老舗の大容量ファイル送信サービスである「宅ファイル便」で、情報漏洩が発生してしまいました。私は、ビジネスプラス会員として使用していたのですが、あえなくサービスが停止されてしまいました。
スポンサーリンク
サービスの再開はあるか?
まあ、気にしていても、こればっかりはわからないとしか言えません。仮にサービスを再開したとしてユーザーは戻ってくるのでしょうか?
パスワードを平文で保存していたとのことですので、情報セキュリティ的には完全に化石(脆弱)のようなシステムです。ただ、意外と、変更・変化は多くの人が嫌いますので、サービスの再開を待ち続け、一定数は戻ってくるかもしれないです。
おじさんも、変化についていくのがしんどいお年頃です。正直つらいです。
そもそもパスワードの暗号化ってどういうこと?
パスワードは多くの場合、データベースにハッシュ値として保存します。これを暗号化と呼んでいます。では、ハッシュ値でパスワードを持つとどのようなメリットがあるのでしょうか?
例えばあるユーザーのパスワードが「abcde」だとします。ハッシュ化すると、「abcde」→「DE6DAE4568ABC42342」のように何が何だかわからない文字の羅列となります。このわけのわからない文字列をパスワードとして登録し、もともとのパスワードである「abcde」を隠します。
認証を行う場合には、ユーザーが平文で入力した「abcde」をパスワード保存時と同じようにハッシュ計算を行い、データベースの文字列と比較します。
つまり何がメリットかというと、万が一、データベースに接続されて、宅ふぁいる便のようにユーザーの登録情報を根こそぎ盗まれたとしても、パスワードが盗人に漏れることはないのです。
宅ふぁいる便さん、非常にまずいことがばれてしまいました。新人だってやりません(新人なのでヤラカシテも不思議ではないです。言いすぎました)。 仮にヤラカシタとしても、実力不足の先輩のドヤ顔での説明を聞くことになり、次回からはその新人君がドヤルことになるでしょう。
私が作成したハッシュ値計算サービスの宣伝です。
問題はデータベースに接続されて蹂躙されたこと
実際のところシステム構成がわからないので何とも言えませんが、WEBサーバとデータベースサーバがあるのだと思います。
一般的には、WEBサーバは外部から接続されてサービスを提供します。そして、WEBサーバから、(外部とは直接接続されていない)ローカルにあるデータベースサーバに接続し、必要な情報を取得しています。
宅ふぁいる便では、ローカルにある(と思われる)データベースサーバに接続されてしまいました。そして蹂躙されてしまいました ( ;∀;)。
考えられるのは、
- WEBサーバを踏み台に、データベースサーバまで2台とも蹂躙された
- WEBサーバの脆弱性をつかれて、データベースの情報を搾取された
- 内部犯
これらくらいです。
肝心のファイル自体の流出については発表がないためわかりませんが、データベースへの不正アクセスだけだったのであれば、ファイル自体の流出はないかもしれませんが、なかったとしても「ない」と言い切れるまでの証拠が残っているとはとても思えません。
では、続報を待ちたいと思います。