piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

不正アクセスによるPeatixの情報流出についてまとめてみた

不正アクセス 情報漏えい

2020年11月17日、Peatix Japanは米本社(Peatix.Inc)が提供するイベント管理サービス「Peatix」が不正アクセスを受け、登録されていた利用者情報が取得されたと発表しました。ここでは関連する情報をまとめます。

最大677万件のデータ流出

peatix.com
【Peatix不正アクセス事象】よくいただくご質問とその回答
[PDF] 弊社が運営する「Peatix」への不正アクセス事象に関するお詫びとお知らせ

  • Peatix社が情報流出の可能性を把握したのは2020年11月9日頃。
  • 外部企業による調査の結果、2020年10月16日~17日にかけて不正アクセスが同社サービスに行われていた。
  • 登録されていた個人情報を含む利用者情報が最大約677万件不正に取得された事実が判明。
  • 2020年11月17日発表時点で調査中。新事実等判明次第公表。
  • 同社は今回の流出に関係する二次被害は確認されていないと説明。
  • どのようにしてデータが窃取されたのか、不正アクセスの手口に関係する情報は今回の発表には含まれていない。
調査結果を公表(2020年12月16日)

[PDF] 弊社が運営する「Peatix」への不正アクセス事象に関する第三者調査機関による調査結果のご報告と今後の対応について

  • 2020年12月16日に調査結果を公表。
  • 海外のIPアドレスから行われていたが、SQLインジェクション、DOS攻撃起因ではなかった。
  • 攻撃者の属性、不正アクセスの具体的詳細は技術的な特定が行えなかったとした。
  • 顧客情報が保管されていたデータベース、および発表済みの顧客情報以外への影響は確認されず。
何が漏れたのか・漏れなかったのか

次を含む利用者の情報最大677万件が不正に取得された。

  • アカウントの表示名
  • 氏名
  • 登録メールアドレス
  • 暗号化されたパスワード
  • タイムゾーン
  • 言語設定
  • アカウント作成の国

今回の不正アクセスによる対象外とされた情報は以下の通り。

  • 決済関連情報(クレジットカード、口座情報等)
  • イベント参加履歴
  • 参加者向けアンケートフォーム機能による取得情報
  • 住所、電話番号
事案への対応

今回の事案発生を受けPeatix社がとった対応は以下の通り。

  • 不正アクセス経路の遮断、およびセキュリティ強化
  • 2020年11月15日に全パスワードの再設定必須措置を実施
  • 当該事案に対応する問い合わせ専用のサポートセンターの開設

ハッキングフォーラムに放流された流出データ

f:id:piyokango:20201120102306p:plain
投稿には「Userbase is mostly Japanese.」との記載も
  • ハッキングフォーラム上には11月11日頃 Peatixのデータベースとされるファイルが公開された。*1
  • Peatixを含む複数のサービスから窃取した情報を販売していたデータをフォーラムへ放流したものとみられる。*2
  • Peatixは最大677万件と発表しているが、投稿上の表記ではフォーラム上に公開されていたファイルのレコード数は約421万件。フルセットのデータが存在するかは確認ができていない。
関連を主張する122万件のパスワード平文リストも
f:id:piyokango:20201120122007p:plain
dehashリストも流通
  • データベース情報が放流されてから4日後にdehash(パスワードハッシュから元の文字列を特定)したことを主張するリストも公開された。
  • 元の投稿にあったサンプルレコードは{SSHA}の文字列が見受けられるため、Salt付SHA1によるハッシュ化を行っていたとみられる。

july-diary.hatenablog.com

退会時手順に注意

  • 退会後もPeatixのデータベース上には登録されたデータが残る可能性がある。(削除フラグが立てられるだけでデータベース上は残る可能性)
  • 使い捨てのメールアドレスを使用するなど、登録データのクリーニングを行った後、案内された退会手順に従うのが望ましい。
  • 変更するアドレスに変更確認メールが届くため、アドレスは架空のものではなく、メールを受け取れる環境の必要あり。
  • プレスリリース上での記載は確認できなかったが、今回の流出に既退会者の情報が含まれていた懸念もある。
  1. 登録されたニックネームや連絡先電話番号、プロフィールなどを削除。
  2. メールアドレスを使い捨てアドレスに変更
  3. 指定の案内に従いPeatixの退会を実行
  4. 使い捨てアドレスの廃棄処理

サービス利用元による呼びかけ

  • 国内でも多数の組織がPeatixを利用しており、今回の事案を受けイベント運営(チケット販売等)を行っていた組織が注意を呼び掛けている。
  • 20日時点で約60件の案内や注意喚起が発信されていることを確認した。
発信元 案内・注意喚起等
文化庁メディア芸術祭 イベントプラットフォーム「Peatix」への不正アクセス事案に係る注意喚起について
佐賀県 イベント管理アプリ「Peatix(ピーティックス)」の県の利用状況について
茨城県 イベント管理ウェブサービス「Peatix」への不正アクセスによる個人情報流出のおそれについて
「Peatix」への不正アクセスに伴う茨城県が主催したイベント参加者の個人情報流出について
新潟県 イベント管理ウェブサイト「Peatix」への不正アクセス事象に関するお詫びとお知らせ
宮崎県 イベント管理ウェブサービス「Peatix」への不正アクセス事象について
鹿児島県 「ディスカバー鹿児島キャンペーン」県民向け宿泊助成を申し込んだ方々の個人情報の不正な引き出しの可能性について
埼玉県 埼玉150周年1年前イベントで利用したイベント管理アプリ「Peatix」への不正アクセスについて
富山県 とやまスタートアッププログラムin東京 オンライン説明会への参加申込みにおいて利用したイベント予約サイト「Peatix」への不正アクセス事象について
さいたま市 [PDF] チケット予約サイト「Peatix」への不正アクセス事案に係る注意喚起について
京都市 イベント管理サービス「Peatix」への不正アクセス事象に関して
八尾市 しおんじやま古墳学習館オンライン事業で利用したイベント管理ウェブサービス「Peatix」への不正アクセス事象について
福井市 イベント管理ウェブサービス「Peatix」への不正アクセス事象に関するお詫びとお知らせ
玉名市 Peatixへの不正アクセス事象に関するお詫びとお知らせ  (11月18日更新)
草津市 「星降る映画館」事前予約申し込みで使用したイベント管理アプリ「Peatix(ピーティックス)」からの個人情報の流出について
宮崎市 【20201117】商品券予約サイト「Peatix」への不正アクセス事象についてについて
福岡市 イベント管理ウェブサービス「Peatix」への不正アクセスによる個人情報流出のおそれについて
宇都宮市 宮の食べトクチケット不正アクセス事象について
熊本市 Peatixへの不正アクセス事象について(熊本市プレミアム宿泊クーポンをご購入の皆様へ)
高浜町 イベント管理ウェブサービス「Peatix」への不正アクセス事象に関するお詫びとお知らせ
唐津市 市婚活イベントで利用している予約サイト「Peatix(ピーティックス)」への不正アクセスについて
荒川区 Peatix Japan株式会社が運営する「Peatix」への不正アクセスについて
中京テレビ放送 [PDF] 当社イベントで使用した決済システムに関する不正アクセスについて
テレビ東京 テレビ東京並びにテレビ東京コミュニケーションズが主催するオンラインイベントでチケット販売を委託した「Peatix Inc.」においての不正アクセス事象について
パナソニック 「Peatix」での個人情報漏洩に関するお知らせ
アシックス 【重要】アシックス・スポーツコンプレックス株式会社主催イベントへご参加の皆さまへのお知らせ
相模鉄道 [PDF] 相鉄「新 7000 系引退イベント」で使用したイベント管理サービス「Peatix」に関する報道について
産業技術大学院大学 電子チケット販売「Peatix」への不正アクセスに伴う個人情報流出への対応について
日本財団 チケット購入サイト「Peatix」に対する不正アクセスに伴う事象について(ご報告)
笹川スポーツ財団 Peatixへの不正アクセス事象に関するお知らせについて
東京都歴史文化財団 Peatix Japan株式会社における情報漏洩について
