piyolog
piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた
2023年8月15日、GMWは同社が運営するサービスが不正アクセスを受けたことで、「pictBLand」及び「pictSQUARE」のデータベース情報が外部へ流出した可能性があると公表しました。また当該サービスのWebサイトを閲覧した際に別のサイトへ接続する状態になっていたことも明らかにしています。ここでは関連する情報をまとめます。
累計130万人登録のSNSに不正アクセス
- GMWが運営するサービスが不正アクセスを受け、pictBLandのサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。サービスの累計登録者数は約130万人で、今回の不正アクセスによる影響を受けたアカウントの件数は約80万件。*1
- 不正アクセスとの関連があったとみられる事象が複数確認されており、それらは以下の通り。今後デジタルフォレンジックを行う企業へ調査を依頼することで影響範囲の特定を行うとしており、公表が確認できていない事象についても今後調査が進んだ後に関連の有無が判明するとみられる。
| 関連するとみられる事象 | GMWの公表 |
|---|---|
| (1) Webサイト改ざんと外部サイトへの接続 当該サービスのサイト上にJavaScriptが追加されており、Webサイト閲覧時に意味不明なメッセージが表示された他、閲覧から5秒後に外部のサイト(PyongyangTimes)に接続する挙動となっていた。メッセージは複数パターンがあったほか、サービス上に掲載されているコンテンツ自体も改ざんされていた。 | 「不正なサイトへの遷移」が起こると公表。サーバーシャットダウン後にpictSQUARE上の作品データ1,167件の画像書き換えが行われていた。不審なメッセージの表示については触れられていない。 |
| (2) データベース情報の流出および販売 当該サービスのデータベース情報が窃取され、さらに外部のハッキングフォーラム上で窃取したデータと主張する取引を呼びかける投稿が行われた。 | 情報流出の可能性について公表されているが第三者による外部フォーラムへの投稿については触れられていない。 |
| (3) 利用者とみられるXアカウントによる強制投稿 該当サービスとXを連携させている利用者のアカウントより、pictBLandのXアカウントに対して画像共有サイトのURL*2を含むリプライメッセージを勝手に投稿。*3 | 関連する公表を確認できず。 |
- 不正アクセスは運用上のミスにより攻撃者によって同社のシステムのソースコードが復元され、データベースへの接続を許してしまったことが原因であったとGMWは説明。詳細は模倣犯の懸念があるとして伏せる方針をとった。一時的にpictBLand以外のサービスを再開しpictBLandも15日23時頃にサーバーのメンテナンスが終了する予定と当初アナウンスをしていたが、情報流出の可能性が確認されたpictSQUAREだけでなく、pictSPACEも含め停止された。
外部流出の可能性がある情報
- 当該サービスから流出した可能性のある情報は以下の通り。なお、クレジットカード情報はサーバー上に保持をしていないとして流出の対象外とGMWは説明している。その後もPFI認定のフォレンジック調査会社による追加調査が行われ、その結果クレジットカード情報の流出は発生していないことが確認された。
- データベースで暗号化の上保存されていたが、GMWでは復号用のキーを一緒に盗まれたことで既に元のデータが復号されていると考えられるとの見解を示している。
| pictBLand | ログインメールアドレス、ログインパスワード |
|---|---|
| pictSQUARE | ログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報 |
両サービス合算の流出件数は次の通り。
| 対象 | 件数 |
|---|---|
| アカウント情報 | 801,915件 |
| メールアドレス | 608,967件 |
| 電話番号 | 670,241件 |
| 配送先住所 | 221,007件 |
| 銀行口座情報 | 883件 |
| X ID(数字式) | 240,686件 |
不正アクセスの詳細は非開示方針
- 不正アクセスを受けた原因として、GMWは運用上のミスと説明。不正アクセス元が同社システムのソースコードを復元し、それを用いてデータベースへの接続を許してしまった。
- 詳細な手口、手順は模倣犯発生などの懸念があるとして非開示とする方針であるとした。
不正アクセスを受けたGMWの対応
今回の不正アクセスを受けGMWが行った(または行う予定の)対応は次の通り。
- 警察への通報や個人情報保護委員会への報告。
- デジタルフォレンジック調査を行う企業への調査依頼。
- 当該サービス利用者への注意喚起(使いまわしパスワード変更及び不審メール注意の呼びかけ)
- 不正アクセスに関する専用相談窓口の設置及び該当者へのメールでの連絡。
- 「pictBLand(pictMalFem、pictGLand)」「pictSQUARE」及び「pictSPACE」サーバーの停止および停止期間中における特別対応。(以下の各サービスにおける対応に詳細記載。)再開は2週間から1か月程度要する見込みとしている。
| 停止対象サービス | 停止に係る対応案内 |
|---|---|
| pictBLand(pictMaflem) | ・プレミアム会員退会する際は支払明細の決済番号をサポートセンターへ連絡すること。 ・プレミアム会員継続時はサービス再開後会員費の返金手続き予定。返金金額は、停止期間に応じて決定。 |
| pictSPACE | ・運営事務局に届いた頒布物配送及び申請中の売上・返金精算は振込にて対応。 ・未申請分の精算はサービス再開後に受付予定。 ・商品注文後の返金希望者は支払明細の決済番号または注文IDをサポートセンターへ連絡すること。 |
