無料素材サイトFreepik、情報流出を公表--830万人に影響

Catalin Cimpanu (CNET News) 翻訳校正: 湯本牧子 吉武稔夫 (ガリレオ)2020年08月24日 12時46分

 高画質の写真やグラフィック素材を無料で提供しているウェブサイトFreepikは米国時間8月21日、大規模なセキュリティ侵害を受けたことを明らかにした。

Freepik
提供:Freepik Company

 ユーザーが、セキュリティ侵害に関する通知メールを受け取ったことについてソーシャルメディアで話題にし始めていた中、Freepikはこの件を正式に発表した。

 米ZDNetはFreepikに問い合わせたが、本記事公開時点で回答は得られなかった。Freepikは21日にセキュリティ侵害があったことを正式に公表し、数日の間に登録ユーザーに送信されたメールが本物であることを認めた。

 Freepikの公式声明によると、このセキュリティ侵害は、ハッカーがSQLインジェクションの脆弱性を利用し、ユーザーデータが保存されているデータベースにアクセスしたことで発生した。

 Freepikによると、ハッカーはウェブサイト「Freepik」「Flaticon」の登録ユーザーのうち、古い方から830万人分のユーザー名と、入手可能なパスワードのハッシュを取得したという。

 Freepikは、情報流出がいつ発生し、発見されたかを明らかにしていない。インシデントを把握してすぐに当局に通知するとともに、情報の流出と、ハッカーがアクセスした情報について調査を開始したとしている。

 Freepikは盗まれた情報について、一部のユーザーはメールアドレスだけが盗まれたと述べている。

 450万人については、フェデレーション(認証連携)ログイン(Google、Facebook、Twitterなど)でアカウントにログインしていたため、攻撃者が取得したのは電子メールだという。

 Freepikは、「残りのユーザー377万人については、攻撃者がメールアドレスとパスワードのハッシュを入手した」とし、「これらのユーザーのうち355万人については、パスワードをハッシュ化する方法に『bcrypt』を使っており、残る22万9000人のユーザーには『Salted MD5』を使っていた。その後、当社は全ユーザーのハッシュをbcryptに更新した」と説明している。

 Freepikは現在、影響を受けたすべてのユーザーに、電子メールで通知していると述べている。メールはFreepikとFlaticonの登録しているサービスのユーザーに送られる。

Freepik
読者から米ZDNetに提供された、FreepikとFlaticonによる電子メールの内容

 Freepikによると、Salted MD5でハッシュ化されたパスワードのユーザーは、パスワードが停止された。新しいパスワードを選択し、別のサイトでパスワードが共有されている場合は変更するよう促す電子メールを受け取っている。bcryptでハッシュ化されたパスワードを使っているユーザーには、特に推測しやすいパスワードである場合、変更するよう提案する電子メールが届いているという。

 Freepikは現在、インターネットで最も人気の高いサイトの1つとなっている。Freepik Companyは5月、EQTが買収を発表した。その際、Freepikのサービスは2000万人を超える登録ユーザーを擁するとしていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画広告

企画広告一覧

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]