ここから本文です

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた

1/29(火) 19:00配信

FNN PRIME

1月25日、インターネットでファイルを転送する「宅ふぁいる便」のサーバーが不正アクセスの被害を受け、約480万件の個人情報が漏えいしたと、運営元のオージス総研が発表した。
公式サイトでは当初「メールアドレス、ログインパスワード、生年月日」の漏えいが確定したとしていたが、28日に他の情報漏えいも分かったと改めて発表した。

流用している人は注意!

現時点で漏えいが確定した情報は以下の通りだという。


(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(オージス総研 公式サイトより)


メールアドレスとパスワードが一緒に漏えいしたということは、同じ組み合わせを他のサービスでも使っている場合は、情報を入手した何者かに不正利用されてしまう可能性がある。
オージス総研では、そのようなユーザーに向けてメールや公式サイトを通じて、パスワードの変更を呼びかけている。

さらに、今回の漏えい問題に関する質問と回答をまとめた「ご質問一覧」を公開しているが、その中でパスワードを暗号化(ハッシュ化)せずに保管していたことが発覚。
Twitterなどでは「世のエンジニア卒倒レベル」「こりゃ怖い」などと大騒ぎになっている。


Q15. パスワードは暗号化されていなかったのか?

A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。
(オージス総研 公式サイトより)


現在は、無料で使える「宅ふぁいる便」と合わせ、有料の「宅ふぁいる便プレミアム」「宅ふぁいる便ビジネスプラス」もサービスを停止し再開のめどはたっていない。
また「オフィス宅ふぁいる便」という類似サービスは被害を受けていないとして運用を続けている。

今回の漏えいに関してオージス総研は「現時点で個人情報漏洩による二次被害は確認されておりません」としているが、一体どんな調査をしているのだろうか?
そしてなぜパスワードを暗号化せず保管していたのか?担当者に聞いてみた。

1/2ページ

最終更新:1/29(火) 19:00
FNN PRIME

あなたにおすすめの記事