投稿との関係が疑われる被害発表

2020年4月にハッキングフォーラムへ行われた投稿との関係が疑われる情報流出被害の報告（2020年5月7日時点）は以下の3つ。

• 山と渓谷社「ヤマケイオンライン」にご登録のお客様へ。ご登録の会員情報流出のご報告とお詫び（2020年4月18日）
  「ヤマケイオンライン」会員情報流出について　経過報告（第２報）（2020年4月23日）
• リジョブ 不正アクセスによる個人情報の流出について（2020年4月19日）
• 国土木施工管理技士会連合会 情報の流出およびその対応について（2020年4月21日）

4月以降投稿される日本サイトのリーク

2020年4月以降、同一のアバターによりフォーラムへ関連する投稿が複数回行われた。

また投稿されていた概要は以下のもの。

• Collectionシリーズなど、過去話題となった大規模リークには3サイト（から漏れたものを示す情報）はpiyokangoが確認した範囲では含まれてはいなかった。

流出したのは過去利用した情報

• 山と渓谷社、リジョブとも過去利用した情報が流出対象と説明。2社とも現在稼働中の本番環境からの流出ではないと説明。

• ヤマケイオンラインは2015年7月、2017年11月の2回不正アクセスを受けており、以下の経緯から2015年の不正アクセスとの関連を山と渓谷社は調査している。

1. 2013年4月9日以降はパスワード文字列は暗号化していること
2. 2017年12月以降に不正アクセスを受けた痕跡がないこと
3. 2015年当時Webアプリケーションから接続可能な領域に保管されていたこと

• リジョブは過去利用していたシステムテスト用サーバーが不正アクセスを受けたと発表。流出情報はサーバーからすでに削除されているため影響は最大件数で見積もっていると説明。不正アクセスの発生時期は発表内容に記載がないため不明。
• ヤマケイオンラインは過去の不正アクセスはSQLインジェクション、リジョブは全サーバーのSSHなどからの社外IPアドレスからの接続を遮断したとあるがいずれも今回の流出の原因（不正アクセスの詳細）は調査中のためか記載はされていない。国土木施工管理技士会連合会は発表時点で原因調査中としている。

パスワードクラックを行っている？

• 各社サイトがシステムでどのようにパスワードを保管していたか詳細は定かではないが、投稿されていたパスワードとされる文字列は（確認できた範囲では）平文形式で提供されていた。
• このアバターからはハッシュで保管されたパスワードを平文に戻す行為を示唆する投稿（ハッシュアルゴリズムが確認できなかった等）も散見される。真偽は不明だが、Hashes.orgで見つからないものであっても、自ら販売もするクラックサービスでは95%の成功率だと主張している。

金銭目的の投稿か

• 2020年4月30日に更なる日本のリスト保有を示唆する投稿を行っている。（具体的なサイトについては名前は挙げられていない）また提供するリストは製品紹介に用いることができると説明している。

• 最初期は当時誰からの反応もないことに対し愚痴らしいコメントやレピュテーションがどうやったら上がるのかといった投稿もしていた。

• アバターが作成されたのは4月4日。一部投稿では「we」という表現を用いているため、グループで活動を行っている可能性がある。また意図は不明だがアバターの名前や画像変更も4月半ばに行っている。
• 日本国内のサイトからのリークが目立つが韓国を対象とする投稿も行っている。また他者が行った海外サイトのリーク投稿に対しても（情報取得目的の）反応を示しており、日本だけを対象に絞った活動にはなっていないように見える。

更新履歴

• 2020年5月7日 AM 新規作成