「Peing」で約150万件のメアドが閲覧可能だったと判明--漏えい問題で続報

　ジラフは1月31日、匿名質問サービス「Peing-質問箱-」において、Twitterなど各連携サービスのAPIトークンが漏えいし、第三者が該当アカウントの情報にアクセスできる事象が確認された件について、追加情報を発表した。

　なお、現段階で明らかになった問題はすべて対策が完了したとしており、外部調査は継続中であるものの、すでにサービスは再開している。脆弱性が発生してしまった原因などについては、外部調査が完了する2月中ごろに改めて調査結果を報告するとしている。

　このサービスは、Twitterアカウントと連携して発行されるURLをツイートなどで共有し、それにアクセスしたユーザーが匿名でアカウント主に質問の送信・回答ができるというもの。Peingは、もともと個人でCtoCサービスなどを開発していたクリエイターのせせり氏が立ち上げたサービスで、2017年12月にジラフが買収している。

　脆弱性によって、Twitter連携時に発行されるAPIトークンが第三者から閲覧できる状態になっていた。Peingに登録されたメールアドレスとハッシュ化されたパスワードが取得できたほか、Twitterへの書き込み、鍵アカウントを含む過去ツイートの閲覧、送信先を指定したダイレクトメッセージの送付などが可能だったとしている。

メールアドレスは約150万件が漏えい、FacebookやGoogleアカウントも

　今回、29日から実施中の外部調査にて、新たな情報漏えいを確認している。漏えいしたのは、トークン、トークンシークレット、Peingに登録したメールアドレス（最大149万7967件）、ハッシュ化されたPeingのパスワード（最大94万9480件）、salt、デバイストークンと説明。

　saltは、パスワードを暗号化する際に付与されるデータで、特殊な解析でハッシュ化されたパスワードを解読することが理論的に可能という。ただし、現段階ではsaltの解析による具体的な被害は確認されていないとしている。

　アカウント登録時にTwitterなどのサービスと連携したユーザーは、OAuth認証に必要なアクセストーンが漏えいしている。同社によると、Twitter以外にもInstagramやFacebook、Googleも対象だったことが判明した。

　Twitterでは、Twitterに登録したメールアドレス、OAuthアクセストークン、OAuthアクセスシークレット、OAuthコンシューマーキー、OAuthコンシューマーシークレット。Instagramでは、OAuthアクセストークン。Googleでは、OAuthアクセストークン、OAuth id_token、Googleアカウント名（メールアドレス）、Googleに登録した氏名。Facebookでは、OAuthアクセストークン、アカウント名、氏名、プロフィール写真、メールアドレスとしている。

各サービスと連携した場合に漏えいした情報

　同社では、Peingと連携しているサービスと同一のメールアドレス、パスワードを用いて他のサービスを利用しているユーザーに対し、二次被害防止のため、ログインパスワードを変更するように案内している。また、随時追加の情報があれば同社サイトにて公開するとしており、今回の件を装ったダイレクトメッセージやメールでの連絡には十分に注意するよう呼びかけている。