宅ふぁいる便で480万件の個人情報が流出、パスワード暗号化せず|株式会社オージス総研



画像:オージス総研より

クラウドサービスを展開する株式会社オージス総研は2019年1月28日までに、同社サービス「宅ふぁいる便」のユーザー情報約480万件が流出したと明らかにしました。

同社は流出情報について、氏名やメールアドレスだけでなく、パスワードや居住地や勤務先の情報も含まれていたと説明。現在は第三者調査機関と共に、攻撃者の意図や目的などインシデントの全容解明に動いています。

暗号化されていなかったパスワード

オージス総研のインシデントは、既に多くのメディアで報じられています。

480万件と莫大な流出件数となった本件ですが、特に問題点として指摘されているのは「パスワード」。同社は宅ふぁいる便において暗号化処理を実施しておらず、セキュリティリスクの高い平分形式で保存していたと明らかにしています。

またオージス総研は2019年1月28日に発したインシデントに関する第三報にて、新たに勤務先や居住地の郵便番号や、特定期間中のユーザーの家族情報についても流出したと発表。郵便番号はパスワードに用いられるケースが多く、2次被害に用いられる可能性があります。

2次被害が懸念される

オージス総研はメールアドレスやパスワードを他のサービスに使いまわしているユーザーに向けて、二次被害の注意を呼び掛けています。

攻撃者の中には、個人情報自身で悪用し不正アクセスを試みたり、闇サイトで業者に販売するケースが少なくありません。過去の事例ではフィッシングメールや、他のサービスへの不正ログインに使われたケースも多く、懸念が生じています。

参照(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)/株式会社オージス総研