スマートフォン用アプリとパソコンのブラウザで使える、グラフィックデザイン・プラットフォームの「Canva(キャンバ)」が、2019年5月27日、ユーザーの個人情報が漏洩したことを会員にメールで伝えました。
漏洩したとされる情報は、以下の3項目です。
- ユーザー名
- メールアドレス
- 暗号化されたパスワード
【案内メール】ご利用中の Canva アカウントについての重要なお知らせ
以下、2019年5月27日午前7時台に、僕の元に届いたメールです。
Canvaでは、ユーザーにパスワードの変更を呼びかけています。
いつも Canva をご利用いただきありがとうございます。
Canva をご利用中の皆様に重要なお知らせがございます。
2019年 5月 24日(金)に Canva にセキュリティ上の問題があることが判明しました。Canva ではこの問題を確認後、直ちに詳細な調査を開始し、必要な対策を講じました。また、この問題について関係諸機関に通知しました。
本件の影響として Canva をご利用のユーザー様の「ユーザー名」、「メールアドレス」、「暗号化されたパスワード」が不正アクセスされたことが判明しています。
Canva にログインする時に必要となるパスワードはすべて暗号化されているため、第三者によって不正に使用されることはありませんが、お客様の安全を期すため、Canva のアカウント設定ページにて Canva のパスワードを変更することをお勧めいたします: https://www.canva.com/account
本件に関する最新の情報は、ステータスページ(英語)でご確認ください: https://status.canva.com
また詳しい情報は、FAQ ページ(英語)で確認できます: https://support.canva.com/contact/customer-support/may-24-security-incident-faqs/
本件に関するご質問は、xxxxxxx までメールをお送りください。
Canva チームは現在24時間体制でこの問題に対処しています。
お客様にご迷惑とご不便をおかけすることを深くお詫び申し上げるとともに、安心してご利用いただけるサービスを提供、維持していくよう最善を尽くしてまいります。
Liz McKenzie
広報統括
Canva
また、Canvaのログイン後のページでも、情報漏洩に関しての情報が掲載されていました。これにより、先のメールはフィッシング詐欺のような偽物では無いと言えます。
そのお知らせの内容は、以下の通りです。
英文ですが「5月24日、セキュリティ上の問題に気づき、原因を特定して解決するための措置をすぐに講じ、状況を当局(FBIを含む)に報告しました」と言ったことが書かれています。
Important security information
Monitoring – At Canva, we are committed to protecting the data and privacy of all our users and believe in open, transparent communication that puts our communities’ needs first.On May 24, we became aware of a security incident. As soon as we were notified, we immediately took steps to identify and remedy the cause, and have reported the situation to authorities (including the FBI).
We’re aware that a number of our community’s usernames and email addresses have been accessed. The hackers also obtained passwords in their encrypted form (for technical people – all passwords were salted and hashed with bcrypt). This means that our user passwords remain unreadable by external parties.
However, in line with best practices, we recommend that you change your Canva password.
We apologize for the inconvenience. If you have any questions that you would like to discuss please contact us at xxxxxx. We will communicate any further updates here.