国際文化会館 「Peatix」経由で国際文化会館の主催するプログラムにご参加くださった皆様へ、ご確認のお願い
日仏会館 Peatix不正アクセスについてのお知らせ(2020年11月19日掲載)
東京芸術劇場 Peatix Japan株式会社における情報漏洩について
日本クイズ協会 【重要】イベント管理アプリ「Peatix」の個人情報流出について
国際ヨガ協会 Peatix の不正アクセス発生について
日テレ・東京ヴェルディベレーザ 『Peatix』への不正アクセス発生&同サービスのパスワード再設定のお願い
ネットショップ担当フォーラム 【編集部から重要なお知らせ】「Peatix」経由で「ネッ担オフ会」へ参加した方へご確認のお願い
京都市観光協会 イベント管理サービス「Peatix」への不正アクセス事象に関して
情報通信技術委員会 オンライン販売事業者への不正アクセス事象に関するお詫びとお知らせ
農村計画学会 2020年度秋期大会参加登録サイトPeatixへの不正アクセスによる情報漏えい問題について
global child care 弊社業務委託先の個人情報漏洩の件に関するお知らせ
WWF 【ご注意】「Peatix」での個人情報の漏洩について
PMI日本支部 Peatixにおける不正アクセス事象の発生とその対応について
iRooBo ワークショップイベントを予約された方々の個人情報の不正な引き出しの可能性について
阪急阪神百貨店 [PDF] イベント申し込みサイト「Peatix」への不正アクセスに関するご報告とお詫び
日本医療企画 [PDF] 【重要なお知らせ】Peatix 経由で弊社セミナーにご参加された⽅方へのお願い
リスク対策.com セミナーチケットオンライン販売委託先事業者への不正アクセス事象に関するお知らせ
東京都渋谷公園ギャラリー Peatix Japan株式会社における情報漏洩について
金子書房 【お知らせ】Peatixへの不正アクセスによるパスワード再設定のお願い
豆蔵 【注意喚起】当社の一部イベントで利用をしているPeatixに関するお知らせ
ユニマットリック Peatixへの不正アクセス発生および同サービスのパスワード再設定のお願い
米朝事務所 Peatixへの不正アクセス発生と同サービスのパスワード再設定のお願い
名古屋社労士探究会 探究会で使用しているセミナー管理システム「Peatix」で不正アクセスによる情報漏洩が発生
日本化学会 【お知らせ】 チケット予約サイト「Peatix」への不正アクセスに関するお詫びとお知らせ
統計数理研究所 チケット購入サイトPeatixへの不正アクセス事象に関するお知らせ(第一報)
岡山NPOセンター Peatix社による不正アクセス事象に関する発表について
TECH PARK オンライン販売委託先事業者Peatixへの不正アクセスに関するお知らせ
SPACE MARKET 外部サービス「Peatix」への不正アクセス事象に関するお詫びとお知らせ
HALF TIME Peatixへの不正アクセスに関するお知らせと同サービスのパスワード再設定のお願い
多文化社会専門職機構 (ご報告)「Peatix」に対する不正アクセスに伴う事象について
健康医療評価研究機構 Peatixへの不正アクセスにつきまして/第4回 臨床医のアカデミックキャリアの作り方[オンライン]にお申し込みいただいたみなさまへ
フェスティバル/トーキョー実行委員会 Peatixにおける不正アクセス事象の発生について
読売・日本テレビ文化センター イベント管理ウェブサービス「Peatix」への不正アクセスに関するお知らせとおわび
ビッグローブ 当社イベントで利用したチケット販売サービス「Peatix」への不正アクセス発生のお知らせとパスワード再設定のお願いについて
スモールサン イベント管理アプリサービス「Peatix(ピーティックス)」への不正アクセスについて
PHP研究所 「Peatix」への不正アクセス発生のご報告とパスワード再設定等ご対応のお願い
