piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2019年1月13日 送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日9時38分頃 オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日 11時頃 不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃 関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃 オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
同日 19字45分頃 攻撃元のIPアドレスからの接続を遮断。
2019年1月23日 10時50分頃 情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月23日 14時44分頃 外部セキュリティ専門事業者による調査を開始
2019年1月24日 20時10分頃 オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時30分頃頃 オージス総研が情報漏えいの事実を確認。
同日 19時頃 オージス総研が記者会見で情報漏えいについて説明。*1
2019年1月26日 2時50分頃 オージス総研がよくある質問集を掲載。
2019年1月26日 3時22分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを送付
2019年1月26日 9時頃 電話、メールによる顧客対応を開始
2019年1月28日 13時頃 漏えいした対象に特定期間に取得をしていた情報を追加したと発表。
2019年1月28日 15時58分頃 ユーザーに対してお詫びとパスワード変更のお願いのメールを再度送付
2019年1月29日 18時30分頃 ビジネスプラスのユーザーに対して利用料請求停止のお知らせメールを送付
2019年3月14日 当面の休止と詳細調査の結果など第4報を発表。

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • FAQで別システムとして運用しているため被害はないと説明。
    • オフィス宅ふぁいる便のパスワードはハッシュ化が行われている。
漏えいした情報の有無
対象 被害の有無 具体的な状況
顧客情報の漏えい 有り 宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
過去に退会した利用者も対象となっている可能性がある。
転送されたファイルの漏えい 調査中(1/29時点) 流出は現時点で確認されていない。
ファイルは暗号化されていない。
被害発生箇所と別の場所に保管されている。
漏えいした情報を使ってログインして取得することは可能。*2
クレジットカード情報の漏えい 無し 別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

漏えいが確定したのは次の481万5,399件の情報。

ビジネスプラス会員(有料会員) 2万2,569件※
プレミアム会員(無料会員) 475万329件※
退会者 4万2,501件
合計 481万5,399件

※連絡が届かなかった件数134万8,361件を含む

流出した項目は次の通り。

第一報で漏えい確定 メールアドレス
ログインパスワード(平文)
生年月日
第二報で漏えい確定 氏名
性別
業種・職種
居住地(都道府県のみ)
第三報で漏えい確定 氏名(ふりがな)
メールアドレス2
メールアドレス3
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者
子供
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 「居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供」は2005年〜2012年の間に収集していた。
  • 退会済利用者の情報が残っていたのは問い合わせに備えるため。
  • ログインパスワードを平文で保持しており、それが漏えいした。
  • 暗号化していなかった理由はサービス規模と資源に起因。計画はあったとオージス総研は取材に回答。((「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた,FNN PRIME,2019年1月29日))

Q15. パスワードは暗号化されていなかったのか?
A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。

その他漏えい対象か調査中とみられる情報


ビジネスプラスの画面、2019年1月のアーカイブより。

  • ファイルダウンロード用URL
  • 300件登録可能なアドレスブック
  • 過去1年分の送信履歴
    • 送信先アドレス
    • 預かり期限
    • 送信ファイル名
    • ダウンロード時間


不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*3
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*4
  • オージス総研はセキュリティ対策上、類似の被害を防止という名目で詳細な手口を開示しない方針とした。*5

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。
  • 2016年当時の掲載情報では脆弱性診断を外部の審査機関を通じて定期的に実施していた。

更新履歴

  • 2019年1月26日 AM 新規作成
  • 2019年1月27日 AM 続報追記
  • 2019年1月28日 PM 続報追記
  • 2019年1月31日 AM 続報追記
  • 2019年3月15日 PM 続報追記