もしパスワードが暗号化されていなければ、リスト型攻撃のリスク
漏洩したパスワードは、暗号化されていたのがせめてもの救いです。
もし、暗号化されていなければ、まず2つのリスクが懸念されます。
- 第三者にあなたのアカウントでCanvaを利用されてしまう
- リスト型攻撃で、他のサービスが乗っ取られる恐れがある
「1」は、わかりますよね。2段階認証がなければ、IDとパスワードがわかれば他人がログインすることができます。
では「2」の「リスト型攻撃」とは何か? これは、不正に取得したIDとパスワードの名簿(リスト)を使って、他のサービスへログインを試みる行為です。もし、同じパスワードを他のサービスでも使う「パスワードの使い回し」をしていたら、アカウントが乗っ取られてしまいます。
名前とメールアドレスが漏洩すると、詐欺メール(フィッシング詐欺)が来る
また、名前とメールアドレスの漏洩も問題があります。
なぜなら、そのリストを元に詐欺メールが配信される恐れがあるからです。Canvaから不正に個人情報を取得した窃盗者は、その個人情報を名簿屋に転売する恐れがあります。
そうすると、あなたの名前とメールアドレスが、詐欺グループなど悪意を持った人の手に次々と渡っていくのです。
僕の事例ですが、先日、いつも利用しているレンタカーショップで情報漏洩があり、それ以来、脅迫メールが頻繁に届くようになってしまいました。「あなたの秘密を握っている、消去したければビットコインで支払え」と言った具合に。
また別の事例で、電話番号が漏洩したときも、同様に「金を払え」と脅迫電話がありました。
僕はサービスごとに、パスワードを変えたり、偽名を使ったりしているので、脅迫内容から「あ、ここから漏れたな」とわかるのです。
Canvaのユーザー数は、世界中に1,500万人以上
Canvaは、オーストリア発のグラフィックデザインプラットフォームです。設立は2013年。世界190か国で使われており、ユーザー数は1,500万人とされています。
日本では、KDDIウェブコミュニケーションズがCanvaと契約し、日本語版のCanvaが提供されています。
Canvaは拡大路線を敷いていて、先日も資金を増資したところでした。
オーストラリア拠点のCanvaはグラフィックデザインプラットフォームを拡充するため、新たに7000万ドルを調達した。今回のラウンドで累計調達額は1億6600万ドルとなり、企業価値は25億ドル(約2755億円)に達した。
(中略)
「1500万超もの月間アクティブユーザー数というグローバルユーザーベースを抱え、注目せずにはいられないデータ豊富でビジュアルなグラフィックデザインを作成し、共同作業やフィードバックを通じて豊富なデザインを入手できるようにするプラットフォームをCanvaは提供していて、明らかにこの業界でリーダーだ」
私ごとですが、実は先週、Canvaにユーザー登録したところでした。
KDDIウェブコミュニケーションズさんより、「パパやるを見て、ぜひ使ってもらいたいと思いご連絡させて頂きました」と、ご紹介頂いたのです。これは面白そうだと思い、「パパやるのサイト制作やYouTubeでも使えますね!」と話していました。
なんと言うタイミング……。幸いにも僕はパスワードの使い回しはしていなかったのでリスト型攻撃のリスクは免れそうですが、メールアドレスと名前は漏れたので、また詐欺メールが増えそうな予感です。
個人情報はいくらユーザーが気をつけていても守りきれるものではないので、Canvaに限らず、漏れる前提でユーザー登録をする必要がありますね。
【余談】アポ電強盗という恐ろしい詐欺集団が増えています
最後に余談ですが、「情報漏洩」「名寄せ」の恐怖が、NHKのクローズアップ現代+で特集していて、それを見て衝撃を受けました。
めちゃくちゃ怖い!!
情報漏洩は、後からが恐ろしいのです。
「アポ電」
録画していた1ヶ月前のNHKクローズアップ現代+「徹底追跡! “アポ電強盗”本当の怖さ | 」を見た。
かなり凶悪! 自宅に現金があるかを用意周到に調べて、強引に家に押し入る詐欺グループ。
アポ電って名前はピンと来ないので「アポ電強盗団」にして欲しい。https://t.co/bwaQu3RVX7
— 北野 啓太郎@フリーランスライター (@KeitaroKitano) 2019年5月26日
アポ電強盗団のターゲットは、自宅に現金・金品を置いてある家。
個人情報を集めて《名寄せ》する裏名簿屋があり、その裏名簿から当たりをつけるとのこと。
「おいしいリストは、一軒家で配偶者に先立たれて、息子、娘は別で暮らしている家」
家に押入られて、手足を縛られ、刃物で脅され強奪。
— 北野 啓太郎@フリーランスライター (@KeitaroKitano) 2019年5月26日
#オレオレ詐偽 は、上手いこと言って金を窃盗する詐偽。騙す手口。
でも #アポ電 は、上手いこと言って金があるのを確認し、命を奪ってでも金を強奪する。途中まではオレオレ詐偽のようだけど、最後は集団で押しかけ強盗!
命が助かっても、相当なトラウマに苦しめれるそうです。そりゃそうだ。
— 北野 啓太郎@フリーランスライター (@KeitaroKitano) 2019年5月26日
アポ電の状況は、警視庁(@mpd_yokushi)が日々ツイッターで公開しています。
「東京都内」
「午前11時まで」だけでも、10件以上。全国ですぐそばにある詐偽強盗です。https://t.co/CN3vaQIAmA
— 北野 啓太郎@フリーランスライター (@KeitaroKitano) 2019年5月26日