PR

会員にとっては一大事

 ハッシュ化していないエラーコードの漏洩は、全会員にとって大変なことです。プレミアム・アウトレットの登録情報以外のメールアドレスやパスワードが漏洩した可能性があるからです。

 漏洩データを調べると、次のようなデータが含まれていました。例えば、IDであるメールアドレスを連続して同じものを使い、パスワードだけを変えているケースです(図4)。複数のパスワードをいくつかのサービスで使い回している可能性があるユーザーの入力かもしれません。プレミアム・アウトレットで登録していたパスワードを思い出せず、思い当たるパスワードを適当に入力した結果でしょう。これに該当するユーザーは、入力してしまったパスワードを使っているすべてのサービスでパスワードを変更する必要があります。

図4●漏洩データで見つかった入力情報と該当ユーザーが採るべき対策
図4●漏洩データで見つかった入力情報と該当ユーザーが採るべき対策
漏洩データには、ユーザー認証に失敗したと思われる入力情報が複数見つかっている。ID(メールアドレス)を固定して複数のパスワードを試したパターンと、パスワードを固定して複数のIDを試したパターンがあった。
[画像のクリックで拡大表示]

 このようなことを踏まえると、三菱地所・サイモンが4月17日に発表した内容は、注意喚起として不十分だったと筆者は考えます。

漏洩データの検索サービス

 このように、サービス提供者の発表情報だけをうのみにしていると、漏洩したパスワードを使い続けることになります。そうならないためには、いち早く漏洩に気付くための自衛策が必要です。今回紹介するのは、「Have I Been Pwned」(HIBP)という漏洩データの検索サービスです。

 HIBPは、メールアドレスを入力すると、そのメールアドレスを使うアカウント情報の漏洩の有無を確認できる無料のサービスです。Microsoft MVPであるセキュリティ専門家、トロイ・ハント(Troy Hunt)氏が運営しています。Webページにアクセスして都度確認することもできますが、メールアドレスを登録しておけば、漏洩があったときにメールで通知が届きます

 サービスに登録される漏洩データは、トロイ・ハント氏自身がネット上で見つけたものです。ちなみにプレミアム・アウトレットの漏洩データは、2018年2月に登録したと書かれていました。

Domain searchを使う

 企業などの組織の情報システム部門では、HIBPの「Domain search」という機能の利用をお勧めします。ドメインを登録しておくと、そのドメインを含むメールアドレスの情報が漏洩したときに、指定したフォーマットで通知してくれます。従業員がパスワードの使い回しをしていないとは限りません。組織のメールアドレスを使ったIDとパスワードの漏洩を検知できれば、組織のメールアカウントなどに不正アクセスされるリスクを低減できます。

 Domain searchの利用には、認証という作業が必要になります。ドメインと関係のない第三者に登録させないようにするためです。具体的には、指定されたメールアドレスを作成したり、登録するドメインのWebサーバーにファイルを置いたりします(図5)。

図5●「Have I Been Pwned」の漏洩通知機能「Domain search」を使う
図5●「Have I Been Pwned」の漏洩通知機能「Domain search」を使う
Microsoft MVPであるセキュリティ専門家、トロイ・ハント(Troy Hunt)氏が運営する「Have I Been Pwned」は、メールアドレスを入力するとメールアドレスを含むアカウント情報の漏洩の有無を確認できるサービス。漏洩したメールアドレスとパスワードの情報が登録されている。企業などの組織向けに、新たに登録された漏洩データに指定したドメインのアドレスが含まれるときはメールで通知する機能「Domain search」を提供する。
[画像のクリックで拡大表示]

 Domain searchでドメインを登録できると、登録時点で漏洩データに含まれる情報が通知されます(図6)。漏洩したメールアドレスの一覧に、どのサービスから漏洩されたかが示されます。

図6●Excel形式で届いたDomain searchのレポート
図6●Excel形式で届いたDomain searchのレポート
Domain searchで登録すると、指定したドメインのメールアドレスで過去に漏洩したものがあれば、一覧を送ってくれる。各メールアドレスごとに、漏洩したサービス名も確認できるようになっている。
[画像のクリックで拡大表示]
▼Have I Been Pwned
URLは、https://haveibeenpwned.com/。
▼Microsoft MVP
米マイクロソフトが同社の製品や技術を伝えようと努めた人を表彰する制度の受賞者。MVPは、Most Valuable Professionalの略。
▼通知が届きます
筆者のブログで登録方法を取り上げている。URLは、http://csirt.ninja/?p=1441。
▼見つけたものです
第三者が見つけた漏洩データを、トロイ・ハント氏に通知する場合もある。
辻 伸弘(つじ のぶひろ)
ソフトバンク・テクノロジーで技術統括 脅威情報調査室プリンシパルセキュリティリサーチャーを務める。企業から依頼を受けて、外部から実際にシステムを攻撃してセキュリティ上の弱点を発見するペネトレーションテストを担当。テレビや雑誌などのメディアに登場し、また様々な講演に多数登壇している。