BL特化SNSの「pictBLand」・Web即売会サービス「pictSQUARE」に不正アクセスがあり、パスワード等の個人情報が流出したと発表がありました。
X(旧Twitter)には、パスワードを「平文」で保存しているのか?と疑問の声が上がっていましたが、リークサイトの投稿によると「unsalted MD5」という記述があったそうです。これは「salt化されていないMD5」という意味になります。
しかし、ユーザーのパスワードや個人情報、それに紐づく銀行の情報などが流出したようです。
では、この「平文」「salt化されていないMD5」というのはどのような意味なのでしょうか?
平文・MD5・SALTって何?
では、この「平文」「MD5」「SALT」に関して詳しく見ていきましょう。
平文って何?
平文(ひらぶん)とは、暗号化されていないデータやメッセージの形式で「意味の分かる情報」のことを指します。
つまり、平文で保存されているデータがある場合に、不正アクセスを受けて流出してしまうとそのままの情報が流出するため大変危険であるということになります。
個人情報を扱っている場合は情報を平文で保管してはいけませんね…
MD5って何?
MD5とは、任意の長さの原文を元に128ビットの値を生成するハッシュ関数(要約関数)の一つです。生成された値はハッシュ値(MD5ハッシュ)と呼ばれます。
例えば、1234という平文の文字列をそのまま保存するのは危険なので、MD5を用いてハッシュ化すると以下のようになり、元の平文の文字列がわからなくなります。
81dc9bdb52d04dc20036dbd8313ed055
しかし、インターネットには「レインボーテーブル」というものが存在します。
文字列(平文)とMD5で暗号化した文字列を対応させたデータを集めた対応表のこと
例えば、「てぃーぐ」という平文に対するハッシュ値が「l2ja」であったとします。
単純に「l2ja」から「てぃーぐ」に復号するのは難しいですが、レインボーテーブルで「l2ja」を見つければ、平文「てぃーぐ」のことであるということがわかります。
*なお、実際はチェイン化など様々なアルゴリズムを利用しているようです
レインボーテーブルでの攻撃方法に対応し、ハッシュ化にはさまざまな工夫がされています。
そのうちの1つが「SALT(ソルト)」という手法です。
SALTって何?
SALTはハッシュ化される前の平文の文字列に付随される任意の文字列です。
例えば、ユーザー名とパスワードが必要な場合、パスワードをハッシュ化するにあたり「ユーザ名」をSALTとして使うことで 「同じ【password】というパスワードを設定しているユーザがいても、ユーザー名が違うため出力されるハッシュ値が違う」 という状態にすることができます。
こうすることで、レインボーテーブル上に【password】や【admin】といったよく使われるパスワードの平文とハッシュ値があったとしても、実際のパスワードの推測がしにくくなります。
ユーザー名が1234 パスワードがpasswordの場合 →password1234 →ハッシュ化 ユーザー名が5678 パスワードがpasswordの場合 →password5678 →ハッシュ化 上記より、ハッシュ化した文字列が変化する
ただし、不正アクセスにより情報流出した場合には、ユーザー名やSALTの値、パスワードなどの情報が一緒に流出するケースがあり、その場合はSALTでは不十分ですので、pepper(ペッパー)という手法も併せて行われているケースもあります。
今回の不正アクセスによる流出のケースは、「SALT化されていないMD5」の文字列が流出しているようなので、MD5の値から簡単に元の平文の文字列を推測することが出来る状況といえます。
さらに、今回は姉妹サイトもあり、X(旧Twitter)とも連携する機能もあるため同一のユーザー名とパスワードになっているケースが非常に多いのではないかとのことで非常に危険な状況です。
いろんなサイトでパスワードを使いまわししている方は、これを機に変更を検討しましょう。
MD5は時代遅れ
上記まででいろいろご説明をしてきましたが、MD5は生成されたハッシュから理論的に元のデータを求めることができた報告があるなどいくつかの脆弱性が発見されています。
そのため、MD5は現在、安全性が保証されておらず、現在MD5は政府の推奨暗号リストからは除外されています。
ちなみに現在は、SHA-3など秘匿性の高いハッシュ化を勧めているとのことです。(参照)
今回の不正アクセス・情報流出の経緯について
では、今回の不正アクセス・情報流出の経緯についてご紹介します。
pictBLandやpictSQUAREにアクセスした際に、「あなたのデータは北朝鮮に渡された」というメッセージが表示され、その後平壌新聞のサイトにリダイレクトされるという内容が報告されました。
その後、リークサイトに流出した情報が公開されてしまったという状況です。
現在、姉妹サイトやSNS「翡翠SONGS」はサーバーを停止しているようです。
pictBLandは、これまでSALT化されていないMD5での情報保管だったようですので、今後は改善をしていただきたいですね。
コメント