gayuu_fujinaの愚草記 (別館→本館)

はてなダイアリーが更新できなくなったので、泣く泣くこちらに移行。使いづらいようなら、別なサービスへの引っ越しも検討する予定。元ダイアリー:http://d.hatena.ne.jp/gayuu_fujina/

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた - FNN.jpプライムオンライン

「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた - FNN.jpプライムオンライン

1月25日、インターネットでファイルを転送する「宅ふぁいる便」のサーバーが不正アクセスの被害を受け、約480万件の個人情報が漏えいしたと、運営元のオージス総研が発表した。
公式サイトでは当初「メールアドレス、ログインパスワード、生年月日」の漏えいが確定したとしていたが、28日に他の情報漏えいも分かったと改めて発表した。
現時点で漏えいが確定した情報は以下の通りだという。

(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません
(オージス総研 公式サイトより)

メールアドレスとパスワードが一緒に漏えいしたということは、同じ組み合わせを他のサービスでも使っている場合は、情報を入手した何者かに不正利用されてしまう可能性がある。
オージス総研では、そのようなユーザーに向けてメールや公式サイトを通じて、パスワードの変更を呼びかけている。
(中略)
さらに、今回の漏えい問題に関する質問と回答をまとめた「ご質問一覧」を公開しているが、その中でパスワードを暗号化(ハッシュ化)せずに保管していたことが発覚。
Twitterなどでは「世のエンジニア卒倒レベル」「こりゃ怖い」などと大騒ぎになっている。
(中略)
今回の漏えいに関してオージス総研は「現時点で個人情報漏洩による二次被害は確認されておりません」としているが、一体どんな調査をしているのだろうか?
そしてなぜパスワードを暗号化せず保管していたのか?担当者に聞いてみた。
(中略)
――不正アクセスされた原因は?
まだ、これが原因であるとお伝えできるようなことは見つかっていません。
――被害は確認していないというが、どんな調査をしている?
まずは、これ以外の情報が洩れているかとか、他に悪用されているかを確認しています。
私どものサーバーからたどれる範囲を調べておりますが、今のところ見つかっていません。
お客様からも、そういうご連絡を頂いたことはございませんので、被害は確認できていないということになっております。
(中略)
――なぜログインパスワードは暗号化されていなかった?
宅ふぁいる便は20年ぐらい前から動いているサービスで最初から暗号化はされていませんでしたが、いつか暗号化しなければならないという予定はありました。
ただサービスが大きいことと資源の問題などもあったため、計画を立ているところで今回の漏えいが起きてしまいました。
(中略)
――「ご質問一覧」には退会済みの会員情報も漏えいしたとあるが、なぜ辞めた人の情報を持っている?
お問い合わせをいただくことがあるため、古いデータも置いていました。
(後略)

https://www.fnn.jp/posts/00417790HDK

宅ふぁいる便」は大阪ガス株式会社という大企業の100%出資子会社という「信頼」が根底にあって、クラウドストレージサービスを持たない企業間でもデータのやり取りに使われる、かなり大手のファイル共有サービスであった。
実際、自分も何度か仕事で使っており、ただ、IDやパスワードを登録する気にはなれず、都度利用ユーザーとして利用しているほか、最低限のセキュリティとして扱うファイルはパスワード付のZIPにしていたので、この件で職務上の被害が出る事は無いと思っている。
まあ、メールアドレスくらいは流出したかもだけれど、それだけである。*1
しっかし…個人名とメールアドレス、そしてパスワードが「平文で」480万件も流出したってのは、日本のIT史上でもちょっとヤバいレベルの事件になる。
まともなネットセキュリティの知識があれば、自分の様に「野良サービスに個人情報は渡さない」ので、そもそも被害がゼロに近いだろうけれど、この480万人の内、個人名とパスワードが漏出してしまった、ネットセキュリティの知識が甘いユーザーは、このメールアドレスとパスワードで他のサービスを利用している可能性が極めて高く、二次被害は間違いなく発生するだろうし、その被害に気付くまで、相当なタイムラグがあると思う。
ついでに言えば、その2次被害を「宅ふぁいる便」の情報流出と特定する事も不可能だろうし、当然、損害を賠償してもらえる事も無い。
この「事件」は、かなーりヤバいと思うわ。

*1:個人名や属性情報は渡していないから