PR
全2868文字

 電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気付いたとしている。

 この両社の発表には、気になる内容が含まれていた。

 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。

 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。

クービックはCoubicの情報漏洩を発表した際、ハッシュ化はパスワードの安全な保管だとした。
クービックはCoubicの情報漏洩を発表した際、ハッシュ化はパスワードの安全な保管だとした。
(出所:クービック)
[画像のクリックで拡大表示]

 両社の主張はどちらも、パスワードをハッシュ化していたので不正ログインの可能性はない、安全である、と読める。しかし実際どうなのか。重要な情報を漏洩させた組織が、ハッシュ化を根拠して安全だと言ってよいのだろうか。

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
有料会員と登録会員の違い