| pictSQUARE | 15日開催イベントの全額を後日補填。 ・申請中の売上・返金精算は振込にて対応。 ・未申請分の精算はサービス再開後に受付予定。 ・イベントのサークル参加料金はGMWにて決済取消処理を実施。 ・イベント主催者の売上は、サービス再開後の売上精算にて対応。 ・停止期間中に振込希望する場合はキャンセル希望のイベント名と開催日をサポートセンターへ連絡すること。 ・イベントキャンセル(イベント主催者がイベント名、開催日)、サークル参加のキャンセル(サークル参加者が支払い明細の決済番号、サークル参加申込ID)を行いたい場合はサポートセンターへ連絡すること。 |
該当サービス利用者における推奨対応
- GMWより案内された内容に対し、退会やキャンセルなど必要に応じサポートセンターへ連絡。
- パスワードの使いまわしをしている(またはその可能性がある)場合は対象のサービスのパスワードを即時変更。対象のサービス側で可能であれば不正利用有無を合わせて確認。
- 該当サービスをXにて連携している場合はその解除と第三者による勝手な投稿が行われていないかの確認。
- 調査結果の報告など今後の情報を入手するためpictBLandのXアカウントをフォロー。
- 当該サービスと他SNSとの紐づけによる個人特定等の懸念がある場合、アカウントの非公開化(またはアカウント再作成)を検討。
- 身に覚えのない宅配物が届いた場合は宅配事業者に対して受け取り拒否を連絡。
フォーラムで窃取データの取引を呼びかけか
- 2023年8月16日に外部のフォーラムにpictSQUARE*4より窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた。このために作成されたとみられるアカウントが使用されており、暗号資産であるMonero 4XMR(現行レート日本円で約9万円相当)での販売を最大3人に対して行うと投稿し、その後17日までに3件の販売を終えたと投稿している。
- 投稿者は窃取したデータの件数は80万1915件で、メールアドレスが約60万9千件、MD5でハッシュ化されたパスワード約60万7千件、電話番号が約65万件、配送先住所や電話番号、氏名が約20万件、銀行口座情報約1千件、およびTwitterIDやTokenが含まれると主張。
- パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。)
- pictSQUAREはオタク文化に関連したサービスとして、今回不正アクセス被害にあったサービスとは別のPixivで使いまわしされていないか確認することができるとしており、さらに窃取を主張するデータにはPixivやXのURLが含まれているケースがあることから容易に行えると説明した。
- Pixivをはじめとする複数のサービス運営元より、今回のpictBLandなどへの不正アクセスを受け、サービス利用者へのパスワード使いまわしに対する注意の呼びかけや認証の強化などの対策をとっている。
- Pixiv【重要】他社サービスの情報漏洩にともなう、同一パスワード変更のお願い
- BOOTH【重要】他社サービスの情報漏洩にともなう、同一パスワード変更のお願い
- giftee【重要】パスワードの使い回しにご注意ください
- OTACLUBログインパスワード確認のお願い
- Fantia【重要】パスワードの確認と見直しのお願い
- クランド他社サービスの情報漏洩にともなう、同一パスワード変更のお願い
- パロコラ【重要】外部サービスの情報漏洩に伴う同一パスワード変更のお願い
- Skebパスワードの使い回しは絶対にやめましょう
- 小説家になろう【重要】他社サービスの情報漏洩に伴う、同一パスワード変更のお願い
- カクヨム【重要】ログインパスワードの見直しをお願いします
- とらのあな【とらのあなWEBオンリー】注意喚起とパスワード変更の方法について
- アルファポリス【重要】他社サービスの情報漏洩にともなう、同一パスワード変更のお願い(2023/8/17)
関連タイムライン
| 日時 | 出来事 |
|---|---|
| 2023年8月14日夜? | pictBLandのサイト上で不審なメッセージ表示。 |
| 同日 23時頃 | GMWが同社サービスで不審な挙動がみられるとしてpictBLandを停止したと公表。 |
| 2023年8月15日 1時頃 | GMWが安全のために関連サービスすべての停止を行ったと公表。 |
| 同日 6時頃 | GMWが侵入経路のあたりがつき対策を行ったとしてpictBLand以外のサービス再開したと公表。 |
| 同日 | GMWが不正アクセスについて警察へ通報。 |
| 同日 18時半頃 | GMWが同社運営のサービスから情報流出の可能性について公表。 |
| 2023年8月16日 | GMWが個人情報保護委員会へ不正アクセスにかかる速報を報告。 |
| 同日 | GMWがデジタルフォレンジック調査を行う企業へ問い合わせを開始。 |
| 同日 18時頃 | GMWがサービス停止に伴う対応について案内。 |
| 2023年8月19日 | フォレンジック企業による調査作業開始。 |
| 2023年8月21日 | 愛知県警サイバー犯罪対策課にサーバーログを提出。 |
| 2023年8月24日 | PFI認定のフォレンジック企業へ調査依頼打診。 |
| 2023年8月28日 | GMWがフォレンジック企業より調査結果の報告を受領。 |
| 2023年9月上旬 | PFI認定のフォレンジック企業へ調査依頼の予定。 |
| 2023年9月21日 | GMWが停止していたサービスを再開。 |
| 2023年10月26日 | GMWが情報流出に関する追加の調査報告。 |
公式発表
更新履歴
- 2023年8月17日 AM 新規作成
- 2023年8月29日 PM 続報反映(流出件数等)
- 2023年9月22日 PM 続報反映(サービス再開等)
- 2023年11月5日 PM 続報反映(流出追加調査報告)
*1:pictBLandなど運営会社 不正アクセスで個人情報漏えいのおそれ,NHK,2023年8月16日
*2:共有されたのは金正恩総書記の画像。
*3:BL特化SNS「pictBLand」、オンライン即売会サービス「pictSQUARE」に不正アクセス、パスワードなど個人情報流出の可能性,窓の杜,2023年8月16日
*4:理由は不明だが「pictBLand」は一度も記載をしていない。
