ダイエット アプリ
  1. HOME
  2. ダイエット アプリ
  3. コラム
  4. アンダーアーマーの個人情報流出は、防げたはずの問題だった─...

人気ダイエットコラム

スポンサードリンク

アンダーアーマーの個人情報流出は、防げたはずの問題だった──不適切なセキュリティ対策が浮き彫りに

  • このエントリーをはてなブックマークに追加
  • 後で読む

アンダーアーマーの個人情報流出は、防げたはずの問題だった──不適切なセキュリティ対策が浮き彫りに 「アンダーアーマーの個人情報流出は、防げたはずの問題だった──不適切なセキュリティ対策が浮き彫りに」の写真・リンク付きの記事はこちら

スポーツアパレル大手のアンダーアーマーが、ダイエットアプリ「MyFitnessPal」のユーザーおよそ1億5,000万人分のデータが盗まれたと発表したとき、事態はそれほど悪くないように思えた。

もちろん、個人データがオンラインに流出したことは、決していいことではない。影響を受けたユーザー数が膨大であることを考えればなおさらだ。だがアンダーアーマーは、それなりの予防策を講じていたように見えた。しかし、彼らのやり方が完全に適切というわけではなかったようだ。

注目を集めたデータ漏えい事件の多くは、それから何年にもわたって深刻な影響をもたらしている。従って、機密データを取り扱う企業にとっては、なるべく悪影響が及ばないようにシステムを開発することが極めて重要になる。

その点から見れば、アンダーアーマーの発表には(比較的)いい知らせが含まれていた。今回流出したデータは、ユーザー名とメールアドレス、パスワードのみで、誕生日や位置情報、クレジットカード情報といった最も重要なデータはほかの場所に保存されていたようだ。

また、同社が3月29日(米国時間)に発表したところによれば、データに不正アクセスされたのは2月後半で、そのことを発見したのは3月25日だった。つまり同社は、発見から1週間と経たないうちに、その事実を公開したことになる。この速さは称賛に値するものだ。同じようにデータを盗まれたUberは、その事実を1年以上隠していた[日本語版記事]のだから。

大半のパスワードは強固に守られていたが…

アンダーアーマーは保存していたパスワードのほとんどに関して、「bcrypt」と呼ばれる評価の高いパスワードハッシュ関数を使っていたことも明らかにしている。無秩序で理解不能な文字の羅列に変換するこの暗号化プロセスが適切に実施されていた場合、攻撃者がパスワードを「クラック」して使えるかたちに戻すには、膨大なリソースと時間が必要になる。

「強いパスワード」がbcryptでハッシュ化された場合、解読するのに少なくとも数十年かかる可能性があるのだ。従ってハッシュ化されたパスワードは、たとえ流出しても守られることになる。

しかし、問題はここからだ。アンダーアーマーは、パスワードの「大半」がbcryptで保護されていたとする一方、不運にもbcryptで保護されていなかったパスワードがあることを認めている。この流出事件に関するQ&Aページによれば、漏えいしたパスワードの一部は、安全性が低いことで知られるSHA-1関数のみでハッシュ化されていた。

この関数は、10年前から脆弱性があることが知られていたが、2017年には安全性がさらに問われる複数の研究結果が発表されている。アンダーアーマーはQ&Aページで、「bcryptで保護されていなかったMyFitnessPalのアカウント情報は、160ビットハッシュ関数のSHA-1で保護されていました」と記している。

「OpenCryptoAuditProject」のディレクターを務めるケネス・ホワイトは、「bcryptは(計算速度が)極めて遅くなるように設計されていますが、SHA-1は逆に速くなるように設計されています」と指摘する。SHA-1は、ハッシュを実装・管理するためのコンピューティングリソースが少なくて済むため、SHA-1の採用によって何が失われるのかを理解していない人にとっては、特に魅力的なオプションになる。「開発者の大多数は、(単純に)2種類のハッシュがあると考えています」とホワイトは語る。

防げたはずの問題

しかし、セキュリティーという視点から見ると、速度が遅いことには大きな価値がある。bcryptでは、セキュリティの質を高めるために、データをハッシュ関数で数千回処理して、データの復号を難しくしている。

また、この関数自体が、特定のコンピューティングリソースを使用しなければ実行できないようにつくられている。このため、復号で問題が起きた場合に、単純に処理能力を強化すれば済むわけではない。

もっとも、bcryptは解読が絶対に不可能というわけではない。特に(「password123」のような)「弱いパスワード」の場合は、攻撃者がすぐに推測できる可能性がある。

だが、強いパスワードをbcryptでハッシュ化しておけば、企業は不正アクセスに気づいてすべての人のパスワードをリセットする時間を確保できる。これに対して、SHA-1でハッシュ化されたパスワードは、はるかに脆弱だ。

大きなダメージをもたらすデータ漏えい事件がしばらく前から続いているにもかかわらず、各社はいまだにその教訓を生かしていない。多くの企業がこうしたミスを犯しているのだ。

例えば、出会い系サイト「アシュレイ・マディソン」のデータ漏えい事件は、まだ多くの人が覚えているだろう。この事件では、bcryptでハッシュ化されていた3,600万件のパスワードが盗まれたが、1,500万件が適切にハッシュ化されていなかった。このため、短期間で解読できる状態になっていた。

どちらのハッシュ関数を使うべきかを理解していなかったためにパスワードを危険に晒すこともあれば、どちらが適切かわかっていながら適切に実装しなかったために危険をもたらすこともあるのだ。

内部的な問題?

