電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気づいたとしている。

 両社とも漏洩したパスワードはハッシュ化していた。しかしLifebearの漏洩したパスワードの一部は、ハッシュ化前の文字列がインターネットで公開されてしまった。その理由を解説する。

販売されていたアカウント情報

 LifebearとCoubicから漏洩したとみられるアカウント情報は、インターネットで販売されていた(図1)。2017年後半以降、インターネットでWebサービスのアカウント情報が公開されたり、販売されたりする事件が相次いでいる。その多くは、パスワードが加工されずにそのまま公開された。

図1●インターネットで販売されるWebサービスのアカウント情報
2017年以降、インターネットでWebサービスのアカウント情報が公開されたり、販売されたりする事件が相次いでいる。2019年3月には、電子手帳サービス「Lifebear」や予約管理サービス「Coubic」のデータが販売された。
[画像のクリックで拡大表示]

 ただしLifebearとCoubicの場合は、Lifebearのパスワードは「MD5」と呼ぶ方式で、Coubicのパスワードは「SHA-1」と呼ぶ方式(ハッシュ関数)でハッシュ化された状態で販売されていた。

この先は有料会員の登録が必要です。「日経NETWORK」定期購読者もログインしてお読みいただけます。今なら有料会員(月額プラン)が12月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら