ティム・マッケイ(シノプシス テクノロジーエバンジェリスト)
Timehopのデータ漏洩によって2100万件の個人アカウント情報にアクセスがあったことが明らかになった。発表では、Timehopは7月4日、同社ユーザーの2100万件のアカウント情報に悪意ある攻撃者がアクセスしたことを明らかにしました。
これらのアカウント情報には、氏名、メールアドレス、電話番号、アクセストークンが含まれていました。Timehopは、ユーザーがどうすれば自分の電話番号を悪意ある攻撃から守れるかについてのガイダンスと、ユーザーエクスペリエンスへの影響について発表しました。
多くのユーザーにとっては、“アクセストークン”という言葉に触れる初めての経験だったことでしょう。Timehopでは、これらのトークンは同社のアプリにユーザーがインポートしたソーシャルメディアアカウントにアクセスするために使われるものであると説明しています。Timehopは、悪意ある攻撃者がその行為によって得るものを最小限にするため、このトークンを無効化しました。このため、影響を受けたユーザーは自身のソーシャルメディアアカウントでTimehopを再認証する必要があります。
Timehopは、今回の公開内容の透明性と対応の明確さによって称賛されてしかるべきでしょう。
ふたを開けてのぞいてみれば、わたしたちが学ぶべき教訓が得られるような昔ながらの侵入モデルが確認できます。
Timehopは、12月に管理ユーザー用の認証情報が漏洩していたことを明らかにしました。その後の6カ月でこのアカウントは複数回使用され、その間に悪意ある攻撃者がアクセスし、どのリソースがもっとも悪用できるか検討することが可能になっていました。どうやら、最終的に彼らは、アメリカの主な休日の間にユーザーのデータベースを引き出すに間違いないと判断したようです。
その結果として、独立記念日である7月4日の2時間以上におよぶデータ流出インシデントが発生しています。Timehopの対応の一部は、管理ユーザーによる多要素認証を可能にするというものでしたが、内部での対応に対し、多くの分野の調査が行われることになりそうです。
もっとわかりやすい疑問点のひとつに、パーソナルデータへのアクセシビリティがあります。建前上では、このようなタイプの情報はまず要求があった場合にのみ収集されるべきものであり、同時に暗号化されるべきものでもあります。Timehopの説明によると、攻撃者がパーソナルデータにアクセス可能な状態にあったようです。
これが意味するところは、暗号化がされていなかった、または暗号化が弱かった、もしくは格納データの取得に加えて暗号化キーにもアクセスが可能だったということです。
もう一つ、私はこちらのほうがより重要であると思いますが、ファイアウォールのような境界防衛では内部からの攻撃は防げない、ということです。アプリケーションのセキュリティ状態を評価するのであれば、そのアプリケーションがどのようにデプロイされ、プライベートチャネルにアクセスできるのは誰かということを脅威モデルに組み込んでおく必要があります。
最後に、Timehopは攻撃者が仕込んだ可能性のあるコマンドやコントロールストラクチャーの証拠を特定する必要があるでしょう。アクセスできていた6カ月の間に、悪意あるスパイ行為によって安全性を低くするようなシステムの再設定が行われたかもしれないからです。
Timehopが見せた透明性のレベルは、GDPRの時代に責任ある情報公開の実用的なテンプレートを私たちに示してくれました。