Peingと宅ファイルの不正アクセス事件からみるセキュリティの大切さ
つい先日、宅ファイルと質問箱のPeingが不正アクセスにあい、ユーザー情報が流失したようです。
今回発生しております問題は第三者がユーザ様のTwitterのAPIのトークンを取得できてしまう事象になります。(既にトークン自体が無効になっておりますので、ご安心下さい。)
詳細情報に関しては、本ツイートのリプライに記載致しますので、ご確認下さい。— Peing-質問箱-(公式) (@Peing_net) 2019年1月29日
「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) このたびはファイル転送サービス「宅ふぁいる便」の一部サーバーに対する外部からの不正アクセスにより、約480万件のお客さま情報が外部に漏洩し、ご利用の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。 調査の過程で、特定期間においてのみ取得をしていたお客さま情報などについても漏洩していることがわかりましたので、お知らせいたします。漏洩したお客さまの総数に変りはございません。
不正アクセスする側はもちろん悪いのですが、サービス側もセキュリティに問題があったようで、ネットで炎上しているようです。
この記事では、その炎上ではなく、Webサービス運営に置けるユーザー情報の扱いについて書いていきます。
Webサービスの不具合とユーザー情報の流出は意味が違う
Webサービスの運営には、ある程度の不具合はつきものですが、それはあくまで不具合・バグと言える軽微なレベルでの話。
今回は、Peingも宅ファイルもユーザー情報が流出・流出の疑いが持たれるため、Webサービスの信用が問われることになっています。
というのも、いくら無料で使えてもそれで個人情報が抜かれてしまうとユーザーとしてはたまったものじゃありません。Peingの内容だと、奪った情報でtwitterを勝手に書き込むことができるようですし、ビジネスでtwitter使っている人だと、ちょっと困ったことになっちゃいます。
少なくとも、今回の流出で被害にあっている方は、たとえサービスが復活して不具合がなくなっても使うのをためらってしまうでしょう。
そうやって少しづつユーザーが離れてしまうと、どんどんユーザーが減っていきます。ビジネスとしてはよくない状況です。
だから、ユーザー情報関連の不具合はWebサービスとして、やってはいけないことなのです。
Peingも宅ファイルもセキュリティに難があった?
また、今回だとPeingも宅ファイルもセキュリティに難があったとも言われています。
Peingは、2018年の10月頃からtwitterユーザーが不具合を指摘していた模様。(これが本当はどうかは、わかりません)
»【注意喚起】匿名質問サービス「Peing」で脆弱性が発見され29日16時までメンテナンスの見込み(追記あり) – Togetter
実際に、Peing公式アカウントが乗っ取られてツイートされたこともあったようです。なので、昔からわかっていたのになぜ対策しなかったんだという声もあるようです。
宅ファイルは、ログインパスワードが暗号化されていなかった模様。(普通は暗号化されて保存されます。)
もし、ユーザーが別のサイトで同じメールアドレスとパスワードを使っていたらログインできてしまうので、何をされるかわかりません。
つまり、宅ファイルの情報流出は二次災害を引き起こす可能性もあるのです。
流出されるだけでも痛いのですが、対応やセキュリティ面が怪しいことが露見してしまうと、さらに信用が下がってしまいます。もし自分がWebサービスを作るなら、ユーザーの情報だけは何としても守ろうと思います。(当たり前な気もしますが、、、)
まとめ
社内事情的に、対応が後手後手にしたい時もあるかもしれませんが、ユーザー情報に関連する不具合は、早急に対処をするのが良さそうです。
一度、問題が発覚してからでは対処が難しい。。。
信用って一度なくすと取り戻すのが難しいので、守るべきところはちゃんと守ってWebサービスを運営するのが良さげですね。