Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2015年の不正アクセスで流出した平文PW見つかる、報償金制度で - Slack

当初は、利用者の端末においてマルウェアにより窃取されたものや、他サービスにおいて使い回されたアカウント情報が流出したものと疑われたが、その後の調査で報告を受けたメールアドレスとパスワードの組み合わせの一部が現在でも有効であり、当時流出したものであることが判明。

さらに2015年当時の発表では、侵害を受けたデータベースに保存されていたパスワードについて、ソルトの追加後、ハッシュ化を実施していることを強調していたが、今回の発表で不正なコードを埋め込まれ、ハッシュ化を行う前のパスワードが窃取されたとし、今回流出が確認された対象アカウントに対してリセットを実施。事情を説明するとともに謝罪している。

また今回の問題を受けて、報告に含まれていないアカウントに対する措置もあわせて実施。具体的には2015年3月以前に作成され、同月以降にパスワードが変更されておらず、シングルサインオンプロバイダーを利用したログインを必須としていないアカウントについてもパスワードをリセットした。

リセットの対象となるアカウントは、全体の約1%にあたり、これらのアカウントに対する不正アクセスは確認されておらず、影響はないと同社は説明。今回報告を受けたアカウント以外のパスワードリセットは「あくまで予防措置」としている。

(Security NEXT - 2019/07/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

メール誤送信でセミナー受講者のメアド流出 - 日本放射線技術学会
顧客アカウント情報が外部流出、SQLi攻撃で - 日本ケミカルデータベース
認証連携APIに不正アクセス、DCの不審アカウントきっかけに判明 - 弥生
患者情報含むUSBメモリがスタッフルームで所在不明に - 福大筑紫病院
従業員アカウントに不正アクセス、取引先情報流出のおそれ - オリコン
研究員メールアカウントに不正アクセス、PW使い回しが原因か - 東北工大
ファッション情報サイトに不正アクセス - 登録会員情報が流出か
クラウド設定不備で顧客情報に外部アクセス - 琉球銀
益茂証券で個人情報流出の可能性 - サイト管理事業者が認証機能を誤って無効化
メールアドレス流出、自動PPAP機能に不具合 - 原子力規制委