2020年11月17日、Peatix Japanは米本社(Peatix.Inc)が提供するイベント管理サービス「Peatix」が不正アクセスを受け、登録されていた利用者情報が取得されたと発表しました。ここでは関連する情報をまとめます。
最大677万件のデータ流出
peatix.com
【Peatix不正アクセス事象】よくいただくご質問とその回答
[PDF] 弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ
- Peatix社が情報流出の可能性を把握したのは2020年11月9日頃。
- 外部企業による調査の結果、2020年10月16日~17日にかけて不正アクセスが同社サービスに行われていた。
- 登録されていた個人情報を含む利用者情報が最大約677万件不正に取得された事実が判明。
- 2020年11月17日発表時点で調査中。新事実等判明次第公表。
- 同社は今回の流出に関係する二次被害は確認されていないと説明。
- どのようにしてデータが窃取されたのか、不正アクセスの手口に関係する情報は今回の発表には含まれていない。
調査結果を公表(2020年12月16日)
[PDF] 弊社が運営する「Peatix」への不正アクセス事象に関する第三者調査機関による調査結果のご報告と今後の対応について
- 2020年12月16日に調査結果を公表。
- 海外のIPアドレスから行われていたが、SQLインジェクション、DOS攻撃起因ではなかった。
- 攻撃者の属性、不正アクセスの具体的詳細は技術的な特定が行えなかったとした。
- 顧客情報が保管されていたデータベース、および発表済みの顧客情報以外への影響は確認されず。
何が漏れたのか・漏れなかったのか
次を含む利用者の情報最大677万件が不正に取得された。
- アカウントの表示名
- 氏名
- 登録メールアドレス
- 暗号化されたパスワード
- タイムゾーン
- 言語設定
- アカウント作成の国
今回の不正アクセスによる対象外とされた情報は以下の通り。
- 決済関連情報(クレジットカード、口座情報等)
- イベント参加履歴
- 参加者向けアンケートフォーム機能による取得情報
- 住所、電話番号
事案への対応
今回の事案発生を受けPeatix社がとった対応は以下の通り。
- 不正アクセス経路の遮断、およびセキュリティ強化
- 2020年11月15日に全パスワードの再設定必須措置を実施
- 当該事案に対応する問い合わせ専用のサポートセンターの開設
ハッキングフォーラムに放流された流出データ
- ハッキングフォーラム上には11月11日頃 Peatixのデータベースとされるファイルが公開された。*1
- Peatixを含む複数のサービスから窃取した情報を販売していたデータをフォーラムへ放流したものとみられる。*2
- Peatixは最大677万件と発表しているが、投稿上の表記ではフォーラム上に公開されていたファイルのレコード数は約421万件。フルセットのデータが存在するかは確認ができていない。
関連を主張する122万件のパスワード平文リストも
- データベース情報が放流されてから4日後にdehash(パスワードハッシュから元の文字列を特定)したことを主張するリストも公開された。
- 元の投稿にあったサンプルレコードは
{SSHA}
の文字列が見受けられるため、Salt付SHA1によるハッシュ化を行っていたとみられる。
退会時手順に注意
- 退会後もPeatixのデータベース上には登録されたデータが残る可能性がある。(削除フラグが立てられるだけでデータベース上は残る可能性)
- 使い捨てのメールアドレスを使用するなど、登録データのクリーニングを行った後、案内された退会手順に従うのが望ましい。
- 変更するアドレスに変更確認メールが届くため、アドレスは架空のものではなく、メールを受け取れる環境の必要あり。
- プレスリリース上での記載は確認できなかったが、今回の流出に既退会者の情報が含まれていた懸念もある。
- 登録されたニックネームや連絡先電話番号、プロフィールなどを削除。
- メールアドレスを使い捨てアドレスに変更
- 指定の案内に従いPeatixの退会を実行
- 使い捨てアドレスの廃棄処理
サービス利用元による呼びかけ
- 国内でも多数の組織がPeatixを利用しており、今回の事案を受けイベント運営(チケット販売等)を行っていた組織が注意を呼び掛けている。
- 20日時点で約60件の案内や注意喚起が発信されていることを確認した。
(記載順は適当です)
更新履歴
- 2020年11月20日 AM 新規作成
- 2020年11月24日 AM 続報反映(Peatixの発表等)
- 2021年1月1日 AM 続報反映(調査結果の公表)
*1:チケット販売サイト「Peatix」利用者リスト ネットで取り引き,NHK,2020年11月20日
*2:関連スレッドには今回のデータ放流につながったとみられる関係者のトラブルらしき書き込みも見受けられる