宅ファイル便の情報漏洩事案は既に公になっているとおりですが、本件第3報で漏洩したパスワードは暗号化されていなかった事が明らかになりました。
(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) | 株式会社オージス総研
無料大容量ファイル転送サービス「宅ふぁいる便」 ご質問一覧 | 株式会社オージス総研
Q15. パスワードは暗号化されていなかったのか?
これは非常に基本的なミスで、漏洩したという事実よりも、なぜパスワードを暗号化(ハッシュ化)していなかったのかという技術的瑕疵の方が、おそらく今後のオージス総研という会社には大きな負債となりかねないのではないかと考えます。
というのも、そもそもこのミス、過去にいくらでも同様のミスが存在しており、当時から「既に未暗号化で保存されているパスワードは今からでも適切な対応をすべき」等という事は技術者でなくとも判っていた事です。
それも、昨今は技術的な基盤はいくらでも整っており、正直、未暗号化のパスワードが保存されていたのであれば、単純にバックエンドで変換したデータと、ハッシュ化後に認証ロジックを準備すれば良いだけの話しで、部分修正ですみますから、正直なぜやらなかったのかという問題の方が大きいでしょう。
例えば、同社のページでは以下のようなものがあります。
このうち「セキュリティアセスメント」の中では「Webアプリケーション脆弱性診断」というものがラインナップとして想定されているようですが、おそらく昨今のOSS系の診断ツールでもパスワードをハッシュ化せず取り扱うというものは全てで警告の対象となるでしょう。
また、同様に「ソースコード診断」というサービスもありますが、ここではcoverityを担いでいるようですが、同ソフトでは昔からパスワード保存に関するロジックの検査が含まれていたはずで、おそらくは自社製品を診断すれば、同ルールではじかれていたはずです。
基本的に、外部からの攻撃というのは実は完全に防ぐ事はできません。
これはお金を掛けても完璧に防げるという保証は持つ事はできず、基本的には如何に被害を最小化するかという事の方がより本質的な対策であることは否めません。
なぜなら、多くの攻撃というものは、そもそもソフトウェアの不具合を狙ってきますから、仮に最新版のパッチを当て続けても、完全に後手に回ることもあり、つまりは完全に防ぐ方法など存在しないわけです。
ですから、お客様から預かるセンシティブな情報については、外部データベース化したり、そもそも実データの保存が不要なももはハッシュ化するなどの対策を講じるわけです。
このような考え方は、既に平成も終わろうとしている現代では非常に基本的な考え方、実施方針であり、実際にはより具体的で詳細な手順がそれぞれありますし、ネットをちょっと探ってもいくらでも情報はでてくるのが現代です。
そのような中で、パスワードをハッシュ化していなかったという、非常に基本的な落ち度があったわけで、これは今後の同社の事業というか、立場としては相当不味いのではないかと考えます。
私が同社の担当者であれば、まずはこの点についてなぜそうなったのか、なぜそれが検知できなかったのか、等、具体的な説明を行い謝罪することをまず考えます。
なぜなら、一番マズイ点だからです。
この対応如何により、同社のセキュリティ、クラウド、IoT等の領域での今後の事業展開というか、見る人が見たときの同社の位置付けは決まるだろうなと生暖かい目で見ているところです。
先日、別件の記事(雑なエントリーだったので少し(私の理解の範囲内での)補足を - 何気ない記録)でも書きましたが、例えば過去の申込データとの比較であったり、同一申込の拒絶用に一部未契約データを保持するケースであったりもそうですが、持たなくてもよい情報は持たない、持つ事により管理する負担とリスクが増す、というか、お前らそのデータ使い道もそもそもねーだろ、などというネタについては、こういった他人様の失敗が発覚した段階で、各社適切に対応して頂きたく思います。
明日は我が身ですからね。