ジラフは1月29日、匿名質問サービスの「Peing -質問箱-」で脆弱性が見つかったと発表した。同社では、1月28日から緊急メンテナンスを実施しており、一時サービスを再開したが、再度メンテナンスに入っている。
このサービスは、Twitterアカウントと連携して発行されるURLをツイートなどで共有し、それにアクセスしたユーザーが匿名でアカウント主に質問の送信・回答ができるというもの。Peingは、もともと個人でCtoCサービスなどを開発していたクリエイターのせせり氏が立ち上げたサービスで、2017年12月にジラフが買収している。
今回の脆弱性は、Twitter連携時に発行されるAPIトークンが第三者から閲覧できる状態になっていたもの。対象件数については確認中で、現段階において漏えいと被害は確認されていないとしつつも、Peingに登録されたメールアドレスとハッシュ化されたパスワードの取得、パスワード再発行時に発行される仮パスワード、Twitterに登録されているメールアドレス、Twitterへの書き込み、鍵アカウントを含む過去ツイートの閲覧、送信先を指定したダイレクトメッセージの送付などが可能だったとしている。
一方で、Twitterアカウントへのログイン、Twitterアカウントへログインした上でのアカウント情報の閲覧、Twitterログインを用いた他サービスへのログインは不可能だったとしている。
同社によると、今回の脆弱性は1月28日18時18分にユーザーからの問い合わせがあり、社内調査を実施した結果、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が発覚したという。同日22時10分には修正作業を完了しており、現在ではAPIトークンを使ったアクセスはできず、連携を解除しなくても大丈夫だとしている。
Twitterでは、28日夜ごろに大きく話題となり、トレンドにもランクインした。また、以前から脆弱性について指摘を受けていたという言及もあったが、同社では、2018年10月26日に外部のセキュリティリサーチャーより指摘を受けて調査を開始し、12月17日にリサーチャーから指摘事項の修正が確認された連絡を受け、対応完了としていたという。追加で外部機関による調査をした上で経緯の公表を予定していた中、前回の指摘に類似する事象を再発させてしまったとしている。
なお、28日には第三者とみられるユーザーが、Peingの公式Twitterアカウントを使ってPeingの脆弱性を指摘するツイートを投稿していた(現在は削除)とされている。この件について同社広報部に確認したところ、「会社からのお知らせと公式ツイッターでの投稿内容が、現状説明できるすべて」として回答を控えた。
現在、外部機関による調査の継続中であり、2月中頃には完了予定としている。今後は、定期的な外部機関による調査の実施、不正アクセスの可能性の低減、不正や異常を検知しやすい状況の構築などから、情報セキュリティ管理体制を強化するとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス