大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表したオージス総研は、「現在も原因の調査を続けているが、依然として復旧のメドは立っていない」と説明する。専門家はWebサービスの提供者にとって対岸の火事ではないと警鐘を鳴らしている。

サービス開始20年目を襲った漏洩事件

 宅ふぁいる便の歴史は古い。もともと大阪ガスグループのエルネット(大阪市)が1999年に提供を始めた。2014年に大阪ガスはエルネットの会社分割を決め、宅ふぁいる便事業は旧エルネットが商号変更した大阪ガス行動観察研究所が引き継いだ。2015年にオージス総研が大阪ガス行動観察研究所を吸収合併し、宅ふぁいる便のサービスを提供してきた。無料会員が約330万人、有料会員が約2万人に上るという。

 2019年1月22日午前11時ごろに不審なファイルがサーバー内にあると気付いたオージス総研は調査を開始し、不審なアクセス履歴を同日午後7時に確認。翌23日午前11時前にサービスを停止して調査を継続した結果、顧客情報が漏洩した事実を25日午後に確認した。約480万件のメールアドレスとログインパスワード、生年月日が漏洩したと発表した。他のWebサービスで同一のメールアドレスとパスワードを使っている利用者に対して、パスワードの変更を呼びかけた。

宅ふぁいる便の個人情報漏洩の経緯
日付できごと
1月22日午前11時 サーバー内に未認識のファイルがあると確認
午後1時 担当社員とパートナーから作成していないとの報告を受けて調査を開始
午後7時 サーバー内に不審なアクセスログを確認
  23日午前10時50分 サービス停止
  25日午後3時30分 顧客情報の漏洩を確認
夜 メールアドレス、パスワード、生年月日の漏洩が確定と発表
  26日氏名や性別、業種・職種などの情報も漏洩したと発表
  28日郵便番号など一定期間のみ取得していた情報も漏洩したと発表

 結果的には、2005年以降に利用者が入力した氏名、ログイン用のメールアドレスとパスワード、職業・業種・職種などの情報と、2005~2012年の間だけ入力させていた自宅および勤務先の郵便番号などの情報が漏洩したという。退会者の情報も含んでいた。不審なファイルが置かれた経緯、つまり攻撃の手口はまだ判明していない。

オージス総研が宅ふぁいる便の利用者に送付したメール
[画像のクリックで拡大表示]

 オージス総研は1月26日に公表した「ご質問一覧」で、パスワードを暗号化していなかったと明かした。安全なWebサービスの構築手法に関する著書などで知られ、Webセキュリティーの第一人者であるEGセキュアソリューションズの徳丸浩社長は「パスワードを平文で保存しているWebサービスはかなりの数に上るだろう。宅ふぁいる便の情報漏洩事件は対岸の火事ではない」と警告する。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が4月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら