何気ない記録

なんとなく自分の意見を書き記すときにつかいます。つまり不定期更新です。

LINE社員の内部漏洩というお話

【驚愕】LINE詐欺犯「中国のLINE社員からアカウント情報を買い取った」 | netgeek

うーん、今時パスワードを可逆暗号化している会社なんてあるのかなぁ。ほぼ無意味だしリスク以外の何も得るものが無いんだが。ハッシュ化されたものを買い取っていて、ハッシュ化が糞な為、元パスばれてるとか?

 

よんだ。

 

一部の人が突っ込んでいるこのやり取りについての真偽には興味がないんだけど、一方で、やはりLINEそのもののセキュリティについて不安だけが募る結果に。

 

元記事では、LINEの内部社員がアカウント情報(ログインIDとパスワード)を流しているという話が書かれています。

 

昨日の記事でも触れたのですが、基本的に最近のシステムでは、パスワードを可逆暗号化(暗号化したパスワードを元の文字列に戻す事が可能な方法)する事は非常に稀です。

 

理由としては、そもそも認証ロジックとしては可逆・不可逆によるメリデメがほとんどない事や、その一方で、可逆暗号化の場合に抱えるリスク(元パスワードが保存企業側の過失による場合、補償問題に発展する等)の方が大きいため、余程小さなシステムや昔から利用しているECサイトパッケージとかでない限り、最近ではパスワードはハッシュ化+ストレッチングを行い、且つ、原則ハッシュ化の際はユーザー毎に結果が異なるようにSALTであったり、キーであったりをランダムで付与するというのが一般的です。

不可逆方式の場合、認証ロジックのコストが高くなる点はデメリットですが、そのデメリットが、漏洩リスクと比較した場合同じ土俵で議論しうるレベルのものではないと考えますので、その比較のみを持って、可逆暗号化方式の選択はありえないでしょう。

 

その状況で、仮にアカウント情報を内部社員が漏洩させたとして、これほど多くのユーザーが被害を受けるというのはちょっと考え辛いというのがやはり本音です。

 

一方で、仮に、不可逆暗号化されていたとしてもリスクは残ります。

 

それは、前述したハッシュ化する際ですが、ユーザー毎に異なるSALTやキー等を設定していない場合です。

 

仮にアカウント情報のみが限定的に漏洩したと仮定して、通常の方式(つまり、ユーザー毎に異なるSALTやキーが設定)の場合は、同じパスワード文字列でも、結果のハッシュ文字列は異なります。その為、ある1人のユーザーの情報、つまり、非常に安易なパスワードが設定されている場合や、または、第三者から得た情報(既に漏洩済みの情報)と突き合わせを行い、ユーザーIDやメールアドレスから、該当者のパスワードを類推する方法をとられたとしても、おそらく大規模な被害を及ぼす程の攻撃は難しいでしょう。

 

なお、これらの対応を行っても、復元を完全に不可能にするわけではなく、個々の情報の関連性を下げ、ある情報を基にした連鎖的な解析を多少遅らせる等の効果と考えるのが正しいと思います。

 

ただ、あくまでも一つの仮説として、ユーザー毎の異なるSALTやキーが設定されていないケースや、ストレッチングが行われていない等、基本的な事が未実施であった場合は、ちょっと事情が異なってきます。

 

また、その状況で、ハッシュ化アルゴリズムが比較的安易なもの(MD5であったり)であると、より致命的な状況になっているというのは否めません。

 

ただ、前述した話はすごく基本的で、今はもっと複雑かした仕組みになっているので、そもそもこの程度の話(又はこれ以上の適切な対策)が未実施であるというのは考え辛いです。

 

その一方で、ちょっと気になるケースの話が聞こえて(というか、HELPが来たので対応中)きています。

 

先日とあるアンケートサイトが攻撃を受け、会員情報が漏洩しています。

 

元々、2ヶ月程前に攻撃を受けており、その際に情報がどうも漏洩していたようなのですが、その情報を基にした攻撃がたまたま私の知人をターゲットにして、ここ1週間の間に行われています。

 

具体的には、該当サイトでのポイントの交換手続きが行われたり、登録済みのメールアドレスアカウント宛の不正アクセス(未遂)が行われていたり、また、ここ数日はLINEのWEB版マーケットへのログイン試行が行われているようです。

LINEではWEB版のマーケットへのログインが行われる又はログインに失敗するとLINEに通知が来ますので、はっきりとわかります。

 

これはおそらく彼のケースだけなのかもしれませんが、どうも攻撃対象者は、他のサイトから入手した情報とLINEであったりGoogleであったりの情報を突き合わせ、その関係を基に攻撃しているのではないかと思うのです。

 

一応、全てのサイトのパスワードを変更済み(一応、文字数は10文字以上、大文字小文字を最低限組み合わせ、記号を1文字ないし2文字入れたもの)で、Googleのように使用可能なものは2段階認証や復旧用のSMS登録等を行ってもらいました。

 

まぁ、それでも攻撃が行われている事は、ログであったりアラートであったりで気づくのですが、とりあえず、パスワード初期化のリクエストを乱発するのは本当にやめてほしい。

 

内部からの情報漏洩か否かという事は私にはわかりかねますが、ただ、そういう事よりも、LINE以外からも大量に情報は漏洩している事実があり、また、その中にはパスワードを暗号化せず保存しているケースもありますので、LINEでの被害の有無や、自身が直接漏洩被害者になったか否かに関わらず、一度パスワードを変更した方がよいものと思われます。

 

特に、最近ではメールアドレスをログインアカウントにしている所も多いのですが、そうなるとID変更ができないケースではもはやパスワードでしか守るすべがないというのが実情です。

 

定期的な変更と、一度使ったパスワードは繰り返し使わないという事、そして一定以上の複雑さをもった文字列とする事を心がける事が必要かと思われます。

既にGoogleのような一部のサービスでは一度使った文字列は同一アカウントには設定する事ができません。

 

内部犯行説については、さすがに上場を控えた会社として放置する事はできないと思うので、次回の公の場で何か触れるものと思われますが、いずれせよ、可能な範囲で予防策を講じる事が大切です。