HOME コラム一覧 知って得するセキュリティのはなし その3

知って得するセキュリティのはなし その3

コンプライアンス その他
post_visual

宅ふぁいる便が不正アクセス被害…約480万件のアカウント・個人情報流出

1.このニュースをザックリ言うと

- 1月26日(日本時間)、ファイル送信サービス「宅ふぁいる便」を運営するオージス総研社より、同サービスのサーバが不正アクセスを受け、登録ユーザ(退会済み含む)約480万件のアカウント情報(メールアドレスとパスワード)および個人情報が流出したと発表されました。

- 流出が確認された個人情報は、各ユーザから回答を受けた「氏名(ふりがな含む)」「生年月日」「性別」「職業」「居住地(都道府県名)」「(アカウント情報以外での)メールアドレス」、この他2012年まで収集していた情報として「居住地と勤務先の郵便番号」「配偶者・子供の有無」も含まれているとのことです。

- パスワードのハッシュ化を行っていなかったことから、同じアカウント情報を使用している他のサービスへの「リスト型攻撃」による不正ログインに利用される可能性があるとされ、同社ではユーザに対し、宅ふぁいる便で使用していたものと同じパスワードを使用していた場合は別のパスワードへの変更、また同サービスを装い「パスワードの再発行」や「口座番号の確認」等を行おうとするフィッシングに注意するよう呼びかけています。

- なお、今回被害を受けた「宅ふぁいる便」「宅ふぁいる便プレミアム」「宅ふぁいる便ビジネスプラス」は1月23日以降サービスを停止しています(2月1日現在)が、「オフィス宅ふぁいる便」はこれらとはサーバ・システム等が独立しているため影響は受けていないとのことです。

2.執筆者からの所感等

1月17日に、多数のWebサイトから流出した約8億件に上るアカウント情報がハッキングフォーラムに掲載されていたことが発覚した(AUS便り 2019/01/28号参照)ばかりでの発生で、「日本国内」での「ユーザアカウント情報」の流出としては稀に見る規模のものとなっており、リスト型攻撃による不正ログイン被害の発生は時間の問題と思われます。

- 同社は、宅ふぁいる便がパスワードをハッシュ化して保存していなかったことを認識、対策を計画していたところに不正アクセスが発生したと証言している他、退会済みユーザの情報についても後日問合せを受ける場合があるため残していたとしています。

- パスワードをハッシュ化して保存することはシステム構築の段階で最低限行っておくべきことの一つとされていますが、Webサービスの運営者においては、速やかに同様の問題がないか確認し、パスワードのハッシュ化の対策等を実施すること、また第三者による外部・内部からのセキュリティ監査を検討することを強く推奨致します。

- またユーザ企業等の管理者においては、マルウェア等によるアカウント情報の奪取をアンチウイルスやUTMによって可能な限り防ぐようにすることはもちろんですが、安易に「こういうサービスを使っているから漏えいした」と結論付けて「今後同様のサービスの利用を禁止する」といった
姿勢に出るのではなく、2段階認証等のセキュリティ機能を備えているサービス(Google DriveやDropbox等)の利用を推奨あるいは企業として登録・提供し、アカウント保護のためのセキュリティ機能の活用を啓発する方向性も視野に入れるべきでしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

関連リンク

知って得するセキュリティのはなし その2


コラム
/column/2019/img/thumbnail/img_33_s.jpg
- 1月26日(日本時間)、ファイル送信サービス「宅ふぁいる便」を運営するオージス総研社より、同サービスのサーバが不正アクセスを受け、登録ユーザ(退会済み含む)約480万件のアカウント情報(メールアドレスとパスワード)および個人情報が流出したと発表されました。- 流出が確認された個人情報は、各ユーザから回答を受けた「氏名(ふりがな含む)」「生年月日」「性別」「職業」「居住地(都道府県名)」「(アカウント情報以外での)メールアドレス」、この他2012年まで収集していた情報として「居住地と勤務先の郵便番号」「配偶者・子供の有無」も含まれているとのことです。- パスワードのハッシュ化を行っていなかったことから、同じアカウント情報を使用している他のサービスへの「リスト型攻撃」による不正ログインに利用される可能性があるとされ、同社ではユーザに対し、宅ふぁいる便で使用していたものと同じパスワードを使用していた場合は別のパスワードへの変更、また同サービスを装い「パスワードの再発行」や「口座番号の確認」等を行おうとするフィッシングに注意するよう呼びかけています。- なお、今回被害を受けた「宅ふぁいる便」「宅ふぁいる便プレミアム」「宅ふぁいる便ビジネスプラス」は1月23日以降サービスを停止しています(2月1日現在)が、「オフィス宅ふぁいる便」はこれらとはサーバ・システム等が独立しているため影響は受けていないとのことです。
2019.02.13 16:29:04