プロジェクトオーガナイザの吉田聖書です。
去る1月27日に、株式会社ハンズ(旧・東急ハンズ)が公式サイトにお知らせを掲載しまして、ハンズクラブに登録している顧客の一部の情報が漏洩したと発表しました。
「ハンズクラブアプリ」への不正アクセスによる個人情報漏洩に関するお詫びとお知らせ(2025.1.27 株式会社ハンズ)
経緯等はお知らせに書かれていることなのでここでは詳しくは触れませんが、ハンズクラブアプリへの異常なログインが発覚したのは昨年12月でして、調査と対策をしてから発表することにしたため、これだけ発表が遅くなったということです。
この発表された文書を読んで気になった点が3つあります。
1. 個人情報漏洩の範囲が不明瞭
漏洩した対象者は「ハンズクラブに登録されているお客様のうち、一部のお客様」とお知らせには書かれています。ハンズクラブはアプリもあるのですが、ハンズクラブカードという物理カードも存在しています。私もカードは持っていて、定期的にポイント残高等のお知らせメールが来ますし、ハンズクラブ会員番号も持っています。
では、果たしてカードを持っているだけでアプリに登録していない人が含まれているのでしょうか。それともハンズクラブアプリの利用者のみが対象なのでしょうか。これはお知らせには書かれていないので分かりません。この点は明確にして欲しいと思いますし、分からないのであれば分からないと書いて欲しいところです。
2. パスワードは平文で保存されていたのか
漏洩した情報の項目に「ログインパスワード」という記載があります。素直に読んでしまうと、これは平文で保存されていたものが漏洩したのではないかと思ってしまいます。もし、平文で保存していたのだとすると、かなりセキュリティ意識が低いと言わざるを得ません。
一般的には、パスワードはハッシュ化または暗号化した上で保存しますので、そうであると信じたいですが、そのような記載は見当たりません。ハッシュまたは暗号で保存していたのなら、そのように書かないとユーザーは不安になります。
3. パスワードを無効化しないのか
お知らせには「お客様へのお願い」として「セキュリティ向上のため、パスワードの変更をお願いいたします」と書かれています。注意していないと見過ごしてしまいますが、これはよく考えると変な話です。
情報が漏洩して、不正アクセスが繰り返し行われていたことが確認されていますと。であれば、すぐに全てのアカウントのパスワードを強制的にリセットして、「パスワードを忘れてしまった方はこちら」の機能を使ってパスワードを再設定しない限りログインできないようにすべきです。
そうでないと、ユーザーがパスワードを変更するまでは不正にアクセスされ不正に利用される可能性が残ります。情報が漏洩した顧客の全てがアクティブユーザーとは限りませんので、ここはユーザー任せにするのではなく、運営側で対処すべきことだと思います。
仮に、漏洩したパスワードがハッシュ化または暗号化されていた場合でも、レインボーテーブルなどで突破されるリスクはありますので、強制的なパスワードリセットをしない理由にはならないでしょう。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。