2013年10月の非公開データのセキュリティ問題

From Meta, a Wikimedia project coordination wiki
This page is a translated version of the page October 2013 private data security issue and the translation is 100% complete.

2013年10月1日、実装上のミスにより、ウィキメディア・プロジェクトの約3万7000人の利用者の非公開情報 (具体的には、利用者のメールアドレス、パスワードのハッシュ、セッショントークン、最終ログイン日時) が、ウィキメディアの「LabsDB」基盤にアカウントを持つボランティアによって閲覧できる状態になっていたことが判明しました。

2013年5月に始動した LabsDB は、ボランティアがウィキメディアのデータベースからリアルタイムのデータを利用して ツールを書き、あるいはリポートを生成できるようにデザインされています。 これはウィキメディアのコミュニティがボトムアップで新企画を実行することを支援するためのものです。 このプロセスの一部として、非公開データはボランティアが閲覧できるようになる前に自動的に加工されています。 残念ながら、ウィキメディアのウィキの一部[1]で 非公開データを加工するのに用いられるデータベースのトリガーがスキーマ不適合のため発動せず、これらの特定のウィキデータベースにおける一部の利用者アカウントの非公開の利用者データがLabsDB利用者によってアクセス可能なままになってしまっていました。 10月1日の時点で228名の利用者がLabsDBのアクセス権を持ち、2013年5月29日から2013年10月1日の間の当該データが表示可能でした。

この問題は信頼できるボランティアにより発見、報告され、問題のデータへの閲覧権限は報告後15分以内に無効化されました。問題の非公開データが大量に持ち出されたり悪意ある目的に用いられたりした兆候は確認されていませんが、その可能性を確実に除外することはできません。予防的措置として、私たちは、関係する利用者のセッションすべてを終了し、次にログインする際にパスワードを変更するよう求めているところです。

影響を受けた利用者の方々には、登録されていたメールアドレス宛のメール通知も送らせていただきました。

この不手際についてお詫び申し上げます。 LabsDBは私たちの基盤としてはまだ新しい部類であり、私たちはこの種の間違いが将来起きるリスクを最小にするために、データ変換プロセスを全面的に監査します。

技術・製品開発担当ヴァイスプレジデント
エリック・メラー

  1. 関係するデータベースの一覧: aswikisource bewikisource dewikivoyage elwikivoyage enwikivoyage eswikivoyage frwikivoyage guwikisource hewikivoyage itwikivoyage kowikiversity lezwiki loginwiki minwiki nlwikivoyage plwikivoyage ptwikivoyage rowikivoyage ruwikivoyage sawikiquote slwikiversity svwikivoyage testwikidatawiki tyvwiki ukwikivoyage vecwiktionary votewiki wikidatawiki wikimania2013wiki wikimania2014wiki

お問い合わせ先

ご質問がおありでしたら下記宛にメールでご連絡ください。

accountsecurity(_AT_)wikimedia.org

ウィキメディア財団の以下の連絡先もご利用いただけます:

Wikimedia Foundation, Inc.
149 New Montgomery Street
Floor 6
San Francisco, CA 94105
United States
電話: +1-415-839-6885
FAX: +1-415-882-0495

質問と回答

何が起きたのですか?

2013年10月1日、 データベース上にあった設定ミスにより、およそ4万人分のウィキメディアプロジェクトの利用者の特定の非公開情報が、ウィキメディアの「LabsDB」基盤にアクセス権を持つボランティアによって閲覧可能な状態になっていたことがわかりました。

LabsDB とは?

2013年5月に始動した LabsDB は、ボランティアがウィキメディアのデータベースからリアルタイムのデータを利用して ツールを書き、あるいはリポートを生成できるようにデザインされています。 これはウィキメディアのコミュニティがボトムアップで新企画を実行することを支援するためのものです。

問題を発見したのは誰ですか?

この問題は信頼できるボランティアにより発見、報告され、問題のデータへの閲覧権限は報告後数分以内に無効化されました。

バグ報告はこちらにあります。

LabsDB の利用者が入手できたのはどんな情報ですか?

入手可能な状態にあった虞のある利用者情報は以下の4つです。利用者のメールアドレス、パスワードのハッシュ、セッショントークン(ログイン状態を維持するために使われています)、直近のログイン日時

パスワード・ハッシュは平文のパスワードを明らかにするものではないことに注意してください。もしハッシュのコピーを入手することが出来ても、第三者がハッシュから正しいパスワードを入手するには、総当たり攻撃をする必要があります。この方法は、非常に単純で安全でないパスワードが使われていた場合においては、最も成功する可能性が高いものです。MD5アルゴリズムを用いてハッシュ化したパスワードは、信頼性を割り引いて下さい。

この設定ミスによって、寄付された方の情報が影響されるということはなく、また他の個人情報も入手不可能です。

どれくらいの期間その情報が入手できましたか?

この情報が入手可能であったのは、2013年5月29日から2013年8月1日までです。

設定ミスが発見されるのにこれほど長くかかったのはなぜですか?

この問題の影響を受けたのは、ウィキメディアの公開ウィキ群の一部のみで、閲覧可能になっていたのはその特定ウィキの非公開データの一部分のみでした。非公開データを加工するシステムはテスト上では意図されたとおりに動作しているように見えていましたが、新しいウィキ群ではデータベースのスキーマに小さな差異があってデータ加工プロセスが部分的に発動していなかったことが、あるボランティアが気付いて指摘するまで見過ごされていたのです。

その情報を閲覧できた可能性があるのは誰ですか?

LabsDBの利用者にはこの利用者情報にアクセスできた可能性がありますが、誰かがアクセスしたことを示す形跡はありません。

10月1日時点で、228名の利用者がLabsDBへのアクセス権を持っています。

利用者情報が利用されることを防ぐために、どのようなセキュリティ・プロトコルを用いていますか?

このプロセスの一部として、非公開データはボランティアが閲覧できるようになる前に自動的に加工されています。残念ながら、ウィキメディアのウィキの一部で 非公開データを加工するのに用いられるデータベースのトリガーがスキーマ不適合のため発動せず、これらの特定のウィキデータベースにおける一部の利用者アカウントの非公開の利用者データがLabsDB利用者によってアクセス可能なままになってしまっていました。

個人情報を閲覧した人はいますか?

第三者が実際にこの情報を閲覧した兆候はありませんが、LabsDB権保持者がこの情報を閲覧できる可能性はありました。問題の非公開データが大量に持ち出されたり悪意ある目的に用いられたりした兆候は、私たちに探せる範囲では確認されていませんが、その可能性を確実に除外することはできません。

影響を受けたデータベースはどれですか?
  • aswikisource
  • bewikisource
  • dewikivoyage
  • elwikivoyage
  • enwikivoyage
  • eswikivoyage
  • frwikivoyage
  • guwikisource
  • hewikivoyage
  • itwikivoyage
  • kowikiversity
  • lezwiki
  • loginwiki
  • minwiki
  • nlwikivoyage
  • plwikivoyage
  • ptwikivoyage
  • rowikivoyage
  • ruwikivoyage
  • sawikiquote
  • slwikiversity
  • svwikivoyage
  • testwikidatawiki
  • tyvwiki
  • ukwikivoyage
  • vecwiktionary
  • votewiki
  • wikidatawiki
  • wikimania2013wiki
  • wikimania2014wiki
設定ミスを修正するために何をしましたか?

問題のデータへの閲覧権限は報告後15分以内に無効化されました。予防的措置として、私たちは、関係する利用者のセッションすべてを終了し、次にログインする際にパスワードを変更するよう求めているところです。関係する利用者の方々には、登録されていたメールアドレス宛のメール通知も送らせていただきました。

私たちはまた、この種の間違いが将来起きるリスクを最小にするために、データ変換プロセスを全面的に監査します。

私は他のサイトでも同じパスワードを使っています。そちらも変更すべきでしょうか?

第三者に閲覧される可能性があったのはパスワードのハッシュのみですが、総当たり攻撃で平文のパスワードが復元されるおそれがないとは言えません (特にパスワードがあまり強固ではなかった場合)。同じパスワードを使用していた他のサイトすべてについても、パスワードの変更をお勧めします – ウィキメディア・プロジェクト群で使用するパスワードとは異なるものに変更するのが理想的です。