こうしたミスはなぜ起こるのだろうか。アンダーアーマーは流出事件の経緯について、セキュリティ企業と警察の協力を得て調査しているところだと述べ、詳しい情報を明らかにしていない。だが、ジョンズ・ホプキンズ大学で暗号科学を研究するマシュー・グリーン教授は、アンダーアーマーが外部の専門家をあまり頼りにしようとせず、社内でIT業務の負担が増えすぎたことが原因かもしれないと推測している。

「そうなると、素人のような処理をしてしまうことになります」とグリーン教授は言う。「SHA-1のようなリスクの高いものからリスクの少ないbcryptにアップグレードするとき、このふたつのハッシュ方式間の移行作業の一環として、最近ログインしていない顧客の古いデータを残しておかねばならなかった、というのがわたしの推測です」と同教授は語る。

アンダーアーマーの不祥事の原因が何であれ、各社は、セキュリティ体制を詳しく調査し、脆弱性や欠陥を、攻撃者に利用される前に見つけておく必要がある。そうしなければ、今後も大規模なデータ漏えいが続くだけでなく、本来は防げたはずの大きな損害が生じることになるだろう。

RELATEDアンダーアーマーの個人情報流出は、防げたはずの問題だった──不適切なセキュリティ対策が浮き彫りに 1億4,300万人が被害を受けている「米エキファックス情報漏洩」の顛末

スポンサードリンク

2018/04/15 10:00

  • このエントリーをはてなブックマークに追加
  • 後で読む

「アンダーアーマーの個人情報流出は、防げたはずの問題だった─...」に関するコラム

「アンダーアーマーの個人情報流出は、防げたはずの問題だった─...」に関する評判

Yoshimitsu_Yano

@Yoshimitsu_Yano

で、#myfitnesspal ってアプリ、ヤバいな、これめちゃくちゃ金掛かってそうだけど、本当に無料って大丈夫か? と思ってたら、このツイートを思い出したので、購入予定だったトレーニングウェアはアンダーアーマーにしようと思います。アンダーアーマーの方これで許してください。 #アンダーアーマー twitter.com/tensai_matome/…
fS_red346

@fS_red346

返信先:@rururuc2 アンダーアーマーのMyfitnesspalってアプリ使ってみ。すごいで。バーコード読み取るだけでカロリー出てきたり。これで食事管理してみては?この広告の女性童貞ワイの目には70kg手前かなーと。 pic.twitter.com/k1rVfeec3m
p8auteft

@p8auteft

カロリー計算とPFCバランスがわかるMyfitnesspalというアプリが非常に優秀でおすすめ アンダーアーマー社が運営しているアプリでアメリカ人気No.1 これに入力するだけでダイエット減量の進み方が大きく変わる
amiamiegeg

@amiamiegeg

PFCのアプリはアンダーアーマーのMyFitnessPalっていうバーコード読み取ると計算してくれるやつ入れてみた。
ikeyt1

@ikeyt1

アンダーアーマー、MyFitnessPalの1億5000万人の顧客データ流出を発表。 iphoneteq.net/news/post-43240 pic.twitter.com/mkYfuJXrqH
iphoneteqbexjp

@iphoneteqbexjp

アンダーアーマー、MyFitnessPalの1億5000万人の顧客データ流出を発表。 iphoneteq.net/news/post-43240 pic.twitter.com/0CNgh91dey
Selekt_

@Selekt_

アンダーアーマーのアプリ、MyFitnessPalから1億5千万人の顧客データが流出。利用者は今すぐパスワードを変えよう(ギズモード・ジャパン) headlines.yahoo.co.jp/hl?a=20180404-…
Takashi_Wada

@Takashi_Wada

アンダーアーマー サイバー攻撃により1.5億人分の個人情報を漏洩。 / “Under Armour announces data breach, affecting 150 million MyFitnessPal app ac…” htn.to/ntqCTN
lllbjdlll

@lllbjdlll

アンダーアーマーのアプリ、MyFitnessPalから1億5千万人の顧客データが流出。利用者は今すぐパスワードを変えよう gizmodo.jp/2018/04/myfitn…
spread_jp

@spread_jp

アンダーアーマーのアプリ、MyFitnessPalから1億5千万人の顧客データが流出。利用者は今すぐパスワードを変えよう gizmodo.jp/2018/04/myfitn…

お腹・小顔ダイエット研究所 でとらぼ

お腹・小顔ダイエット研究所で肥満解消してダイエットの悩み解消 当サイト、お腹・小顔ダイエット研究所「でとらぼ」は酵素ダイエット、太ももダイエット、炭水化物ダイエット、骨盤ダイエットなど、食事レシピやサプリから運動に至るまで様々なダイエットに関する情報を口コミやニュース、動画、芸能人などのブログや日記から取得してダイエット速報としてお届けしております。

ダイエット情報の新着コラム