全2868文字
PR

 電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気付いたとしている。

 この両社の発表には、気になる内容が含まれていた。

 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。

 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。

クービックはCoubicの情報漏洩を発表した際、ハッシュ化はパスワードの安全な保管だとした。
クービックはCoubicの情報漏洩を発表した際、ハッシュ化はパスワードの安全な保管だとした。
(出所:クービック)
[画像のクリックで拡大表示]

 両社の主張はどちらも、パスワードをハッシュ化していたので不正ログインの可能性はない、安全である、と読める。しかし実際どうなのか。重要な情報を漏洩させた組織が、ハッシュ化を根拠して安全だと言ってよいのだろうか。