Canva、ユーザーの個人情報が流出。パスワードの変更を呼びかけ

ライター
北野 啓太郎
-

スマートフォン用アプリとパソコンのブラウザで使える、グラフィックデザイン・プラットフォームの「Canva(キャンバ)」が、2019年5月27日、ユーザーの個人情報が漏洩したことを会員にメールで伝えました。

漏洩したとされる情報は、以下の3項目です。

  • ユーザー名
  • メールアドレス
  • 暗号化されたパスワード

【案内メール】ご利用中の Canva アカウントについての重要なお知らせ

以下、2019年5月27日午前7時台に、僕の元に届いたメールです。

Canvaでは、ユーザーにパスワードの変更を呼びかけています。

いつも Canva をご利用いただきありがとうございます。

Canva をご利用中の皆様に重要なお知らせがございます。

2019年 5月 24日(金)に Canva にセキュリティ上の問題があることが判明しました。Canva ではこの問題を確認後、直ちに詳細な調査を開始し、必要な対策を講じました。また、この問題について関係諸機関に通知しました。

本件の影響として Canva をご利用のユーザー様の「ユーザー名」、「メールアドレス」、「暗号化されたパスワード」が不正アクセスされたことが判明しています。

Canva にログインする時に必要となるパスワードはすべて暗号化されているため、第三者によって不正に使用されることはありませんが、お客様の安全を期すため、Canva のアカウント設定ページにて Canva のパスワードを変更することをお勧めいたします: https://www.canva.com/account

本件に関する最新の情報は、ステータスページ(英語)でご確認ください: https://status.canva.com

また詳しい情報は、FAQ ページ(英語)で確認できます: https://support.canva.com/contact/customer-support/may-24-security-incident-faqs/

本件に関するご質問は、xxxxxxx までメールをお送りください。

Canva チームは現在24時間体制でこの問題に対処しています。

お客様にご迷惑とご不便をおかけすることを深くお詫び申し上げるとともに、安心してご利用いただけるサービスを提供、維持していくよう最善を尽くしてまいります。

Liz McKenzie
広報統括
Canva

 

また、Canvaのログイン後のページでも、情報漏洩に関しての情報が掲載されていました。これにより、先のメールはフィッシング詐欺のような偽物では無いと言えます。

そのお知らせの内容は、以下の通りです。

英文ですが「5月24日、セキュリティ上の問題に気づき、原因を特定して解決するための措置をすぐに講じ、状況を当局(FBIを含む)に報告しました」と言ったことが書かれています。

Important security information
Monitoring – At Canva, we are committed to protecting the data and privacy of all our users and believe in open, transparent communication that puts our communities’ needs first.

On May 24, we became aware of a security incident. As soon as we were notified, we immediately took steps to identify and remedy the cause, and have reported the situation to authorities (including the FBI).

We’re aware that a number of our community’s usernames and email addresses have been accessed. The hackers also obtained passwords in their encrypted form (for technical people – all passwords were salted and hashed with bcrypt). This means that our user passwords remain unreadable by external parties.

However, in line with best practices, we recommend that you change your Canva password.

We apologize for the inconvenience. If you have any questions that you would like to discuss please contact us at xxxxxx. We will communicate any further updates here.

もしパスワードが暗号化されていなければ、リスト型攻撃のリスク

漏洩したパスワードは、暗号化されていたのがせめてもの救いです。

もし、暗号化されていなければ、まず2つのリスクが懸念されます。

  1. 第三者にあなたのアカウントでCanvaを利用されてしまう
  2. リスト型攻撃で、他のサービスが乗っ取られる恐れがある

「1」は、わかりますよね。2段階認証がなければ、IDとパスワードがわかれば他人がログインすることができます。

では「2」の「リスト型攻撃」とは何か? これは、不正に取得したIDとパスワードの名簿(リスト)を使って、他のサービスへログインを試みる行為です。もし、同じパスワードを他のサービスでも使う「パスワードの使い回し」をしていたら、アカウントが乗っ取られてしまいます。

名前とメールアドレスが漏洩すると、詐欺メール(フィッシング詐欺)が来る

また、名前とメールアドレスの漏洩も問題があります。

なぜなら、そのリストを元に詐欺メールが配信される恐れがあるからです。Canvaから不正に個人情報を取得した窃盗者は、その個人情報を名簿屋に転売する恐れがあります。

そうすると、あなたの名前とメールアドレスが、詐欺グループなど悪意を持った人の手に次々と渡っていくのです。

僕の事例ですが、先日、いつも利用しているレンタカーショップで情報漏洩があり、それ以来、脅迫メールが頻繁に届くようになってしまいました。「あなたの秘密を握っている、消去したければビットコインで支払え」と言った具合に。

また別の事例で、電話番号が漏洩したときも、同様に「金を払え」と脅迫電話がありました。

僕はサービスごとに、パスワードを変えたり、偽名を使ったりしているので、脅迫内容から「あ、ここから漏れたな」とわかるのです。

Canvaのユーザー数は、世界中に1,500万人以上

Canvaは、オーストリア発のグラフィックデザインプラットフォームです。設立は2013年。世界190か国で使われており、ユーザー数は1,500万人とされています。

日本では、KDDIウェブコミュニケーションズがCanvaと契約し、日本語版のCanvaが提供されています。

Canvaは拡大路線を敷いていて、先日も資金を増資したところでした。

オーストラリア拠点のCanvaはグラフィックデザインプラットフォームを拡充するため、新たに7000万ドルを調達した。今回のラウンドで累計調達額は1億6600万ドルとなり、企業価値は25億ドル(約2755億円)に達した。

(中略)

「1500万超もの月間アクティブユーザー数というグローバルユーザーベースを抱え、注目せずにはいられないデータ豊富でビジュアルなグラフィックデザインを作成し、共同作業やフィードバックを通じて豊富なデザインを入手できるようにするプラットフォームをCanvaは提供していて、明らかにこの業界でリーダーだ」

グラフィックデザインのCanvaが新たな資金調達で企業価値2755億円に:TechCrunch Japanより引用

私ごとですが、実は先週、Canvaにユーザー登録したところでした。

KDDIウェブコミュニケーションズさんより、「パパやるを見て、ぜひ使ってもらいたいと思いご連絡させて頂きました」と、ご紹介頂いたのです。これは面白そうだと思い、「パパやるのサイト制作やYouTubeでも使えますね!」と話していました。

なんと言うタイミング……。幸いにも僕はパスワードの使い回しはしていなかったのでリスト型攻撃のリスクは免れそうですが、メールアドレスと名前は漏れたので、また詐欺メールが増えそうな予感です。

個人情報はいくらユーザーが気をつけていても守りきれるものではないので、Canvaに限らず、漏れる前提でユーザー登録をする必要がありますね。

【余談】アポ電強盗という恐ろしい詐欺集団が増えています

最後に余談ですが、「情報漏洩」「名寄せ」の恐怖が、NHKのクローズアップ現代+で特集していて、それを見て衝撃を受けました。

めちゃくちゃ怖い!!

情報漏洩は、後からが恐ろしいのです。