PR

 電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気づいたとしている。

 両社とも漏洩したパスワードはハッシュ化していた。しかしLifebearの漏洩したパスワードの一部は、ハッシュ化前の文字列がインターネットで公開されてしまった。その理由を解説する。

販売されていたアカウント情報

 LifebearとCoubicから漏洩したとみられるアカウント情報は、インターネットで販売されていた(図1)。2017年後半以降、インターネットでWebサービスのアカウント情報が公開されたり、販売されたりする事件が相次いでいる。その多くは、パスワードが加工されずにそのまま公開された。

図1●インターネットで販売されるWebサービスのアカウント情報
図1●インターネットで販売されるWebサービスのアカウント情報
2017年以降、インターネットでWebサービスのアカウント情報が公開されたり、販売されたりする事件が相次いでいる。2019年3月には、電子手帳サービス「Lifebear」や予約管理サービス「Coubic」のデータが販売された。
[画像のクリックで拡大表示]

 ただしLifebearとCoubicの場合は、Lifebearのパスワードは「MD5」と呼ぶ方式で、Coubicのパスワードは「SHA-1」と呼ぶ方式(ハッシュ関数)でハッシュ化された状態で販売されていた。