1899 Peatix japan株式会社で発生した不正アクセスに関するお知らせ
志民連いちのみや 「peatix」不正アクセスによる個人情報流出の発表につきまして
CODE BLUE Facebookでの案内
情報・システム研究機構 イベント参加申込サイト「Peatix」への不正アクセス事象に関するお知らせ(第一報)
宝塚市立文化芸術センター 【お詫びとお知らせ】イベント管理サイト Peatix への不正アクセス発生について
大阪府臨床工学技士会 セミナー等にご参加いただいた皆様へ
玉屋柳勢 お知らせページ
桐蔭会 桐蔭学園同窓生(50周年記念会の参加者)各位
坂口珠未オフィシャルサイト 「Peatix」での個人情報漏洩に関するお知らせ
環境未来フォーラム 9月28日開催オンライン国際シンポジウムにお申込み頂いた皆様へ【Peatix社サイト不正アクセスへの対応について】
TOKYO INSTITUTE of PHOTOGRAPHY イベント予約サービス「Peatix」に関するお知らせ
いしかわ百万石物語・江戸本店 石川県アンテナショップ「いしかわ百万石物語・江戸本店」のイベントで利用したイベント管理アプリ「Peatix」への不正アクセスについて
Gaiax 外部サービスPeatixに関する不正アクセスのお知らせ
情報法制研究所 【Peatixに関するお知らせ】
地域精神保健福祉機構 peatixをご利用されたことのあるみなさまへ
昭和女子大学キャリアカレッジ 【重要】過去に当方で開催したイベントにPeatixからお申し込みをされた皆様へ
インプレス総合研究所 【重要なお知らせ】「Peatix」経由でセミナーへ参加した方へご確認のお願い
エムティーアイ 「Peatix」での個人情報漏洩に関するお知らせ
FINOLAB Peatixへの不正アクセス事象に関するお知らせ
おんぷの祭典 Peatixへの不正アクセス事象に関するお知らせ(11月22日追記)
ITコーディネータ多摩協議会 Peatix社販売サイトへの第三者の不正アクセスによる個人情報流出に関するお詫びとお知らせ
ライセンシングインターナショナルジャパン イベント管理サービス「Peatix」への不正アクセスに関するお知らせとおわび
第一プログレス Peatix不正アクセスについてのお知らせ
三菱地所xTECH運営部 【xTECH Lab MARUNOUCHI】開催予定イベントに関するお詫びとお知らせ
コスモプラネタリウム渋谷 【お詫びとお知らせ】イベントチケットをPeatixでお申込みいただいたお客様へ
動きと痛みLab 【重要】Peatixへの不正アクセス事象に関するお詫びとお知らせ
HAPPYWOMAN 奥入瀬サミット2020 奥入瀬サミット等参加申込で利用した「Peatix」への不正アクセスについて
日本公演新聞 【パスワード変更のお願い】講演会チケット販売サイトPeatix(ピーティックス)
WAENGALLERY イベント管理サービス「Peatix」への不正アクセスについて
ARAYA 当社開催の一部イベントで利用したイベント管理アプリ「Peatix」への不正アクセスについて
人間中心設計推進機構 HCD-Netフォーラム2020のメール受付窓口設置についてのご案内
九州NBC 第16回JNB新事業創出全国フォーラム申込サイト「Peatix」への不正アクセス事象について
LMO イベント申し込みフォーム(Peatix社)への不正アクセス事象に関するご報告とお詫び
ヤッホーブルーイング 【注意喚起】2017年以前の「よなよなエールの超宴」および「超ファン宴」ご予約のお客様へ
日本社会福祉マネジメント学会 Peatix不正アクセス事象によるお知らせ
i-Plug peatix社個人情報流出に関わる注意喚起
シアター&アーツうえだ 【重要】「Peatix」への不正アクセス事象に関するお詫びとお知らせ
石川県地域振興課 移住関係イベントで利用したイベント管理アプリ「Peatix」への不正アクセスについて
JMOOC Peatix社への不正アクセス事象に関するお詫びとお知らせ
