ピクブラの騒動って何が起きてるの?情報漏洩だけではない問題について

※アフィリエイト広告を利用しています。
※アフィリエイト広告を利用しています。
その他の記事
2023.08.17

はじめまして。パスワード使い回し常習犯、「角煮ちゃん」です。

先日ぼーっとスマホを見ていると、「情報漏洩」「パスワード変更」といったツイートがあふれており、何事かと思って調べてみました。なにやら大変なことが起こっているらしい、というのは分かったのですが、どういう流れで何が起こっているのかがいまいち掴みづらくて・・・。

今回は8月14日ごろから巻き起こったピクブラ情報漏洩騒動について、詳しく解説していきたいと思います。

pictBland(ピクブラ)とは?

pictBland(ピクブラ)とは、BL特化型のイラスト・小説投稿SNSです。プロではなく一般人でも、趣味でイラストや小説を投稿できるサイトですので、多くの人に親しまれていました。

特徴としては、クローズドなソーシャルサービスであることを売りにしていることです。例えば、Googleの検索に引っかからないようにする検索除けや、表示したくないタグをブロックする機能があったりと、BLのなかでもさらにデリケートなジャンルを扱う人にとっては非常にありがたいサイトであったようです。

騒動の流れ

まず、8月14日、ピクブラにアクセスすると意味不明なポップアップが表示されるとX(旧:Twitter)で話題になりました。内容としては他国からの攻撃を示唆するようなものでしたが、現在となっては国内の愉快犯ではないかと推察するツイートが見受けられます。

そして、ピクブラ公式がXにてID(メールアドレス)、パスワード、氏名、口座情報、住所などの情報が漏洩した可能性がある、こちらのデータベースの情報は消去しておいたとの旨を投稿しました。こちらの対応に対しても、ピクブラ側のデータを消去してしまうと、漏洩した情報がピクブラから漏洩したものなのかわからなくなってしまうのではないかという意見が見られました。

さらには、ピクブラではパスワードを簡易的な暗号化で管理していたと判明しました。具体的には、ソルトなしのMD5という形式らしいです。下で詳しく解説します。

その後、ピクブラとアカウント連携されていたXのアカウントから、一斉に謎のツイートがなされます。すべて全く同じ内容ですので、今回の件で漏洩してしまったXのアカウントであろうということが予想されました。

そのことから、Xにおいて、ピクブラとのアカウント連携を解除、ピクブラと同じメールアドレス、パスワードを使っている他サイトのパスワード変更、口座に不正な取引がないかの確認をしようという運動が始まりました。

現在の状況としては、本日18時以降に会員メールアドレスにメールが配信される予定です。

MD5ってなに?

MD5とは、正式にはMessage Digest 5と言い、ハッシュ関数のひとつです。

ハッシュ関数とは、入力値をもとに全く別の文字列を作り出す魔法の数式です。作り出されたほうの文字列はハッシュ値と呼ばれます。同じ入力値であれば同じハッシュ値が必ず得られますが、一文字でも違えば全く違うハッシュ値が生まれます。ハッシュ値から入力値を割り出すことは本来不可能です。

しかし、このMD5は、「衝突困難性」というハッシュ関数の安全性のひとつが破られてしまい、セキュリティのために使うには安全ではなくなってしまいました。というか、MD5はほぼ平文と言われるほど、気休めにしかならないようです。現在では後発のより安全性の高いハッシュ関数を用いることを推奨されています。

また、ピクブラではソルトと呼ばれるものも使っていなかったようです。ソルトとは、入力値に任意の文字列を加えてハッシュ化する手法です。ハッシュ化だけでなく、さらにもうワンクッション置くようなイメージで、もちろんソルトを使うほうが安全性は高くなります。

今回は何が問題なの?

まず、様々な情報(メールアドレス、パスワード、氏名、口座番号、住所)の漏洩がいちばんの問題です。ピクブラは以前にもいくつか問題が起こっており、サービス開始時に他サービスの商標を侵害していたり、退会済みの元有料会員の口座から会員料金を引き落とし続けたりなどといった事実がXのユーザーにより掘り起こされました。サイトの信用については、数回の問題によりひびが入り、今回の件がとどめの一撃となったかもしれません。

そして、漏洩そのものではなく、騒動自体がこのサイトにとっては二次災害と言えるのです。

「ピクブラとは?」でも書いたとおり、このサイトはクローズドであることが売りです。あまり表立って活動したくない、という人や、表に出さないほうが良いジャンルを扱う人がひっそり活動していた場所でした。

その場所が、ネットニュースや全国放送で取り上げられたことで、「クローズド」でなくなってしまったのではないか、もし無事に復帰しても使用人口が大幅に減るのではないか、と危惧されています。

今回の件でよくわかったのは、安易にアカウント連携をするべきではないということ、何と何を連携しているのかを把握するべきだということ、そして何より、パスワードの使い回しはよろしくないということです。今は、どんなサービスでもIDとパスワードを求められる時代。今回の件で被害を受けなかった方も、今一度、自身のアカウントを整理してみるのはいかがでしょうか。

コメント

タイトルとURLをコピーしました