【ヤバすぎ】宅ファイル便で約480万件のメールアドレスと平文パスワードがセットで情報漏洩！

先日、ネットニュースを見ていてビックリするようなニュースが目に飛び込んできました。

「宅ファイル便で個人情報漏洩」

あぁー、また個人情報漏洩かー。

ただ、今回は一味違いました。。。

約480万件のメールアドレスと平文パスワードがセットで漏洩！

ﾅﾝﾀﾞﾄ…
　 　　_, ._
　 （　ﾟ Дﾟ） 　　ｶﾞｼｬ
　　( つ　O. __
　　と＿)_) （__(）､;.o：。
　　　　　　　　　　ﾟ*･:.｡

冗談抜きにして、ほんとヤバいです。平文パスワードですよ、奥さん。過去に起きた情報漏洩でもメールアドレスと平文パスワードがセットで流出した事例は聞いたことがないです。(公表されていないだけで、実際は漏れてると思ってますが・・・)

宅ファイル便とは

そもそも「宅ファイル便」とは何でしょうか？

宅ふぁいる便は、大阪ガスグループが運営する、大容量ファイル転送サービスの名称。

同時に送ることのできる人数は最大3名、最大10ファイル、合計300MB（プレミアム会員の場合）まで無料で転送可能。

引用元：はてなキーワード

宅ふぁいる便は、大阪ガスグループの エルネットが運営するもので、メールの添付ファイルでは扱いにくい大型のファイル（最大300MB）を簡単に送ったり、受け取ったりできる無料のサービスです。

引用元：宅ファイル便とは

ということで、「メールじゃ容量が大きくて添付してメール送信できないよー」という人向けのファイル受送信サービスということですね。

有料じゃなく、無料で使うこともできるという点がポイント！収益が上がらないってことはシステム側にお金をかけれないということにつながります。

漏洩した情報の概要

「宅ファイル便」の総販売代理店になっている株式会社オージス総研から漏洩情報の詳細について情報開示されています。

第1報で公開された情報

2019年1月25日に第1報が公表されました。

「宅ファイル便」利用者の情報漏洩件数は約480万件で、その中で漏洩が確認できた項目は以下の通りです。

メールアドレスとパスワードのセットはマズいでしょう。。。

第2報で公開された情報

次に2019年1月26日に第2報が公表されました。

新たに漏洩が確認された情報は以下の通りです。

第3報で公開された情報

そして、2019年1月28日に第3報が公表されました。

新たに漏洩が確認された情報は以下の通りです。

ヤバいのは「メールアドレス」「平文パスワード」のセットで漏洩した点

情報漏洩の件数が約480万件ということでかなり多い点は気になりますが、それ以上にヤバいと思うことが、

パスワードが平文で保存されていたという点

そして

メールアドレスとセットで平文パスワードが漏洩している点

でしょう。質問一覧に記載されてました。

「平文パスワード」を保存していたって見て、開いた口が塞がりませんでした。。。

システム開発者であれば、パスワードを暗号せずにデータベースへ保存するって、まずありえないです。

外部公開せずに内部に閉じたシステムであれば、最悪平文パスワードで保存しているのはありかなと思いますけどね。。。

しかしながら、外部公開しているシステムであれば、不特定多数からアクセスされるわけで、悪意を持った人から攻撃されて情報を抜き取られるリスクがあります。そんな環境で平文パスワードをシステムで保存しているなんてありえないでしょう。

これはわたしだけが持ってる感覚だけじゃないはず。。。

ちゃんとしたエンジニアの人はいないんでしょうか？あり得ないです。

個人情報漏洩で今後起きてくると思われること

みなさんは色んなサイトで登録しているメールアドレスやパスワードを使い分けてますか？それとも同じものにしていますか？

各サイトで使い分けるにしても限界がありますよね？

わたしは3つくらいのメールアドレスとパスワードをサイトによって使い分けてます。経験上、それより多いと管理が煩雑になると思います。

このように1サイトだけの専用「メールアドレス」や「パスワード」を設定して使っていることは少なく、他のサイトでも使い回している人が多いのではないでしょうか？

今回の「メールアドレス」と「パスワード」のセットが漏洩したわけで、それらを使われてしまったら

• 不正アクセス
• 成りすまし
• フィッシング詐欺

などが今後横行することになると思われます。

知らない内にログインされて成りすましされていたり、メールアドレス宛にフィッシング詐欺メールが来るとか十分あり得る話です。

「個人情報漏洩による二次被害は確認されておりません」とか呑気なことが書かれているのを見ました。

そりゃそうでしょう(笑)

