pictBLandのパスワード漏えいから学ぶ もし競合が被害に遭ったらどうする？：半径300メートルのIT

pictBLandのパスワード漏えいインシデントが話題です。本件はログイン時のパスワードの保管方法について問題視されていますが、筆者としては別のポイントに注目したいと思います。

[宮田健，ITmedia]

　気になる事件が2つありました。一つは東京ディズニーリゾートを運営するオリエンタルランドが運営する公式ファンクラブ「ファンダフル・ディズニー」で不正な入会が発生した件です。同社はファンクラブ限定の安価な入園チケットについて「ファンダフル・ディズニー・パスポート（対象日限定）は、一部、不正に購入された形跡が見られたことから、調査のため販売を停止しておりました」と発表しています。

東京ディズニーリゾートの公式ファンクラブ「ファンダフル・ディズニー」で不正入会が発生した（出典：オリエンタルランドのWebサイト）

　東京ディズニーリゾートの入園チケットといえば、誰もが欲しがるチケットであり、転売や不正購入のターゲットにもなっています。あまりに不正利用が多いのか、クレジットカードでの購入時にカード事業者が不正検知とみなし、決済ができなかったこともよくあるようです。国内でも有数のリセールバリューの高いチケットですから、不正に入手したクレジットカードを換金する方法として悪用されているのでしょう。

　こうした経緯もあり今回、恐らく多くの人にとっては初耳の、東京ディズニーリゾートのファンクラブが攻撃対象になったのかもしれません。今回の不正入会によって情報流出などは発生していないようですが、オリエンタルランドは入園チケットが買えなかった時期に対する補填（ほてん）として、会員に5000円のギフトカードを郵送すると発表しています。

　外部から見える情報だけでの判断となりますが、サイバー攻撃者は恐らく、本丸である通常のチケット販売サイトでの不正利用対策が進んだことで、より弱く、ニッチな場所に攻撃の対象を移したのではないかと思います。メインのチケット販売で不正な購入が増えていることが判明したタイミングで、全ての入り口の見直しができていれば、今回の事件は起きていなかったかもしれないと考えると、サイバー攻撃を受けたという情報を社内外にどのように展開するかは大きな課題であるとともに、不正な購入が行われたという情報は、チケットを取り扱う多くの事業者が知りたいところであるはずです。

pictBLandのパスワード漏えいから考える、平時にやるべき対策とは

　もう一つは、イラストなどの創作者が集まるSNS「pictBLand」で不正アクセスが実行され内部情報が漏えいした事件です。こちらはログイン時のメールアドレス／パスワードが漏えいしたことで、非常に大きな影響が発生しています。

　パスワードはハッシュ化がMD5で実施されただけのもので、辞書に載っているような文字列を採用している脆弱（ぜいじゃく）なパスワードを使っているアカウントにとっては、ほぼ生パスワードが漏えいしたと考えてよいでしょう。

pictBLandで不正アクセスが実行され内部情報が漏えいした（出典：pictBLandの「X」（Twitter）への投稿）

　残念ながら、こうした不正アクセスによる情報漏えいは今後も起こり続けるでしょう。本件はパスワードの管理方法が最近ではあり得ないレベルのずさんなものだったことで話題を集めています。それについてはその通りだと思いますが、より大きな問題は利用者がパスワードを「使い回していた」可能性が高いという点です。

　もし該当サービスを利用しているなら、まずはpictBLandのパスワードを変更し、漏えいしたパスワードを使ってログインしていたサービスについてもパスワードを変更しましょう。面倒だという方は、少なくとも電子メールや金融機関、マイルなどポイントサービスなどお金とパスワードリセットに関係するサービスだけでもパスワードを変更した方がいいです。

　今回の事件では、サイバー攻撃者が「特定の趣味に特化したSNSであることから、同じような趣味を取り扱う他のサービスでもログインが可能かもしれない」という趣旨の発言をしているようです。サイバー攻撃者も対象のサービスを調べ上げており、「自分が盗み出したデータの価値をより高めるにはどうすればいいか」を模索していることがうかがえます。これは非常に恐ろしいことです。

　こうした話題が盛り上がると、「漏えいした情報を消すにはこちらから」などといって偽のWebサイトなどに誘導するフィッシングが発生するリスクも忘れないようにする必要があります。つまり漏えいした企業は事故が起きた際に正しく情報を発表する場をしっかりと用意しなければならないのですが、情報漏えいを起こしてサービスを停止してしまうと、お知らせをするためのWebサーバもなくなってしまいます。

　これまでは「X」のような利用者の多いSNSで情報を発信できたかもしれませんが、今回の事件を受けて筆者は、平時の間に障害情報などのお知らせへの導線を整理しておく必要性も感じました。皆さんの会社でも、全てのサービスを停止した場合でも公開できるサーバの準備はできているでしょうか。これも平時の重要な仕事だと思います。

有事の際にはライバル企業も助け合う姿勢が重要

　今回大変興味深かったのは、pictBLandの情報漏えい発覚後、同サービスと利用者が重なる、いわゆる競合のサービスが一斉にパスワード使い回しに対する注意喚起を発表していたことです。SNSを見ていると確かに利用者層が重なっているようで、この一体感は素晴らしいと思いました。関連リンクに一部だけですがリンクを掲載したのでぜひ参考にしてください。特にニコニコではログイン履歴チェックの重要性もアピールしていました。

　冷静に考えれば、上記各社には全く落ち度はありません。しかし実際に使い回しによる「正規のID／パスワード情報での不正ログイン」が実行されてしまえば、自社の顧客が被害を受けるわけです。この動きはどの業種においても参考にすべきだと思います。

　情報通信技術に関連する企業には「ICT-ISAC」が、金融機関では「金融ISAC」が、自動車製造業では「J-Auto-ISAC」があり、それぞれの業界が横のつながりを持ち、サイバーセキュリティに関する情報の共有や分析を実施しています。もしかしたら、もっと細分化したエリアにおいてもISACがあっても良いのかもしれません。

　ライバル企業であっても安全を目指す心は変わらないはずです。恐らく各社“中の人”は会社の枠とは無関係に、仲の良い方たちであることが多いでしょう。平時に話し合い、可能な範囲で情報共有ができるように、上司への説得と「Slack」チャンネルの設置をしておくことが、明日起こるかもしれない「ごく狭い範囲のサービスが狙われた」ときの心構えになるのではないでしょうか。

著者紹介：宮田健（みやた・たけし）

元＠ITの編集者としてセキュリティ分野を担当。現在はフリーライターとして、ITやエンターテインメント情報を追いかけている。自分の生活を変える新しいデジタルガジェットを求め、趣味と仕事を公私混同しつつ日々試行錯誤中。

2019年2月1日に2冊目の本『Q＆Aで考えるセキュリティ入門　「木曜日のフルット」と学ぼう！〈漫画キャラで学ぶ大人のビジネス教養シリーズ〉』（エムディエヌコーポレーション）が発売。スマートフォンやPCにある大切なデータや個人情報を、インターネット上の「悪意ある攻撃」などから守るための基本知識をQ＆Aのクイズ形式で楽しく学べる。