セキュリティ問題2019年2月号:よくある質問 - 日本語

セキュリティー問題 2019年2月: FAQ

更新: 2019年2月13日 午前11時(米国東部標準時)

(原文の訳はこちらからご覧いただけます)

経緯について

2019年2月8日、当社のエンジニアチームは、特定のユーザー情報に関係した、セキュリティー問題が発生した可能性を検知しました。当社では直ちに当社システムの大幅な見直しを行い、この問題の本質と影響範囲の把握に努めました。当社では、この問題に関し、第三者専門家に調査支援を依頼すると同時に、司法当局とも連携を取っております。  

現在までの当社の調査によると、2018年7月5日頃、権限のない者が当社システムに不正に侵入し、ユーザーデータの一部を入手したことが判明しています。当社では、登録情報入力時にユーザーから提供された、下記にある特定の個人情報が影響を受けた、と結論づけました。現在、当社のエンジニアが当社プラットフォームを厳重に監視しており、この問題の再発は確認されておりません。

予防措置として、当社では、ユーザーの皆様がお持ちの500pxアカウントのパスワードリセットを実施しております。個人情報が影響を受けた対象ユーザーには、別途通知Eメールをお送りし、パスワードのリセット方法についてご説明いたします。

全てのユーザーに対する、システム全体としてのパスワードリセットは、潜在的リスクの高いユーザーから順に進行中で、現在までに、MD5ハッシュ化パスワード全ての強制リセットを完了いたしました。

影響を受けたユーザー情報の種類について

  • 500pxに入力した、ユーザー氏名
  • 500pxユーザー名
  • 500pxのログインに関連づけられているEメールアドレス
  • 不可逆暗号アルゴリズムを用いてハッシュ化された、ユーザーパスワードのハッシュ
  • 提供していた場合、ユーザーの生年月日
  • 提供していた場合、ユーザーの市、県、国名
  • 提供していた場合、ユーザーの性別

自分が影響を受けているか、どのように確認できますか?

お客様が2018年7月5日以前に500pxユーザーであった場合、影響を受けています。

当社では、Eメールやサイト上、モバイル通知によりユーザーの皆様への通知を試みています。しかしながら、影響を受けたユーザー数を考えると、ユーザーの皆様が通知を受け取るまでに時間差が発生する可能性があります。

お客様への直接的な影響の有無に関わらず、個人情報が関与しているという性質上、この問題が原因となり生じるフィッシングやスパム、その他個人情報の悪用リスクから、お客様が自身を保護する手段を講じることができるよう、当社では皆様にこの問題についての注意喚起を行っております。当社では、お客様の500pxアカウントのものと同一、もしくは類似したパスワードを使用している

ウェブサイトやアプリのパスワードを変更されることをお勧めしています。

パスワードに関するEメールを受信していない場合

現在当社では、潜在的リスクの高いお客様から順に連絡を行い、ユーザー基盤全体に通知が行き渡るよう取り組んでいます。しかしながら、影響を受けたユーザー数を考えると、この処理に少なくとも1日はかかると見込まれます。パスワードリセットのプロンプトを含んだ通知Eメールを受け取る時間は、ユーザーにより異なる可能性があります。お客様が通知Eメールを受け取っていない場合、まだ行なっていないようでしたらパスワードのリセットを行うことをお勧めします。

お客様が過去に500pxからのEメールをスパムメールとしてマークしている場合、通知Eメールを受信できていない可能性があります。残念ながら、これは当社側では修正できない問題です(ユーザーがスパムと見なしたEメールを受信しないようにするためです)。代わりに、Eメールのサービスプロバイダからの再受信を行うために、お客様の側で500px.comからのEメールをホワイトリストに設定していただく必要があります。この方法はEメールプロバイダ毎に異なる可能性があります。

パスワードのリセットが完了しています。再度行う必要はありますか?

お客様が2月12日 午前3時(米国東部標準時)以降にパスワードのリセットを実施している場合、再度のリセットは必要ありません。しかし、ご希望の場合は、こちらからパスワードのリセットを行うことができます。

どの時点でこのセキュリティー問題が判明したのですか?

2月8日に、当社のエンジニアチームがセキュリティー問題が発生した可能性を検知し、その後直ちに調査を開始しました。  

問題解決のために何を行ってきたのですか?

  • 個人情報が関与しているこの問題の性質上、当社では、MD5ハッシュ化パスワード全ての強制リセットを完了し、システム全体としてのパスワードのリセットを実行中です。
  • 当社サーバーやデータベース、当社極秘情報保管サービスへのアクセス点検を行いました。
  • 当社では、公開・内部ソースコード両方の監視を継続して実施し、セキュリティー問題への対策に努めております。
  • サイバーセキュリティ分野の一流専門家と共同して、当社ウェブサイト、モバイルアプリ、内部システム、セキュリティプロセスの安全強化に努めております。
  • 当社内ソフトウェア開発プロセスの改善を図っています。
  • 当社ネットワーク基盤のアップグレードを継続して実施し続けます。

2月8日に情報漏洩について知ったのなら、なぜ今になって公表したのですか?

当社では、情報漏洩の詳細を発表する以前に、ユーザーの皆様に正確な情報を確実にお伝えする事が重要であると考えました。個人情報が関与しているこの問題の性質上、我々の主要な懸念である、下記の項目について確認を行うことが優先事項であると考えました:

1) 当社システムの安全性確保;
2) さらなる情報漏洩や不正アクセスから、当社ユーザー情報を保護する;
3) 公表の前に、正確な情報を当社ユーザーに伝えること。

現在当社では、潜在的リスクの高いお客様から順に連絡を行い、ユーザー基盤全体に通知が行き渡るよう取り組んでいます。しかしながら、影響を受けたユーザー数を考えると、この処理に少なくとも1日はかかると見込まれます。また、今回の漏洩は、2018年7月5日以降に登録したユーザーの皆様への影響はありませんが、当社では最大限の予防措置を講じて、ユーザー皆様の安全性確保に努めてまいります。

 

漏洩していないデータの種類

現時点で、ユーザーアカウントへの不正アクセスは確認されておりません。また、クレジットカード情報(当社サーバー外に保管)や機密性の高い個人情報など、ユーザー情報と関連づけられているその他の情報が影響を受けている形跡もありません。

司法当局への通報

当社では、司法当局に通報を行い、さらには調査と今後の対策のためにセキュリティー会社を雇用いたしました。

今後の再発防止策について

今後、お客様の個人情報の安全確保のため、当社ではセキュリティー対策の強化を継続して行って参ります。また、同様の問題の再発防止として、追加して方策を講じて参ります。

当社では、ネットワーク基盤のアップグレードを継続して実施し続けます。過去12ヶ月間で、当社ネットワーク基盤の大幅なアップグレードを行っており、このプロジェクトはもう直ぐ完了を迎えます。また、このアップグレードにより、セキュリティーは大幅に強化されます。

ソーシャルメディアアカウント(Google+、Facebook)からログインした場合、パスワードを保管していますか?

外部ソーシャルメディアプラットフォームからログインを行ったユーザーも、当社システムにパスワードを入力しています。しかし当社では、ユーザーのGoogle+、Facebook、その他ソーシャルメディアのログインパスワードは保管していません。ソーシャルメディアアカウントを経由してログインを行った場合、当社はセッション・トークンを受信し、それを当社サーバーに保管しています。セッション・トークンの期限が切れた場合、ユーザーにソーシャルメディアアカウント経由での再ログインを要求し、その都度新しいトークンを受信しています。

自分の500pxアカウントの削除を希望します。

お客様の500pxアカウントの削除を行っても、このセキュリティー問題によるお客様の個人情報の漏洩の有無は変わらないことにご留意ください。アカウント削除の方法はこちらをご参照ください:

https://support.500px.com/hc/en-us/articles/360009701153-How-do-I-delete-my-account-

当社の個人情報保護方針に従い、特別な法的義務に準拠するため、必要に応じてお客様の情報を継続して保管する可能性があります。

500pxから全てのデータをコピーする方法

500pxでは、Eメール経由でお客様のデータのアーカイブをお送りすることができます。ご要望をhelp@500px.comまでお送りください。当社チームがEメール受領後72時間以内に、ご要望のあったデータ送付を行います。

パスワードリセットのEメールを受信していません。

当社でお客様のパスワードの無効化を実施した場合、次回の500pxログイン時に、パスワードリセット画面が表示されます。当社では、影響を受けたユーザーの皆様に今後数日以内に連絡が行き届くよう、努めております。

Eメール内のリンクが作動しません。

当社でお客様のパスワードの無効化を実施した場合、次回の500pxログイン時に、パスワードリセット画面が表示されます。当社では、お客様のご都合が着き次第、このプロセスを実行されることをお勧めしております。

なぜパスワードのリセットを行う必要があるのですか/なぜログインできないのですか?

当社ではパスワード保護のための方策を実施しておりますが、お客様の個人情報を守るため追加措置を講じております。その予防措置として、当社では、ユーザー皆様がお持ちの500pxアカウントのパスワードリセットをお願いしております。

なぜ複数のEメールやリンクが送られてくるのですか?

お客様のもとに、500pxから複数のメッセージやパスワードリセットのプロンプトが届いているかもしれません。これは当社が、ユーザー皆様がこの問題を認識できるよう、可能な全ての対策を講じているためです。

Have more questions? Ask us!