ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンクが、「dアカウント」や「My SoftBank」などの会員サービスのパスワードをハッシュ化せず保持していることが分かった。ハッシュ化せずにパスワードを保存するのは情報セキュリティ上のリスクになる可能性もある。
LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。
【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】
【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
ドコモとahamoの「dアカウント」、ソフトバンクの「My SoftBank」、LINEMOの「My menu」、Y!mobileの「My Y!mobile」では、ログイン画面の「パスワードをお忘れの方」というリンクから、電話番号や契約時に設定した4桁のネットワーク暗証番号などを入力すると、ユーザーが設定したパスワードを提示する。
提示方法は、ドコモ系列がdアカウントのポータル内のみ、ソフトバンク系列はSMSでの通知となっている。
一方、KDDI(au/UQ mobile)と、楽天モバイルの会員サービスでは、パスワードを忘れた際の処理としては本人確認の後にパスワードの通知は行わず、新規パスワードの設定画面に移動する。
パスワードは「ハッシュ値」と呼ばれる文字列に変換(ハッシュ化)した上で管理するのが望ましいとされる。ハッシュ化は不可逆な変換であることから、ハッシュ値からパスワードは復元できない(ただし、追加の工夫がなければ辞書攻撃で解読される可能性はある)。そのため、万が一システムからの情報漏えいが起きても、ハッシュ化がなされていればユーザーアカウントへの不正ログインなどの二次被害が発生しにくい。
平文でパスワードを通知する場合も、パスワードを暗号化して保存している可能性はあるものの、ハッシュ化に比べてセキュリティ対策として弱いことには変わりはない。
本件についてドコモ、LINEMO、Y!mobileの担当者に実装の意図や現状認識について尋ねたところ以下の返答があった。
- ドコモ
基本的には(パスワードをお忘れの方には)パスワードの再設定をお願いしている。ユーザーの利便性のために用意しているパスワードの確認機能を使った場合は、自分で設定したパスワードをdアカウント内のみで確認できるが、パスワードは暗号化した上でサーバの中で厳重に保管しており、SNSやメールで外部に提示することはない。
- ソフトバンク
パスワードを平文で送信しているのは事実。ユーザーへの利便性の観点から実装していた。パスワードは平文で保存しているが、昨今の情報セキュリティ動向を踏まえると平文による保存・通知は見直す必要があると認識しており、見直しの検討に入っている。
パスワードの平文保持を巡っては2019年に、オージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいする問題が発生した。オージス総研は宅ふぁいる便のパスワードをハッシュ化しておらず、流出した情報を使えばパスワードリスト攻撃が実行できてしまう状況になっていたため話題になった。
追記:2022年3月16日午後2時
ドコモへの再取材で、パスワードを暗号化の上保管していることを確認できたため、タイトルとドコモ引用部の記述を変更しました。
追記:2022年3月16日午後7時30分
ソフトバンクへの再取材で、パスワードを平文のまま保管していることを確認できたため、ソフトバンク引用部の記述を変更しました。
関連記事
- なぜ、宅ふぁいる便は「暗号化」していなかったのか
「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。 - Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で
全ユーザーのパスワードをTwitter社内に平文で保存していたことが発覚した。 - Facebook、数億人分のユーザーパスワードを数年間可読状態で保存と発表
Facebookが、Facebook、Instagram、Facebook Liteの数億人分のパスワードが社内に可読な状態で保存されていることに1月に気づき、修正したと発表した。該当したユーザーにはこれから連絡する。不正アクセスなどはなかったとしている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.