アンとケイトの個人情報流出事件。パスワードは暗号化されていない平文だった模様

2019年5月22日(水)、アンケートサイトの「アンとケイト」にて個人情報流出事件が発生しました。

「アンとケイト」及び「ポケットアンとケイト」不正アクセスによるお客様情報流出に関するお詫びとお知らせ

https://www.ann-kate.jp/incident.html

公式サイトのお知らせの通り、流出した個人情報は膨大です。

流出内容

氏名、メールアドレス、パスワード、性別(*1)、生年月日、未既婚(*1)、子供の有無(*1)、個人年収(*1,2)、世帯年収(*1)、職業(*1)、勤務先業種(*1)、郵便番号、都道府県(*1)、市区町村(*2)、市区町村以降の住所(*2)、電話番号、銀行口座の支店番号(*2)、口座番号(*2)、口座名義(*2)、Pex ポイント口座番号(*2)、ドットマネー口座番号(*2) 等

※1 : 選択式なので具体的な情報は明記なし

※2 : 任意項目なので入力していた場合のみ

膨大というか、おそらく登録していた全ての情報が盗まれたって感じだね。

もふリス

今回の流出事件に言いたいことは色々ありますが、特に大事なのは以下の2点だと思います。

アンとケイトの個人情報流出事件の特に大きな問題点
  • パスワードはハッシュ化(暗号化)せずに保存していた
  • プライバシーマークを取得していたにも関わらず事件が起きた

当記事では上記の2点について詳しく書いていきます。

アンとケイトの公式サイト

https://www.ann-kate.jp/

パスワードは暗号化していなかった

今回の流出事件で一番ヤバイのは暗号化していないパスワードが流出している点です。

MEMO

公式のお知らせでは「パスワードが暗号化されていたのかどうか」について一切触れられていないため、問い合わせをして確認しました。

通常、というかまともなウェブサービスであればパスワードは「ハッシュ化」と呼ばれる暗号化処理が行われた上でデータベースに格納します。そうすれば、万が一パスワードが流出してしまっても不正アクセスの実行犯には解読できない無意味な情報となるからです。

しかし、アンとケイトはデータベースに暗号化されていない平文(ひらぶん)のパスワードを格納していたため、パスワードに設定した文字列が丸見えの状態で流出してしまったのです。

今回はメールアドレスも流出しているため、万が一他サービスでメールアドレスとパスワードを使い回していたら今回流出したメアドとパスワードをもとに他サービスへの不正ログインされてしまうリスクもあるということです。

キツネくん

もし他サービスで使い回しをしているなら、すぐにでも他サービスのパスワードを変更した方が良さそうだな!

プライバシーマーク取得済みなのに・・・

アンとケイトを運営する株式会社マーケティングアプリケーションズはプライバシーマーク取得済みです。

プライバシーポリシー|Marketing Applications
https://mkt-apps.com/privacy/

※上記ページ内にプライバシーマークあり


プライバシーマーク付与事業者検索
https://robins.jipdec.or.jp/privacymark_ac

※登録番号「17000018」で検索すると運営会社が表示されます。

パスワードをハッシュ化(暗号化)せずに平文で保存してしまうような企業でもプライバシーマークを取得できることに心底驚いています。

プライバシーマークが取得済みの組織であれば最低限の個人情報保護体制が確立していて、かつ万が一流出しても良いようにパスワードの暗号化くらいは実施されているものだと思っていましたが、実際はそうでもなかったみたいです。

今回の個人情報流出事件でアンとケイトだけではなく、プライバシーマークに対する信頼性も揺らいでしまったように感じます。

プライバシーマークがあっても流出するしパスワードも平文保存なら、「プライバシーマークの意味は?」ってなるよね・・・

もふリス

まとめ

個人的には流出してしまったものはどうしようもないので仕方ないと思います(今更取り返しがつかないので)。

ただ、アンとケイトへの信頼が一気に崩壊したことは確かです。

「プライバシーマーク」と「平文パスワード」のコンボはちょっと強烈だよね。

もふリス

また、今回の事件の問い合わせ窓口の運営時間が「平日の10~19時」に限られているという点も気になります。流出件数が約77万件もあれば専用のコールセンターを設置して休日も含めて長時間対応するのが普通ではないかなと思います。

しかも、流出事件を発生させて割とすぐに通常のアンケート業務も再開しています。短期間で流出の原因を特定して対策をすることは不可能ではないかなと思うのですが・・・

などなど、色々と挙げ始めると枚挙に暇がありません。

いずれにしても、アンケートサイトは色々なサービスがありますので、今後は一度「ケチ」がついてしまったアンとケイトを無理に利用する必要はないと感じます。

アンとケイトの公式サイト

https://www.ann-kate.jp/

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です