【blog】いつまで起きるＩＤ・パスワード流出：Peatixから流出

1．Peatixから情報流出
2．過去の流出事件
3．今回の事件
4．今後どうすれば良いか
- 4．1　運営者に求めること
- 4．2　ユーザができる対策
5．まとめ
（追記）2020/11/23
（追追記）2020/12/16

1．Peatixから情報流出

今朝、ＮＨＫのＮＥＷＳ　ＷＥＢを見ているとPeatixでの情報流出の記事がありました。

「Peatix」最大677万件情報流出宇都宮の食事券購入者含むか | IT・ネット | NHKニュース

　私はたまたま、ＰＭＩ日本支部のフォーラムのチケットを購入するためにPeatixに登録していました。

2．過去の流出事件

　私のＩＤ・パスワードが流出したのは、これで２回目です。

　以前は、プレミアム・アウトレットでの情報流出でした。

　この時は、パスワードも平文で保存されておりクリティカルな事例でした。詳細は、以下の記事をご覧ください。

プレミアム・アウトレット情報漏洩から学ぶ三つの教訓 | 日経クロステック（xTECH）

　この事件では、認証失敗時のパスワードまで保存していたため、別サイトでパスワードを変更していたとしても、このサイトで間違ってパスワード入力していればそれも一緒に流出しているという重大な瑕疵がある案件でした。

　この事件以降、私のメールアドレスは危険なアドレスになってしまいました。以下のサイトで流出が確認できます。

Have I Been Pwned: Check if your email has been compromised in a data breach

3．今回の事件

　今回の事件はどうかと言えば、パスワードは暗号化（ハッシュ化）されていたようです。それなのでいきなり何者かにログインされてしまうことは（すぐには）なさそうです。ただし、「解除した」という発言も一部あるようなので安心はできません。

　Peatixは、当初はメールによるパスワード変更周知などは行っていません。私も確認のためPeatixのサイトを訪問してはじめてパスワード変更が必要になっているとの情報を知りました。

　サイトへログインしようとすると「パスワード再設定が必要」とのメッセージが表示され、ログイン用のメールアドレスに案内メールが送信されるという仕組みになっていました。

　Peatixの業務自体は止まっていないようですので、情報流出への対策はできており安心できる状態との判断なのでしょうか。それとも業務を止めたときの影響が大きいので止められないのでしょうか。詳細を明かしていないためパスワード変更だけで安心できるか不安です。もし情報流出対策に不備が残っていれば再度流出することも考えられるので状況説明はしっかりして欲しいと思います。

弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ

　こういった事象が発生しているにも関わらず、この件についての周知はなくイベントのお知らせメールだけが何事もなかったかのように送られてきて来ていました。運営者の良識を疑います。

4．今後どうすれば良いか

　それでは今後どうすれば良いのでしょうか。

4．1　運営者に求めること

　運営者は、メールアドレスをログイン名に用いるのはやめた方がいいのではと思います。メールアドレスが流出しただけで迷惑メールが激増します。私の場合も、今まで迷惑メールが来なかったメールアドレスなのに１０月２５日から急に迷惑メールが届き出しました。メールアドレスとパスワードはどちらも流出してはいけないものです。メールアドレスとは別にユーザーＩＤを設定して管理を別にするなど厳格化が必要でしょう。

4．2　ユーザができる対策

　ユーザーはどんな対策ができるでしょうか？

　一度流出したメールアドレスは使いたくないと思ってしまいます。通常ならメールアドレスとパスワードの両方がわからないといけないところ、パスワードだけブルートフォース攻撃でもすればログインできてしまうかもしれないと思うと気持ち悪いです。私の場合は、メールアドレスも用意に推測できないものにしているのでこれが流出すると困りものです。

　インターネットでのショッピングなどで利用するメールアドレスはいつでも変えられるようなものを別途用意して情報流出のリスクに備えるのがいいのかもしれません。

　私はドメインを運用しているのでショップ毎に使うメールアドレスを変えて登録しようかと思ったりもしますが、手間がかかり過ぎですね。簡単にできる対策はないものでしょうか。

5．まとめ

　これと言った決定的な方策はなく、運営者もユーザーもコツコツとやるべきことをやるしかない状況のようです。手間ばかりかかって本来のネットの利便性を損なうような問題で解決策を早急に考えないといけないなぁと思う次第です。

　皆さまもお気をつけください。

（追記）2020/11/23

　2020/11/23にPeatixから「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」と題するメールが届きました。初動が遅い感じは否めないですね。本文を読む限りでは、「お詫び」の姿勢はあまり感じられません。「自分たちも被害者だしやめたい人はやめてください」というドライな感じのメールです。個人的には「ごめんなさい」感があると良かったかなと思いますが、米国企業なのでうかつなことは言えないのでしょう。残念な企業です。

（追追記）2020/12/16

　2020/12/16にPeatixからプレスリリースがありました。

　弊社が運営する「Peatix」への不正アクセス事象に関する第三者期間による調査結果のご報告と今後の対応について

　現状を踏まえた対応としては順当なところかと思いますが、メールアドレスをユーザ名として使わないという対策はなさそうですね。このあたりはシステムへの影響も大きいのでやりづらいのかもしれませんが。