電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気付いたとしている。

 この両社の発表には、気になる内容が含まれていた。

 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。

 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。

クービックはCoubicの情報漏洩を発表した際、ハッシュ化はパスワードの安全な保管だとした。
(出所:クービック)
[画像のクリックで拡大表示]

 両社の主張はどちらも、パスワードをハッシュ化していたので不正ログインの可能性はない、安全である、と読める。しかし実際どうなのか。重要な情報を漏洩させた組織が、ハッシュ化を根拠して安全だと言ってよいのだろうか。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら