ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】

[谷井将人，ITmedia]

　LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。

【編集履歴：2022年3月16日午後2時　ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】

【編集履歴：2022年3月16日午後7時30分　ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】

LINEMOのパスワード通知SMS（編集部で画像を一部加工しています）

　ドコモとahamoの「dアカウント」、ソフトバンクの「My SoftBank」、LINEMOの「My menu」、Y!mobileの「My Y!mobile」では、ログイン画面の「パスワードをお忘れの方」というリンクから、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、ユーザーが設定したパスワードを提示する。

ドコモのパスワード確認機能　開示にはIDと電話番号、ネットワーク暗証番号が必要で、dアカウントの外に情報が出ることはない

ソフトバンクのパスワード確認機能　ドコモと同様に開示にはIDと電話番号、ネットワーク暗証番号が必要　送信先電話番号は契約している自身の番号のみ対応で、第三者には送信できない

　提示方法は、ドコモ系列がdアカウントのポータル内のみ、ソフトバンク系列はSMSでの通知となっている。

　一方、KDDI（au／UQ mobile）と、楽天モバイルの会員サービスでは、パスワードを忘れた際の処理としては本人確認の後にパスワードの通知は行わず、新規パスワードの設定画面に移動する。

　パスワードは「ハッシュ値」と呼ばれる文字列に変換（ハッシュ化）した上で管理するのが望ましいとされる。ハッシュ化は不可逆な変換であることから、ハッシュ値からパスワードは復元できない（ただし、追加の工夫がなければ辞書攻撃で解読される可能性はある）。そのため、万が一システムからの情報漏えいが起きても、ハッシュ化がなされていればユーザーアカウントへの不正ログインなどの二次被害が発生しにくい。

　平文でパスワードを通知する場合も、パスワードを暗号化して保存している可能性はあるものの、ハッシュ化に比べてセキュリティ対策として弱いことには変わりはない。

　本件についてドコモ、LINEMO、Y!mobileの担当者に実装の意図や現状認識について尋ねたところ以下の返答があった。

• ドコモ

　基本的には（パスワードをお忘れの方には）パスワードの再設定をお願いしている。ユーザーの利便性のために用意しているパスワードの確認機能を使った場合は、自分で設定したパスワードをdアカウント内のみで確認できるが、パスワードは暗号化した上でサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。

• ソフトバンク

　パスワードを平文で送信しているのは事実。ユーザーへの利便性の観点から実装していた。パスワードは平文で保存しているが、昨今の情報セキュリティ動向を踏まえると平文による保存・通知は見直す必要があると認識しており、見直しの検討に入っている。

　パスワードの平文保持を巡っては2019年に、オージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいする問題が発生した。オージス総研は宅ふぁいる便のパスワードをハッシュ化しておらず、流出した情報を使えばパスワードリスト攻撃が実行できてしまう状況になっていたため話題になった。

追記：2022年3月16日午後2時

　ドコモへの再取材で、パスワードを暗号化の上保管していることを確認できたため、タイトルとドコモ引用部の記述を変更しました。

追記：2022年3月16日午後7時30分

　ソフトバンクへの再取材で、パスワードを平文のまま保管していることを確認できたため、ソフトバンク引用部の記述を変更しました。