ウェブサービス「Peing」脆弱性が直っておらず再びメンテナンス

未分類

2019/01/28にTwitter上で有名となったウェブサービス「Peing -質問箱-」に脆弱性が確認されメンテナンスが行われていました。
その後、2019/01/29 20:00頃にメンテナンスが完了しサービスを再開していました。しかし、同日20:44分頃より同様の脆弱性の確認され、再びメンテンナンスを行っています。

2019/01/28時点のメンテナンスについては下記の記事を御覧ください。

株式会社ジラフからの発表内容

平成31年1月29日
各 位
会社名 株式会社ジラフ
代表者名 代表取締役 麻生輝明
Peing-質問箱-に関するお詫びと詳細のご説明(第一報)
この度、株式会社ジラフ(以下「弊社」といいます。)にて運営を行っておりますPeing-質問箱-において、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が確認されたため、下記2に記載の情報が第三者により閲覧できるなどの状況になっておりました。現段階においては、このような事象は解消されています。
ユーザー様及び関係者の皆様に多大なるご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。
 

1.概要、経緯
平成31年1月28日18時18分に、ユーザー様よりの問い合わせがあり、社内調査を行った結果、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が発覚しました。この事象によって閲覧可能な情報及び、その情報を用いて可能なこと、現在インターネット上で可能とされているが実際には不可能な事は下記2に別記いたします。
また、当該事象に対する修正対応は、同日22時10分に完了しており、現在、当該事象を用いた不正アクセスはできない状態となっております。
弊社は、ユーザー様に安心、安全にPeing-質問箱-を安心してお使いいただけるよう、引き続き調査を実施してまいります。
本件は、弊社が昨年10月頃に指摘を受けた事項と関連しているという情報がございますが、平成30年10月26日に、外部のセキュリティリサーチャーより指摘を受け、調査を開始し、平成30年12月17日に当該セキュリティリサーチャーより指摘事項の修正が確認された連絡を受け、対応完了としておりました。
弊社といたしましては、他の可能性も検証する必要を感じており、追加にて外部機関による調査を行った上でプレスリリースにて経緯の公表を予定していた中、前回のご指摘に類似する事象を再発させてしまったことにより、ユーザー様に多大なるご心配とご迷惑をおかけすることになりましたこと、深くお詫び申し上げます。
 
2.漏洩した可能性のある情報と件数
・情報:トークンの情報
・件数:調査中
※現段階において漏洩、及び漏洩による被害は確認されておりません。
※調査結果、状況は随時別途発表してまいります。
 
<トークンの情報を使用して可能なこと>
可能なことの一部具体例を以下に記載いたします。詳細はこちらのリンクよりご確認ください。
・Peing-質問箱-に登録されているメールアドレスの閲覧
・Peing-質問箱-でハッシュ化されたパスワードの閲覧
・Peing-質問箱-におけるパスワード再発行の際に一時的に発行される仮パスワードの閲覧
・Twitterに登録されているメールアドレス閲覧
・Twitterへの書き込み
・過去に自分で行ったツイートの情報など(非公開ツイートの場合も含む)の閲覧
・相手先を指定したダイレクトメッセージの送付
  
<トークンの情報を使用して不可能なこと>
・Twitterアカウントへのログイン
・Twitterアカウントへログインした上でのアカウント情報の閲覧
・Twitterアカウントへのログインを利用した他サービスの利用
 
3.弊社のセキュリティ対策と再発防止策
<第三者機関によるセキュリティに関する調査の実施>
現在実施中である外部機関による調査は、来月2月中頃には完了予定でございます。
調査結果につきましては改めてプレスリリースにて公表することを予定しております。
<情報セキュリティ強化のための対策>
定期的な外部機関による調査の実施、不正アクセスの可能性を低減し、
不正や異常を検知しやすい状況を目指すべく検知の仕組みを導入するなどし、
更なる情報セキュリティ管理体制の強化を行ってまいります。
 
4.ユーザー様にご注意いただきたいこと
今後本件に関する状況は、随時弊社コーポレートサイト上よりプレスリリースにて情報を公表してまいります。本件を装ったダイレクトメッセージやメールでの連絡に十分にご注意いただきますよう、お願い申し上げます。
本件に関してのご相談、お問い合わせについては、下記専用窓口へご連絡下さい。
【お問い合わせ窓口】
窓口:Peingトークン情報に関する問い合わせ窓口
メールアドレス:[email protected]
受付時間:平日10:00~19:00

 
5.今後の情報開示について
今後の調査の進捗について、新たにお伝えすべき情報が明らかになり次第、
弊社コーポレートサイト上よりプレスリリースにて情報開示を行ってまいります。
 
以上

https://jiraffe.co.jp/news/2019/01/29/1295/

上記の内容が、公式ウェブサイトに掲載されました。内容については掲載内容のとおりです。

今の段階で確認されている脆弱性

第三者がユーザーのメールアドレス、暗号化済みパスワード、ソルトを観覧することが可能になっています。

暗号化済みのパスワードは大丈夫?

基本的に、今のコンピューターに使われている暗号化技術は復号が不可能なのではなく、復号が難しいから諦めさせるものです。
暗号化済みのパスワード・ソルトなど必要なものさえ揃ってしまえば、時間をかければ暗号を解くのは容易です。

対策方法

前の記事でも記載しましたが、一応再び載せさせていただきます。
もし不安である場合、パスワード・メールアドレスなどの情報も更新しておくのが良いでしょう。

メンテナンスにより脆弱性の修正が終了するまでアプリの連携を解除することをおすすめします。
解除方法は下記の通りです。

1.ログイン状態で「アプリと端末」へアクセスする。

2.「Peing」を探し、許可を取り消すボタンをクリックする。

下の画像の状態になれば問題ありません。

未分類

Posted by SNAKE