皆様こんにちはDiGです。
昨日このブログやTwitterなどでもお伝えした通り、123RFにて最大830万件の個人情報流出が発生しました。
一日経ってもう少し詳細がわかってきましたので、それらについてのまとめと、自分の情報が漏れたのかどうかの確認方法、そして対応方法などを共有させていただきたいと思います。
ITPro
– Hackers steal 8.3 million user records from 123RF
IT security GURU
– Stock photo service 123RD suffered major data breach
等々幾つかのニュースサイトに記事が上がっていました。
これらのニュースサイトの記事から、昨日の時点ではわからなかったいくつかの新事実がわかりました。
- ユーザー情報はハッカーフォーラムで売りに出されている
- Paypalアカウントのメールアドレスも漏れている可能性
- パスワードの暗号化はMD5
まず流出した個人情報は現在ハッカーの集まるフォーラムで売りに出されている模様です。
ということは、この情報が本格的に悪用されてしまうのはこれからということになります。
漏れてしまった情報を戻すことはできませんが、二次被害が広がらないように今のうちに対策をするのが重要です。
また、昨日の123RFのメールでは、流出した情報の中にPaypalに関する情報は含まれていないとのことでしたが、こちらのニュース記事によるとPaypalの電子メールアドレスが含まれているとのことです。
どちらが正しいのかは現時点ではわかりませんが、ログイン周りの異常なほどのセキュリティ強化から想像するに、おそらくログインフォームにSQLインジェクション攻撃を受けて流出した可能性が高いと思います。
その場合、ユーザー情報テーブルをごっそり抜かれている可能性が高いので、同じテーブル内にPaypalの情報があったとしたら間違いなく抜かれているとは思います。
ということでペイパルに関しては、メールアドレスを変更するとかパスワードを複雑なものに変える等、念のための対策をした方がいいかもしれません。
そしてもっと気になるのが、流出したパスワードの暗号化がMD5で行われているということです。
MD5は暗号化の中では比較的簡易なものなので、元のパスワードを復号することも不可能ではありません。
ということでパスワードもすでに流出していると考えた方がいいと思います。
もし123RFと同じメールアドレス・パスワードを使っているサイトが他にもあれば、今すぐに変更することを強くお勧めします。
自分の個人情報は漏れたのかどうかの確認方法
今回の流出は、Shutterstockのフォーラム内でも話題になっていて、123RFの対応に対して批判の声が上がっていました。
またフォーラム内の情報によると、流出したデータはデータ漏えい確認サイトであるHave I Been Pwned(HIBP)に提供されたとのことなので、そちらで実際自分の情報が漏れたのかどうかの確認ができます。
– Have I Been Pwned
ちなみに私のメールアドレスで確認すると、
はい、しっかり漏れてました。。苦笑
(なんかすでにCafePressでも漏れてるし。。)
ということで自分の情報が気になる方は、こちらでチェックしてみてください。
以上、昨日に続いて123RF情報流出に関しての記事でした。
対策について改めてまとめると、
- 漏れた情報からの二次被害を防ぐために早めの対応を
- 123RFについてはパスワードをすぐに変更
- 同じメールアドレス・パスワードを使っているサイトについても必ず対策を
というところかと思います。
今回正直きついなあと思うのが、住所とか電話番号とかネットの情報以外のリアルな情報もセットで流出してしまっている点です。
SNSとかなら適当な情報を入れといて問題ないですが、こういった報酬の発生するサイトに関しては、正確な個人情報を入力せざるを得ません。
123RFは、そういった情報を管理しているサイト側として、もっとセキュリティ意識を高く持ってほしかったです。
メールでそこら辺の詳しい流出内容を濁しているのも責任逃れと取られても仕方がないと思います。
またなにか続報が出てきたら記事にしたいと思います。
ではでは。