見えないところで情報が売買されて使われているわけで、どこから情報が漏れたのか利用者側で特定できる術は無いでしょう。その場しのぎのスゴく無責任な記載がされているように感じます。

仕事していて思うこととして、セキュリティ対策に費用を出そうとするお客さんは少ない印象を受けます。まぁ、「うちのところは大丈夫だろう」と呑気に考えているのだと思いますが。

企業にとって個人情報漏洩は事業にとっても、会社にとっても致命的ダメージを与えかねない事態です。それと同時に積み上げてきた信頼を一気に失う事態になってしまいます。

そんな事態になって火消しに大金を使うよりは起きないように予防対策にお金を使った方が遥かに安く済むのになぁーと、いつも思います。そんなに高い勉強代を払いたいのかと。

実際問題、理想と現実のギャップで経営判断できないのが実情でしょうね。確実に起きるわけじゃないところに会社のお金をかけることはできない！と上層部が判断して、現場が説得できるだけの情報を揃えることができなかったら、なんも変わりませんし。

個人で対策できる「パスワード変更」が効果的

個人情報が漏洩してしまった事実は変えることはできません。もし、パスワードが漏れてしまい、該当者が対策できるとしたら、

漏洩情報を悪用されても意味がないものにする

くらいでしょう。

該当人ができることとして、一番効果的なのが「パスワード変更」だと思います。使いまわしているサイトが多いとユーザ側にかなり負担を強いることになりますが、悪用されるリスクを考えると実施しておけば安心です。

わたしも過去にPSNで個人情報流出事件があったときにはめんどくさいなぁーと思いつつ、今後被害に合わないためにも「パスワード変更」して対応しました。

2011年4月21日、PSNに大規模なアクセスエラーが生じ、サインインできない状態となった。4月23日に外部要因とみられる影響と発表されたが、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者の個人情報が流出した可能性が出たためにサービスを停止したことが原因であった。

引用元：Wikipedia PlayStation Network個人情報流出事件

あと、「登録していたメールアドレスを使用しない」が対策として考えられます。ただ、これは実際のところ、捨てメールアドレスを使っていない限り、難しいため現実的ではないでしょう。

メールアドレスの情報が漏洩してしまっている限り、スパムメールやフィッシング詐欺メールが届く可能性があるのは間違いないです。

ただ、スパムメールはプロバイダーやメールサービス側でかなりの数を弾いてくれるため、個人が気をつけるべきは「フィッシング詐欺メール」に引っかからないことです。

正直なところ、ここ最近のフィッシング詐欺メールはかなり巧妙になってきているため、引っかかってしまいそうです。今後は嘘を嘘と見抜ける力を磨き続けていかないとですね。

少なくとも、

• メール送信元アドレスをチェックする
• メール本文のURLリンクの文字をチェックする

これを確認するだけでもだいぶ違うかと。「正しいもの」「騙そうとして間違っているもの」を判別するポイントをしっかり押さえておきましょう。

自分の身は自分で守らないと誰も守ってくれません。

1カ月経っても、宅ファイル便サービスが再開できていない(2019年3月2日追記)

気になるニュースがあったので、追記しておきます。

オージス総研は2019年1月、ファイル転送サービス「宅ふぁいる便」を停止した。利用者のメールアドレスとパスワードが平文のまま約480万件流出した。暗号化やハッシュ化の必要性は認識していたものの、他の対策を優先し怠った。2月20日時点で「原因や手口は調査中」とし、サービスは再開できていない。

宅ふぁいる便の平文パスワード480万件流出事件、1カ月たってもサービス再開できず
引用元：日経tech

年間に約7,000万の利用がされているということで、それだけ便利なサービスで需要があったということが分かります。そして、セキュリティ対策を怠った代償は大きかったということですね。。。

セキュリティ対策って予防のためにお金をかけてやろうと判断するってあまり聞かないです。それは「被害が出ていないから」

透けて見えることとして、被害が出ていないことに対してお金はかけれないってことなんでしょうね。

会社だったら、社会的信用を失うリスクに対策しないとなれば、そのリスクに対して対策せずに受容していたってことなので、ハッキリ言うと身から出た錆かと。

2020年3月31日に「宅ふぁいる便」サービス終了(2020年1月19日追記)

2020年3月31日に「宅ふぁいる便」サービスを終了するとこのと。個人的な感覚としては情報漏洩事件が起きた後もサービスを継続提供していたんかい！って。