知って得するセキュリティのはなし その89
イベント管理等サービス「Peatix」に不正アクセス…最大677万件の個人情報流出
1.このニュースをザックリ言うと
- 11月17日(日本時間)、イベント管理・電子チケット販売サイト「Peatix」の運営元より、同サイトが不正アクセスを受け、ユーザーのアカウント情報が流出したと発表されました。
- 被害を受けた可能性があるのは、Peatixユーザーの氏名・メールアドレスおよび暗号化されたパスワード等最大677万件とされています(クレジットカード・銀行口座情報等決済関連情報やイベント参加履歴・アンケート回答データ・住所・電話番号等は流出は確認されていないとのことです)。
- 不正アクセスは10月16日~17日に発生したとされ、運営元では11月15日より全ユーザーに対しパスワードの変更等の対応を呼び掛けています。
2.執筆者からの所感等
- 攻撃者が集うWebサイトに流出したデータがアップロードされた、さらにはパスワードの暗号化が解読されたという情報もあり、流出データを悪用した大規模な「リスト型攻撃」も既に発生している恐れがあります(ただし、Twitter等SNSとの連携で登録・ログインしているユーザーについてはパスワードは保持していないとのことです)。
- 近年、パスワードの設定に関して、サービス毎に異なる、推測されにくいパスワードを設定することが推奨されていますが、もし使用しているサービスから流出したのと同じパスワードを他のサービスで使い回していた場合、リスト型攻撃のターゲットとなり得る上、他のサービスのパスワードを後から変更する手間も発生することに注意が必要です。
- Peatixは多種多様なイベント、また一部の自治体によるプレミアム商品券の販売等にも利用され、利用者によってはお知らせメールが届くまでサイトに登録したことを覚えていなかったという人も散見されており、例えばパスワード管理ツール等も用いて、自分が登録したWebサービスの管理を普段から行っておくことは、万が一こういった事態が発生した場合にもパスワードの変更等迅速な対応ができるようにするため、重要と言えます。