「宅ふぁいる便」にて全ユーザーの個人情報が流出
大阪ガス子会社傘下のオージス総研が運営する「宅ふぁいる便」にて、2019年01月25日に不正アクセスを受けて、全登録ユーザー480万件分の個人情報が流出したことを発表しました。週明けの01月28日(月)でもサービスの再開の目途も立っておらず、第三者による調査が行われています。
「宅ファイル便」は大容量ファイルをユーザーから預かり、届け先のユーザーに転送るサービスです。メールには添付できない大容量ファイルを送付するには大変便利なサイトであり、私個人も大変お世話になっています。
そこで今回は情報漏洩の範囲と利用者が行うべき対処法を説明していきます。
漏洩した個人情報の範囲
出典元:宅ファイル便 https://www.filesend.to/
まずは重要な情報が漏洩した範囲ですが、
全ユーザー約480万件
〇漏洩した範囲
(1)期間を問わずに登録を行ったユーザー情報
・メールアドレス、パスワード、生年月日、氏名、性別、業種・職種、居住地の都道府県
(2)上記とは別に期間限定で入力されたユーザー情報
・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供
と、サーバー内で管理していた全ユーザーの個人情報が流失したことが発表されています。別会社で管理していたクレジットカードの情報は含まれていません。
前に発表されていたユーザー数よりも情報流出したユーザー数が多いことを考えると、退会していも個人情報はサーバーに残ったままである可能性は高いです。つまり退会したか否かではなく「宅ふぁいる便」を使ったことがある人は情報が流出したと考えるべきでしょう。
個人情報を抜かれた身で他人事ではありませんが、流出したデータ内にクレジットカードが含まれていなかったのは不幸中の幸いですね(涙)。
利用者が行うべき対処法
まず「宅ふぁいる便」を利用していたユーザーは必ず対処することとして、
必要があります。
「宅ふぁいる便」にてパスワードがハッシュ化(元のパスワードが分からない状態)で保持されていることを願うばかりです。ただパスワードが平文かハッシュか分からない状態のため、パスワードの変更は急務となります。
※パスワードが平文、暗号化されていなかったことが判明しました(涙)
Q15. パスワードは暗号化されていなかったのか?
A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。
出典元:https://www.filesend.to/faq.html
再設定するパスワードの付け方
では設定しなおすパスワードの付け方を考えましょう。
複数のサービスにて同じメールアドレスとパスワードを使用することは控えるべきです。しかし現実問題として、パスワードを忘れるリスクも考えてると同じメールアドレスとパスワード使っている方も多いはず。
そこでおすすめのパスワードの付け方をご紹介します。
もちろん最善案は、全てのサービスでパスワードを別のものを設定することです(苦笑)。
ただ妥協案として、おすすめしているパスワード設定方法は
です。
普段のパスワードを「hogehoge」とした方であれば、例えば本サイト「T3A」のウェブページにパスワードがあるときは、「t」を付与して「hogehoget」とする方法です。
十分とは言いませんが、パスワードが1文字でも異なれば別サービスに不正ログインされる可能性が大きく減ります。
大容量ファイルを送付するサービスを使うときの注意点
「宅ふぁいる便」の再開の目途が立っていないため、別のサービスにて大容量ファイルを送付する方も多いと思います。
ファイルを送付するときには zip 圧縮を行いますが、
ことを忘れずに行ってください。
大手の「宅ふぁいる便」で個人情報が漏洩するということは、アップロードしたファイルも流出する可能性がある…ということです。そのためzipファイルにはパスワードを設定することを心掛けて下さい。ちなみに設定したパスワードを送付者に共有することをお忘れなく(笑)。
なお zip ファイルにパスワードを設定する「暗号化zip」の作り方を知らない方は、ITmedia 様の記事を載せておくので参照してください。
記事名:ZIPファイルにパスワードを付ける
http://www.atmarkit.co.jp/ait/articles/0511/26/news011.html
さいごに
ウェブサービスを利用するときには、情報漏洩が発生する可能性があることを必ず留意する必要があります。簡易なサービスを利用するときも、安易に普段と同じメールアドレスとパスワードを設定するのではなく、アカウントの管理には十分に注意してください。