2019年5月 28日更新
Flipboardは、最近一部のユーザーデータに関連したセキュリティー上の出来事を特定し、対処しました。弊社は、Flipboardコミュニティへの透明性を重視しております。このページは、弊社の調査から得た情報、弊社が実施した対策、そしてユーザーの皆様が対応できる措置についてお伝えするために作成しました。
発生事象
最近、一部のFlipboardユーザーのアカウント情報(認証情報など)を含む弊社のいくつかのデータベースにおいて、不正アクセスが確認されました。この発見の対応として、弊社は直ちに調査を開始し、外部セキュリティー会社がその支援に当たりました。その調査の結果、2018年6月2日から2019年3月23日までおよび、2019年4月21日から22日までの間に、権限のない者がFlipboardユーザー情報を含む一部のデータベースにアクセスし、コピーを入手した可能性があることが判明しました。
関与する情報
関連するデータベースには、皆様のお名前、Flipboardユーザー名、暗号化保護されたパスワード、そしてEメールアドレスなどのユーザーアカウント情報の一部が含まれています。
Flipboardはセキュリティー専門家の間で「ソルト付きハッシュ化」として知られる手法を使ってパスワードを常に暗号化保護しています。パスワードをハッシュ化する利点は、パスワードをプレーンテキスト内に保存する必要がないことです。さらに、ハッシュアルゴリズムと組み合わせて各パスワードに固有のソルトを使用すると、それらのハッシュ化パスワードのクラッキングは、かなりのコンピューター・リソースなしでは行えないほど難しくなります。2012年3月14日以降にパスワードを作成または変更した場合は、bcryptと呼ばれる関数でハッシュ化されます。それ以降パスワードを変更していない場合は、SHA-1において固有ソルト付きでハッシュ化されます。
さらに、Flipboardアカウントをソーシャル・メディア・アカウントなどの第三者アカウントに接続している場合、Flipboardアカウントをその第三者アカウントに接続するためのデジタル・トークンがデータベースに含まれている可能性があります。皆様のFlipboardアカウントに接続された第三者アカウントに権限のない者がアクセスしたという証拠は見つかりませんでしたが、念のため、弊社は、すべてのデジタル・トークンを交換または削除しました。
重要なことには、社会保障番号や他の政府発行ID、銀行口座、クレジットカードあるいは他の財務関連の情報は、弊社によるユーザーからの収集の対象外であるとともに、この出来事に関与していません。
弊社による措置
パスワードは暗号化保護されているとともに、すべてのユーザーのアカウント情報がこの出来事に関与しているというわけではありませんが、予防措置として弊社は、すべてのユーザーのパスワードをリセットしました。既にログイン状態にあるデバイスにおいては、Flipboardを引き続きご使用いただけます。新しいデバイスからFlipboardアカウントにアクセスする場合、またはアカウントからログアウトした後にFlipboardに再ログインする場合は、新しいパスワードを作成するよう求められます。
もうひとつの予防措置として弊社は、すべての第三者アカウントへの接続に使用されていたトークンを遮断するとともに、弊社のパートナーと協力して、必要に応じてすべてのデジタル・トークンを交換または削除しました。
さらに弊社は、将来このようなことが起こらないようにするために、セキュリティー対策を強化するとともに、そのための追加的対策を探求し続けています。弊社は法執行機関への通知も行いました。
皆様にしていただけること
皆様は、Flipboard使用継続のために更なる措置をとる必要はありません。しかし、アカウントへの次回ログイン時に、Flipboardアカウントのパスワードを更新する必要があります。新しいパスワードの作成方法が記載されている弊社のサポートページ(下記リンク)をご参照ください。また、Flipboard用のユーザー名とパスワードを他のオンライン・サービスで使用している場合は、それらのパスワードも変更されることをお勧めします。
Flipboardアカウントを第三者アカウントに接続してその内容を確認する際には、再接続が必要となることがあります。弊社のサポートページでは、その方法も記載されています。
詳細情報について
このような出来事が起きましたことを、心よりお詫び申し上げます。本出来事に関する詳細とよくあるご質問への回答を下記に記載しております。追加のサポートが必要な場合は、弊社の Help Center(ヘルプセンター)にてお問い合わせをお選びください。
===
よくあるご質問
私のFlipboardユーザー情報は本出来事に関係していましたか?
すべてのFlipboardユーザーのアカウント情報がこのインシデントに関与しているわけではありません。現在関与しているアカウントを特定中ではありますが、予防措置として弊社は、すべてのユーザーのパスワードをリセットし、すべてのデジタル・トークンを交換または削除しました。
この出来事にはどのような情報が関与していた可能性があるのですか?
次の種類の情報が関連データベースに含まれていました。
- ユーザー名
- 固有ソルト付きのハッシュ化されたパスワード
- 一部のFlipboardユーザーにおいて、第三者アカウントをFlipboardアカウントにリンクするメールアドレスとデジタル・トークン
パスワードの大半は、bcryptというユーティリティーでハッシュ化されています。 2012年3月14日以降、アカウントにログインしていないFlipboardユーザーの場合、パスワードはSHA-1において固有ソルト付きで保護されています。
Flipboardアカウントをソーシャル・メディア・アカウントなどの第三者アカウントに接続している場合、Flipboardアカウントをその第三者アカウントに接続するためのデジタル・トークンがデータベースに含まれている可能性があります。念のため、すべてのデジタル・トークンを交換または削除して誤用の可能性を排除しました。
特に、政府発行ID(社会保障番号や運転免許証番号など)および支払いカードや銀行口座といった財務関連情報は、Flipboardユーザーからの収集の対象外であるとともに、この出来事に関与していません。
将来、同様の出来事が発生するのを防ぐためにどのような措置を取りましたか?
将来このようなことが起こらないようにするために、セキュリティー強化対策を実施するとともに、弊社システムのセキュリティーを強化するための追加的対策を探求し続けています。セキュリティー上の理由から、具体的な情報は共有していません。
ハッシュ化されたパスワードとは何ですか?
パスワードがハッシュ化されると、暗号化アルゴリズムによってランダムな文字列に変換されます。これは一方向性の関数であり、特定の鍵で復号化することはできません。パスワードをハッシュ化することの利点は、パスワードをプレーンテキスト内で保存する必要がなくなることです。さらに、ハッシュアルゴリズムと組み合わせて各パスワードに固有のソルトを使用すると、これらのパスワードのクラッキングは、相当なコンピューター・リソースなしでは行えないほど難しくなります。
「bcrypt」とは何ですか?
Bcryptは、ブロック暗号化アルゴリズムとその他のセキュリティー機能(複数回の計算を含む)を使用してパスワード・クラッキングに対する高度な保護を提供する、適応型パスワード・ハッシュ方法です。
パスワード・ソルトとは何ですか?
ハッシュされたパスワードに「ソルト」を付加すると、特にブルート・フォース攻撃に対するセキュリティー層が追加されます。Flipboardが使用するソルトは各ユーザー固有のものです。
デジタル・トークンとは何ですか?
Flipboardユーザーは、Flipboardアカウントをソーシャル・メディア・アカウントやパブリッシャー・アカウントなどの第三者アカウントに接続することができます。そのような接続の際、デジタル・トークンが作成されます。デジタル・トークンにより、Flipboardアカウントとソーシャル・メディア・アカウントとの間に独特な接続が確立され、ユーザーはFlipboardでそれらの第三者のコンテンツを閲覧することが可能になります。場合によっては、Flipboardから第三者アカウントに記事を共有したり、コメントを追加したりすることも可能です。今回、トークンの一部が関連データベースに含まれていたため、Flipboardはすべてのデジタル・トークンを交換または削除しました。 Flipboardユーザーは、新しいデジタル・トークンを作成してこれらのアカウントのコンテンツを再表示可能にするために、Flipboardアカウントを再認証、あるいは再接続をする必要がある場合があります。
この出来事はいつ発覚しましたか?
2019年4月23日、弊社のエンジニアリングチームは、2019年4月21日から22日に発生した不正行為を特定しました。その当時、2019年3月23日に発生した疑わしい行動について調査を行っていました。
この出来事についてどのように知りましたか?
弊社のエンジニアリングチームが、データベースが存在する環境において疑わしい行動を特定した後、出来事について認識するようになりました。
すべてのFlipboardユーザーアカウントが関与していましたか?
いいえ。すべてのFlipboardユーザーアカウントがこの出来事に関与しているわけではありませんが、予防措置として弊社は、すべてのユーザーのパスワードをリセットしました。Flipboardアカウントをお持ちの場合は、アカウントに関連付けられているメールアドレスに通知を送信しました。このメールには、「Flipboardのセキュリティーに関する通知」という件名がつけられています。
いくつのアカウントが関与していましたか?
未だ合計数を確認中です。すべてのアカウントが侵害されたわけではないということは判明しています。
FlipboardアカウントにログインするのにTwitter / Google / Samsung / Facebookを使用している場合、引き続きログインできますか?パスワードをリセットする必要がありますか?
FlipboardアカウントへのログインにTwitter / Google / Samsung / Facebookを使用している場合、引き続きログインいただけます。パスワードは弊社のデータベースには保存されていません。また、弊社はデジタル・トークンをローテーションしました。
この出来事を法執行機関へ報告しましたか?
はい、報告しました。
自分のデータが関与していたらどんなリスクがありますか?アイデンティティーが盗まれる可能性がありますか?
Flipboardは、政府発行ID(社会保障番号や運転免許証番号など)および支払いカードや銀行口座といった財務関連情報を含む個人の機密情報はユーザーからの収集の対象外であるとともに、この出来事に関与していません。
念のため、Flipboardのユーザー名とパスワードと同じ、または類似しているものを他のアカウントに使用している場合は、それらのパスワードも変更されることをお勧めします。すべてのパスワードを定期的に変更し、別のオンライン・アカウントに同じまたは類似したパスワードを使用しないようにしてください。
デジタル・トークンを使用して第三者のアカウントにアクセスできますか?
Flipboardはすべてのデジタル・トークンを交換または削除しました。これらのトークンは無効になっており、悪用されることはありません。デジタル・トークンが交換または削除される前に、Flipboardアカウントにリンクされている第三者アカウントへ権限のない者が行った可能性があるアクセスについては、リンクされたアカウントの種類とFlipboardへのリンク時にユーザーが与えた許可により様々ですが、権限のない者にそのアカウント上での閲覧や投稿、メッセージの送信、ユーザー名、プロフィール情報、サイトへの投稿、接続などのユーザーアカウント情報にアクセスすることを許した可能性があります。場合によっては、このアクセスにより情報が変更され、新しい人に接続を促すようなことがあったかもしれません。弊社では、皆様のFlipboardアカウントに接続された第三者アカウントに権限のない者がアクセスしたという証拠は見つかっておりません。
Flipboardアカウントを引き続き使用しても安全ですか?
はい。 Flipboardを安全に使用し続けていただけるよう、すべてのユーザーのパスワードをリセットし、ユーザーのアカウントに関連付けられているデジタル・トークンを削除しました。
Flipboardアカウントにログインしようとすると、Flipboardアカウントのパスワードが無効になっていることがわかります。 Flipboardアカウントへのログインにメールアドレスを使用している場合は、新しいパスワードを作成してソーシャル・メディア・アカウントを再度リンクする方法を説明したメールを送信しました。
Twitter、Facebook、Samsung、またはGoogleアカウントを使用してFlipboardアカウントにアクセスする場合、ログイン・プロセスは引き続き安全であり、パスワードの変更は不要です。
パスワードはどのようにリセットするのですか?
ウェブサイトを利用する場合は、 https://accounts.flipboard.com/からパスワードをリセットできます。Flipboardアカウントに関連付けられているメールアドレスにアクセスする必要があります。
モバイル・デバイスを使用する場合は、Flipboardアプリの次の手順に従ってください。
Android のスマートフォンの場合:
- ログインページからGet Started [はじめに]を、続いて右上隅にあるLogin [ログイン] を選択します。
- Email [メール] を選択し、Flipboardに関連付けられているメールアドレスを入力します。
- Forgot username or password? [ユーザー名またはパスワードをお忘れですか?] を選択し、Account Help [アカウント・ヘルプ] ページを開きます。
- Forgot Password? [パスワードをお忘れですか?] を選択します。
- アカウントのメールアドレスを入力します。
- Send [送信] を選択します。
Appleのスマートフォンの場合:
- ログインページから、右上隅にある Login [ログイン] を選択し、Log in with Email [メールでログインする] を選択します。
- Forgot your password? [パスワードをお忘れですか?] を選択し Account Help [アカウント・ヘルプ] ページを開きます。
- Forgot Password? [パスワードをお忘れですか?] を選択します。
- アカウントのメールアドレスを入力します。
- Send [送信] を選択します。
Apple iPadの場合:
- Already have an account? [アカウントを既にお持ちですか?]を選択し、Log In [ログイン] を選択します。
- Need Help? [ヘルプが必要ですか?]を選択し、Account Help [アカウント・ヘルプ]のページを開きます。
- Forgot Password? [パスワードをお忘れですか?] を選択します。
- アカウントのメールアドレスを入力します。
- Send [送信] を選択します。
Android タブレットの場合:
- Existing account? [既存のアカウント?]を選択し、Tap to log in [タップしてログイン] を選択します。
- Email [メール] を選択し、Flipboardに関連付けられているメールアドレスを入力します。
- Forgot username or password? [ユーザー名またはパスワードをお忘れですか?] を選択し、Account Help [アカウント・ヘルプ] ページを開きます。
- Forgot Password? [パスワードをお忘れですか?] を選択します。
- アカウントのメールアドレスを入力します。
- Send [送信] を選択します。
リンクには期限が設定されているため、パスワードのリセットは速やかに完了してください。パスワード・リセット用のリンクが機能しなくなった場合は、パスワード・リセット・メールを再送信してください。アカウントのセキュリティーを確保するために、パスワードを随時更新することをお勧めします。
追加のサポートが必要な場合は、アカウント・ヘルプのページでContact Us(お問い合わせ)を選択するか、こちらまでメールをお送りください。
Flipboardアカウントをソーシャル・メディア・アカウントに再接続するにはどうすればよいですか?
一部のデジタル・トークンが関係するデータベースが含まれていたため、Flipboardはすべてのデジタル・トークンを交換または削除しました。ほとんどの場合、アクセスに影響は出ませんが、フィードを表示するために接続を再確立する必要がある場合があります。
ソーシャル・アカウントをiOS 向けFlipboardに再接続する方法は次のとおりです。
1. Following [フォロー中] のタブを選択します。
2. Accounts [アカウント] を選択します。
3. 再接続したいサービスを選択します。
4. ソーシャルアカウントのログイン認証情報を入力します。
注: iPadで「赤いリボン」を選択 > Following [フォロー中] を選択> Accounts [アカウント]を選択
ソーシャルアカウントを Android向けFlipboardに再接続する方法は次のとおりです。
1. Profile [プロフィール] タブを選択します。
2. Settings [セッティング] を選択します。
3. Accounts [アカウント] を選択します。
4. 再接続したいサービスを選択します。
5. ソーシャルアカウントのログイン認証情報を入力します。
注:Androidタブレットで、プロフィールのページを開く> Settings [セッティング] を選択> Accounts[アカウント]を選択する。
これでソーシャル・アカウントと新たにセッションを持つことができ、通常通りの使用が可能になります。追加のサポートが必要な場合は、Help Center(ヘルプ・センター)にてContact(お問い合わせ)を選択してください。
他のアカウントのパスワードもリセットする必要がありますか?
Flipboardのパスワードは暗号化保護されていました。ただし、細心の注意を払うため、同じログイン情報を使用している他のサイトやアカウントのパスワードを変更することをお勧めします。各サービスに固有のパスワードを使用するのが最良の方法です。
受信したメール通知が、Flipboardからのものであることをどうしたら確認できますか?
弊社は、受信するメール通知がFlipboardからのものであることに確信を持っていただきたいと思っております。メールはsecurity-notification@flipboard.comというアドレスから送信されます。また、他の企業がこのような通知を行った際、偽のウェブサイトへのリンクを使用(フィッシング)したり、信頼している人(ソーシャル・エンジニアリング)になりすましたりして個人情報を提供させようとする者がいましたのでご注意ください。弊社から受信するメールには何も添付されておらず、弊社は何の情報も求めておりません。そして、すべてのリンクはこのウェブページにつながるはずです。