ジビエト Peatixへの不正アクセス事象に関するお詫びとお知らせ
大丸有SDGsACT5実行委員会 Peatixを通じて各種ACTに申し込み・ご参加された皆様へ
鶴屋ラララ大学 講義予約サイト「Peatix」への不正アクセスについて
日本理科教育学会 第70回全国大会(岡山大会)において利用したイベント管理ウェブサービス「Peatix」への不正アクセス事象について
日本消費者法学会 【緊急】Peatixに関するお知らせ
ダイヤモンド社 外部サービスPeatixへの不正アクセス事象の発生について
未来教育推進機構 「Peatix」情報流出の件に対する幣社団の対応について
PPP推進支援機構 9月28日開催オンライン国際シンポジウムにお申込み頂いた皆様へ【Peatix社サイト不正アクセスへの対応について】
MAXIMIZE 弊社の利用するPEATIX社イベント申込サイトにおける情報漏洩のお詫びとお知らせ
東京芸術祭2020 Peatix Japan 株式会社における情報漏洩について
名渡山遼ファンクラブ Peatixをご利用されている方へのご案内
東京シティビュー 【重要なお知らせ】Peatixで発生した不正アクセスについて
PJ Harvest お詫び
日本シェアリングネイチャー協会 オンラインチケット販売「Peatix」の情報流出に関して
こうち男女共同参画センター 《重要》Peatix経由で当センターの講座にお申し込みくださった皆様にお知らせ
ら・し・さ [PDF] JADMAからのお知らせ
大東市青少年協会 「peatix」への不正アクセス発生&同サービスのパスワード再設定のお願い
TURNS Peatixの不正アクセスについてのお知らせ
人間文化研究機構 イベント管理・集客サービス「Peatix」での個人情報漏洩に関するお知らせ
LINK-J Peatix社の公表(個人情報引き出し)に関するお知らせ
長野県観光機構 Peatix上でのお知らせ
平和・安全保障研究所 Peatix社への不正アクセスによる情報流出について
ウェスタ川越 イベント管理ウェブサービス「Peatix(ピーティックス)」への不正アクセスについて
資源・素材学会 Peatix社の情報流出について
黒磯観光協会 「Itamuro Onsen Outdoor Trip」不正アクセス事象に関するお詫びとお知らせ
ポジティブドリームパーソンズ イベント管理アプリサービス「Peatix(ピーティックス)」への不正アクセスについて
ランドマークスクエア イベント管理アプリサービス「Peatix(ピーティックス)」への不正アクセスについて
東京シティービュー 【重要なお知らせ】Peatixで発生した不正アクセスについて
MOON ROMANTIC Peatix個人情報流出を受けての対応について
パーソルプロセス&テクノロジー 「Peatix」での個人情報漏洩に関するお知らせ
アカデミーヒルズ 【重要なお知らせ】 Peatixで発生した不正アクセスについて
信頼資本財団 Peatixからの不正アクセス発表につきまして
豊岡演劇祭2020 イベント管理・チケット販売サービス「Peatix」への不正アクセス事象について
ペルノ・リカール・ジャパン 弊社取扱いブランドに関するイベントにご参加いただきました皆様へ
バンタン 「Peatix」で発生した個人情報漏洩に関するお知らせとお詫び
Hack Osaka 「Peatix」への不正アクセス事象に関するお詫びとお知らせ

(記載順は適当です)

更新履歴

  • 2020年11月20日 AM 新規作成
  • 2020年11月24日 AM 続報反映(Peatixの発表等)
  • 2021年1月1日 AM 続報反映(調査結果の公表)

*1:チケット販売サイト「Peatix」利用者リスト ネットで取り引き,NHK,2020年11月20日

*2:関連スレッドには今回のデータ放流につながったとみられる関係者のトラブルらしき書き込みも見受けられる