ジラフは1月31日、匿名質問サービス「Peing-質問箱-」において、Twitterなど各連携サービスのAPIトークンが漏えいし、第三者が該当アカウントの情報にアクセスできる事象が確認された件について、追加情報を発表した。
なお、現段階で明らかになった問題はすべて対策が完了したとしており、外部調査は継続中であるものの、すでにサービスは再開している。脆弱性が発生してしまった原因などについては、外部調査が完了する2月中ごろに改めて調査結果を報告するとしている。
このサービスは、Twitterアカウントと連携して発行されるURLをツイートなどで共有し、それにアクセスしたユーザーが匿名でアカウント主に質問の送信・回答ができるというもの。Peingは、もともと個人でCtoCサービスなどを開発していたクリエイターのせせり氏が立ち上げたサービスで、2017年12月にジラフが買収している。
脆弱性によって、Twitter連携時に発行されるAPIトークンが第三者から閲覧できる状態になっていた。Peingに登録されたメールアドレスとハッシュ化されたパスワードが取得できたほか、Twitterへの書き込み、鍵アカウントを含む過去ツイートの閲覧、送信先を指定したダイレクトメッセージの送付などが可能だったとしている。
今回、29日から実施中の外部調査にて、新たな情報漏えいを確認している。漏えいしたのは、トークン、トークンシークレット、Peingに登録したメールアドレス(最大149万7967件)、ハッシュ化されたPeingのパスワード(最大94万9480件)、salt、デバイストークンと説明。
saltは、パスワードを暗号化する際に付与されるデータで、特殊な解析でハッシュ化されたパスワードを解読することが理論的に可能という。ただし、現段階ではsaltの解析による具体的な被害は確認されていないとしている。
アカウント登録時にTwitterなどのサービスと連携したユーザーは、OAuth認証に必要なアクセストーンが漏えいしている。同社によると、Twitter以外にもInstagramやFacebook、Googleも対象だったことが判明した。
Twitterでは、Twitterに登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット。Instagramでは、OAuthアクセストークン。Googleでは、OAuthアクセストークン、OAuth id_token、Googleアカウント名(メールアドレス)、Googleに登録した氏名。Facebookでは、OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレスとしている。
同社では、Peingと連携しているサービスと同一のメールアドレス、パスワードを用いて他のサービスを利用しているユーザーに対し、二次被害防止のため、ログインパスワードを変更するように案内している。また、随時追加の情報があれば同社サイトにて公開するとしており、今回の件を装ったダイレクトメッセージやメールでの連絡には十分に注意するよう呼びかけている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス