「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた

カテゴリ:ワールド

  • メールとパスワードの組み合わせを、他にも流用している人は注意!
  • 「宅ふぁいる便」のパスワードを暗号化していなかった
  • 他のサービスの暗号化についても聞いてみた

1月25日、インターネットでファイルを転送する「宅ふぁいる便」のサーバーが不正アクセスの被害を受け、約480万件の個人情報が漏えいしたと、運営元のオージス総研が発表した。
公式サイトでは当初「メールアドレス、ログインパスワード、生年月日」の漏えいが確定したとしていたが、28日に他の情報漏えいも分かったと改めて発表した。

現時点で漏えいが確定した情報は以下の通りだという。

(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(オージス総研 公式サイトより)


メールアドレスとパスワードが一緒に漏えいしたということは、同じ組み合わせを他のサービスでも使っている場合は、情報を入手した何者かに不正利用されてしまう可能性がある。
オージス総研では、そのようなユーザーに向けてメールや公式サイトを通じて、パスワードの変更を呼びかけている。

出典:オージス総研

さらに、今回の漏えい問題に関する質問と回答をまとめた「ご質問一覧」を公開しているが、その中でパスワードを暗号化(ハッシュ化)せずに保管していたことが発覚。
Twitterなどでは「世のエンジニア卒倒レベル」「こりゃ怖い」などと大騒ぎになっている。

Q15. パスワードは暗号化されていなかったのか?

A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。

(オージス総研 公式サイトより)


現在は、無料で使える「宅ふぁいる便」と合わせ、有料の「宅ふぁいる便プレミアム」「宅ふぁいる便ビジネスプラス」もサービスを停止し再開のめどはたっていない。
また「オフィス宅ふぁいる便」という類似サービスは被害を受けていないとして運用を続けている。

今回の漏えいに関してオージス総研は「現時点で個人情報漏洩による二次被害は確認されておりません」としているが、一体どんな調査をしているのだろうか?
そしてなぜパスワードを暗号化せず保管していたのか?担当者に聞いてみた。

パスワード暗号化の計画はあった

――不正アクセスされた原因は?

まだ、これが原因であるとお伝えできるようなことは見つかっていません。


――被害は確認していないというが、どんな調査をしている?

まずは、これ以外の情報が洩れているかとか、他に悪用されているかを確認しています。
私どものサーバーからたどれる範囲を調べておりますが、今のところ見つかっていません。
お客様からも、そういうご連絡を頂いたことはございませんので、被害は確認できていないということになっております。

詳細な調査方法まではお伝え出来ないんですが、セキュリティベンダーに入ってていただいて、不審な動きがあったところから順番にログを追いかけたりとか、データを追跡したりということをしていただいております。
私どもの社内にも、もちろん調査チームができています。

――なぜログインパスワードは暗号化されていなかった?

宅ふぁいる便は20年ぐらい前から動いているサービスで最初から暗号化はされていませんでしたが、いつか暗号化しなければならないという予定はありました。
ただサービスが大きいことと資源の問題などもあったため、計画を立ているところで今回の漏えいが起きてしまいました。


――やり取りするファイルは暗号化しているの?

ファイル自体は暗号化されていません。
ただ、今回の被害とは全然別の所で保管されています。
ユーザー情報があるところと、いわゆる宅ふぁいる便の送受信ファイルがあるところは別です。


――「ご質問一覧」には退会済みの会員情報も漏えいしたとあるが、なぜ辞めた人の情報を持っている?

お問い合わせをいただくことがあるため、古いデータも置いていました。

他のパスワードは暗号化している?

――被害を受けたサービスと「オフィス宅ふぁいる便」の違いは?

「オフィス宅ふぁいる便」というのは企業でお使いいただくもので、そのためのセキュリティ機能を持っています。
仕組みとしてはまったく別のものです。


――「オフィス宅ふぁいる便」のパスワードは暗号化している?

こちらはハッシュ化(暗号化)しております。


――オージス総研は「クラウド導入支援」や「クラウド上のセキュリティ対策」などの商品を扱っているが、情報漏えいは大丈夫?

まったく別のサービスですので、同じようなことにはなりません。


――そういった商品のパスワードは暗号化している?

他のクラウドサービスは、それぞれのご利用の要求に合わせて運用されていますので、ハッシュ化が必要なものはハッシュ化しております。

オージス総研は、引き続き第三者を含めた調査を行っていて、詳細が判明次第、対象となる顧客にはメールなどで知らせるとしている。