オージス総研は2019年1月、ファイル転送サービス「宅ふぁいる便」を停止した。利用者のメールアドレスとパスワードが平文のまま約480万件流出した。暗号化やハッシュ化の必要性は認識していたものの、他の対策を優先し怠った。2月20日時点で「原因や手口は調査中」とし、サービスは再開できていない。流出情報が別のWebサービスへの不正ログインに悪用される恐れもある。

 Webサービスにログインするために使うメールアドレスとパスワードが平文(ひらぶん)のまま480万件流出するトラブルが発生した。公表されている中では過去最大級となるログイン情報の流出だ。流出したログイン情報を悪用して様々なWebサービスへの不正ログインを試みる「リスト型攻撃」が増える恐れがある。

 流出元は個人向けファイル転送サービス「宅ふぁいる便」だ。大阪ガスの完全子会社のシステムインテグレーター、オージス総研が運営する。1999年に大阪ガスの社内サービスとして始め、2005年に一般向けの事業にした。オージス総研によると現在の利用件数は年間約7000万件という。

図「宅ふぁいる便」の情報流出事件の概要
未認識のファイルがサーバー内に置かれていた
[画像のクリックで拡大表示]
[画像のクリックで拡大表示]

 宅ふぁいる便のサーバー内に、認識していなかったファイルが置かれていたことから事件は発覚した。2019年1月22日にオージス総研の社員が発見した。社員やパートナー企業が作成したファイルではなかったため第三者機関を含めた調査を始めた。その過程で不審なアクセスログが見つかり、翌23日午前にサービスを停止した。

 調査を続けた結果、オージス総研は利用者の情報が外部に流出した事実を25日に確認した。一般向けに宅ふぁいる便のサービスを始めた2005年以降に登録した全利用者、約480万人分のメールアドレスとパスワード、生年月日、氏名、性別などを流出させた。480万件には退会した利用者の情報も含まれていた。2012年まで利用者に回答を求めていた居住地の郵便番号などが漏れたことも後に判明した。

 問題を深刻にしたのは、流出したパスワードが暗号化もハッシュ化もしていない平文のままだった点だ。8年前の2011年に起こった「PlayStation Network」事件では約7700万件の個人情報が流出したが、パスワードは復元が困難なハッシュ値に変換していた。

 宅ふぁいる便から流出した情報は平文のため、入手した犯罪者がリスト型攻撃を試み、ネット通販やポイント管理など別のWebサービスに不正ログインされる恐れがある。利用者が宅ふぁいる便に設定したのと同じメールアドレスとパスワードを使っていたら、簡単にログインされてしまう。オージス総研はWebサイトの告知ページや該当者へのメールを通じ、同じパスワードを使っているWebサービスのパスワード変更を呼び掛けた。

 「パスワードを暗号化(やハッシュ化)する必要性は認識していたものの攻撃を防御する対策を優先し、平文での管理のままだった」。オージス総研は日経コンピュータの取材にこう述べた。サービス停止から1ヵ月が過ぎた2019年2月25日時点で、宅ふぁいる便のWebサイトは情報流出に関するメッセージだけを掲載している。サービス再開の見通しは立っていない。

この先は有料会員の登録が必要です。「日経コンピュータ」定期購読者もログインしてお読みいただけます。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら