って、 z1g6309 NoMoreLivesOne みたいなある種の現場や経営の意見に対して意識が低いとこき下ろして全否定して、多大な犠牲を払ってでも最低限のセキュリティを作るべき、セキュリティは企業の生命線で最優先の事項だ!とかみたいなことを高らかに言ってる最先端の人たちがやらかしたってことなんだよね。
DJ乗りおじさん @aki8ara 1月29日
kentosho 欲しいのはこれ。なぜその移行ができなかったのか?そもそもなぜそういうログインフォームを作ったのか?そして攻撃者はどこを突いてきたのか?この種の情報が公開されることを強く願う。経営的には儲けを生まず工数をかけられないサービスの停止がなぜされなかったのかも。
すいか @pear00234 1月29日
https://www.ogis-ri.co.jp/pickup/security/index.html このページとか一気に何の信用もなくなるよね。こんな事故起こしてたら。
ポッカ @pokka80 1月29日
生パスワードをサーバ内に置いてたということ?
地球田かずと @trdkzt 1月29日
パスワード平文管理は違法にすべき。更新できなければ即座に廃業レベルの違法に。ただ、リークがなければクラックでもしないと発見できないだろうけど……。
kjsakaya @kjsakaya 1月29日
国内史上最悪って言われてるけど、クレジットカードの番号と、セキュリティコードと有効期限、名前をセットで流出させた会社が俺の知る最悪流出だと思う。 まだその会社普通に同じ商売やってるはず
三十郎 @sanjuro2 1月29日
firestrageとかより安全だからって、一時期結構使ってたんだが、さてどうなった事やら。
@x8I48mibYNrdgi5 1月29日
trdkzt 世の中にはセキュリティ監査というものがありまして。 保存されたデータそのものを見なくても、ユーザーが入力した情報をどう加工しているか(あるいはしていないか)を見れば問題点は簡単に指摘できる
初瀬 神楽 @Kagura_d34272 1月29日
kentosho インシデント管理という意味で、個人の責任追及に終始したらあかん、原因解明も大切、というのは正しいけど。それはそれとして企業としての責任は発生するし、ましてや一般的なセキュリティ対策を怠った結果である以上、それが非難されるのは仕方ないと思うん。
初瀬 神楽 @Kagura_d34272 1月29日
x8I48mibYNrdgi5 プライバシーマーク取得企業で、内部監査はやっとる筈なのにこの体たらくやから……。個人情報を扱う企業は有資格者による外部監査を義務化、対策の不備で事故ったら外部監査法人も連帯責任、ぐらいにせんと何も変わらんのよね……
すいか @pear00234 1月29日
Kagura_d34272 内部監査どころか、ISMS通ってますね。一体何をどう審査してんすかねISMS。っていうかどうやってオージス総研はISMS通したんでしょうこれ。「リスク許容」じゃ絶対に通らないレベルだと思うんだけど。
すいか @pear00234 1月29日
kentosho そこらの新興企業とかならそれでもいいけど、よりによって「オージス総研」が今回のような事故を起こしたらなら結果論で大いに叩くべきだと思う。
ぱんだぴ @PanMixi0 1月29日
大阪ガスの子会社か。
初瀬 神楽 @Kagura_d34272 1月29日
pear00234 社員が「これは本当は駄目だ」と理解した上で、上からの指示で口を噤んだ場合、PマークにせよISMSにせよ審査は通ってしまうもんです。まさかDBの中身までダイレクトに確認はせんし、ドキュメントなんざ裏帳簿管理も余裕やし。審査であって捜査やないからねぇ。
堀石 廉 (石華工匠) @Holyithylene 1月29日
syncbunny 比較関数自体がそういう仕様になってたので問題にならなかったりとか、入力値を(DBに入れるときと同じ方法で)整形してから比較してたとかそういうやつですね。一部の記号が取り込まれるときに取り除かれていたとか、8文字超えた分切り捨てとか、そういう系。そんなのちゃんとチェックしろよって言うのは正論ですが、チェックしないとならない = 神経使う、って話でありまして。
鹿 @a_hind 1月29日
この手のサービスやってて管理がザルってほんとすげえな 消滅するまで叩かれなくたって利用継続する奴いねえだろ・・・って思いきや意外といたりするから魔境だなと思う あれだけ騒がれてたpaypayも普通にCM打ったりしてるし使ってる人も一応おるみたいだし 運営も気が狂ってるけど利用者側もどうかしてると思う
Simon_Sin @Simon_Sin 1月30日
pear00234 心の中でではなく質疑応答の時間に「それで、御社ではなぜパスワードを平文で管理していたのですか?」と訊くべきでは。
Cipher @Cipher0874 1月30日
「先ほど分かりづらいところがあったのですが、平文のパスワードみたいにわかりやすく説明してくれませんか」とか質疑応答で煽る奴は…流石にいないか
ななし @nanasi300 1月30日
放置した理由なんざ「めんどくさいから」「動いてるシステムを触りたくないから」とかその程度でしょ。
りおちゃん @riochan_org 1月30日
漏れた情報を使ってリストアタックから電話によるアナログクラックまで可能で、公的証明書を必要としないサービスならアカウント作り放題やん…。ところで漏れたのは宅ふぁいる便だけなのだろうか?オージス総研は治験とかもやっていてモニターの個人情報もそれ以上抱え込んでいるが、宅ふぁいる便から踏み台にして他のサーバーへ侵入されていても不思議じゃないからなぁ。
お空キレイキレイ @747_bold 1月30日
x8I48mibYNrdgi5 えぇ…?ハッシュなんて基本情報レベルでしょ…
すいか @pear00234 1月30日
nanasi300 面倒はともかく「動いているシステムを触りたくない」かつ「サービスダウンの時間を作りたくない」っていうのがあるでしょうね。「それなりに動いているもの」に手を入れるのは、システムはもちろん人のノウハウだって大変です。ただ今回の場合はそういう風潮に対して「それではいけない。セキュリティも、システムも、手法も最新を学び常に最新を導入すべきだ」みたいなことを常日頃言ってる人たちがやらかしたのが超特大ブーメランなわけでして。
⊿だい @daisuzu 1月30日
オージス総研は大阪ガスの会社だけにガス漏れしたのか。まじでこんな低脳しかいない会社、解散して役職員全員路頭に放っぽり出せ
すいか @pear00234 1月30日
Simon_Sin セキュリティのセミナーとかカンファレンスとかならともかく、無関係の話題の場所でそんな事する必要もないし誰にもメリットないし意味もないし、ただの時間の無駄にしかなりません。聞かれたって知らないことは答えようがないだろうし事実知らないでしょう。
すいか @pear00234 1月30日
Simon_Sin なので、セミナーの段に立つエンジニアや参加してる他のエンジニアの時間を浪費するしかないことなんかやるのではなく、心の中で常にそう呟くのが最も良いのです。あと、オージスから営業や売り込みに来る人に対しても同様。
倉瀬美都 @clausemitz 1月30日
pear00234 まったく同意。無料だから危険なのは見逃してくれよ、って言い訳にはならない。だったら最初から手を出すなって話ですわ。
ありよし/コアロン @TnrSoft 1月30日
今どき定期的にパスワードを更新させるとかどこの情弱だよ。弊社です。
クインティ @tabquin 1月30日
セキュリティ不安を煽ってデータを集めといてコレかよ。ヤバイ会社だな。
かつま大佐(要冷蔵) @kamiomutsu 1月30日
いつ使ったのか、どういうパスワードで使ったのかも覚えてないが、メールは来た…。重要なアカウントはPW使い回したりしてないけど、昔のサービスだと分かんねえな。どうしたもんか。
おらおら @oraora1966 1月30日
前職では9年前に宅ふぁいる便禁止令が出て、自社で使う用に自前で同様のシステム作ったほどなんだけど、まだ使ってる人が大勢いたとは知らなんだ。
ななし @nanasi300 1月30日
747_bold 公開サーバを触ってほしくないレベルでアレな認識ですよね……
亜山 雪 @ayamasets 1月31日
あー、千里中央にあったOGCSの成れの果てかー、うん、老舗だけど、うん、せやなー、個人的にしがらみがありをりはべりいまそかりなんで同情はせえへん。
Riesling @Rieslin84792605 1月31日
これサービス復旧するのかな。このまま終了になりそうな気がしてならないが。
alan smithy @alansmithy2010 2月1日
mtoaki ただのやぶ医者です
terahit @terahit_com 2月1日
z1g6309 >今あるデータをハッシュ化する難易度が高い えええ!?!? 今あるデータをハッシュ化するのなんて超絶簡単ですよね? システム止める→ハッシュ格納用カラムを追加→全データの平文パスワードからハッシュに変換するスクリプト走らせる→平パスカラムを削除→登録やログイン時にブラウザから受け取った平パスをハッシュ化する処理を入れる→システム再開 たったこれだけですよね? なんなら1時間以内で終わりますよね?
高橋かつる @flashout199x 2月1日
今回の騒動、なんかもう笑うしかないよね。 ユーザー側の、よそで使ってたパスをここでも使いまわす、という愚かな行為が一番に咎められるべきだけど、そうするのはサービス提供側を信頼してる証でもあるわけで。退会者の情報まで漏洩とかクソワロタ。 宅ふぁいる便が復帰して、君らまだ使うん?(´・ω・`)
@txxxxx_teacher 2月2日
平文パスワードで思い出したけど、旧2chのキャップ(2000年末までの仕様)って、bbsのスクリプトに平文直書きだったよなあ(s/●●/×× みたいな)
メラ @vprjct 2月2日
確定申告かなんかのやつもパスワードべた書き(&formの種別がtext)という最強ウルトラコンボ食らって現地で悪寒に襲われ手足の震えが止まらなくなり体中の穴という穴から液体を垂れ流して死んだ
inu @inu1122 2月2日
いつ使ったか覚えてないくらい大昔に使っただけだから、メルアドももう使ってないやつだと思うけど、 この事件をみて、firestorageとギガファイル便が一層セキュリティ強化してくれることを祈るばかりです。
tgttr @tgttr4 2月3日
「世のエンジニア卒倒レベル」っていうけどむしろこっちが標準なんじゃないの 知ってる奴は知識マウント取るのに夢中で業界の底上げなんか興味ないし
prad_bitt @pradbitt42 2月4日
terahit_com マジレスすると、ハッシュ格納テーブルを追加→ログイン処理をハッシュ、(ハッシュがなければ)平文の順番で当てる処理に変更→登録・パスワード変更処理を平文保存とあわせてハッシュを入れる処理に変更→バッチで既存ユーザのハッシュを計算して突っ込む→ログイン処理をハッシュだけを見るように変更→登録・パスワード変更処理をハッシュだけを入れるように変更→平文パスワードのデータを塗りつぶし、で止めずに更新できる。
ログインして広告を非表示にする
ログインして広告を非表示にする