高画質の写真やグラフィック素材を無料で提供しているウェブサイトFreepikは米国時間8月21日、大規模なセキュリティ侵害を受けたことを明らかにした。
ユーザーが、セキュリティ侵害に関する通知メールを受け取ったことについてソーシャルメディアで話題にし始めていた中、Freepikはこの件を正式に発表した。
米ZDNetはFreepikに問い合わせたが、本記事公開時点で回答は得られなかった。Freepikは21日にセキュリティ侵害があったことを正式に公表し、数日の間に登録ユーザーに送信されたメールが本物であることを認めた。
Freepikの公式声明によると、このセキュリティ侵害は、ハッカーがSQLインジェクションの脆弱性を利用し、ユーザーデータが保存されているデータベースにアクセスしたことで発生した。
Freepikによると、ハッカーはウェブサイト「Freepik」「Flaticon」の登録ユーザーのうち、古い方から830万人分のユーザー名と、入手可能なパスワードのハッシュを取得したという。
Freepikは、情報流出がいつ発生し、発見されたかを明らかにしていない。インシデントを把握してすぐに当局に通知するとともに、情報の流出と、ハッカーがアクセスした情報について調査を開始したとしている。
Freepikは盗まれた情報について、一部のユーザーはメールアドレスだけが盗まれたと述べている。
450万人については、フェデレーション(認証連携)ログイン(Google、Facebook、Twitterなど)でアカウントにログインしていたため、攻撃者が取得したのは電子メールだという。
Freepikは、「残りのユーザー377万人については、攻撃者がメールアドレスとパスワードのハッシュを入手した」とし、「これらのユーザーのうち355万人については、パスワードをハッシュ化する方法に『bcrypt』を使っており、残る22万9000人のユーザーには『Salted MD5』を使っていた。その後、当社は全ユーザーのハッシュをbcryptに更新した」と説明している。
Freepikは現在、影響を受けたすべてのユーザーに、電子メールで通知していると述べている。メールはFreepikとFlaticonの登録しているサービスのユーザーに送られる。
Freepikによると、Salted MD5でハッシュ化されたパスワードのユーザーは、パスワードが停止された。新しいパスワードを選択し、別のサイトでパスワードが共有されている場合は変更するよう促す電子メールを受け取っている。bcryptでハッシュ化されたパスワードを使っているユーザーには、特に推測しやすいパスワードである場合、変更するよう提案する電子メールが届いているという。
Freepikは現在、インターネットで最も人気の高いサイトの1つとなっている。Freepik Companyは5月、EQTが買収を発表した。その際、Freepikのサービスは2000万人を超える登録ユーザーを擁するとしていた。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
「程よく明るい」照明がオフィスにもたらす
業務生産性の向上への意外な効果
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス