piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

宅ふぁいる便 不正アクセスによる情報漏えいについてまとめてみた

2019年1月24日、オージス総研はファイル共有サービス「宅ふぁいる便」が不正アクセスを受けたことを発表しました。その後の調査では顧客情報が漏えいした恐れがあると25日に明らかにしています。ここでは関連する情報をまとめます。

インシデントタイムライン

日時 出来事
2019年1月13日 送信ファイルの転送ができていない可能性。(23日まで継続)
2019年1月22日 11時頃 オージス総研が「宅ふぁいる便」サーバーに不明なファイル蔵置を確認。
同日 不審なファイルについて社内及びパートナ―企業へ管理状況を照会。
同日 13時頃 関係者から蔵置されたファイルの認識がないと報告。第三者機関とともに詳細な調査を開始。
同日 19時頃 オージス総研が「宅ふぁいる便」サーバーで不審なアクセスログを把握。
2019年1月23日 10時50分頃 情報漏えいの懸念から「宅ふぁいる便」をサービス停止。
2019年1月24日 20時頃 オージス総研が宅ふぁいる便への不正アクセスについて第一報を発表。
2019年1月25日 15時半頃 オージス総研が情報漏えいの事実を確認。
同日夜 オージス総研が記者会見で情報漏えいについて説明。*1
2019年1月26日 2時45分 オージス総研がよくある質問集を掲載。
2019年1月28日 漏えいした対象に特定期間に取得をしていた情報を追加したと発表。

被害状況

  • 類似サービス オフィス宅ふぁいる便への影響
    • 1月24日発表のリリースでは通常通り運用していると記載。
    • FAQで別システムとして運用しているため被害はないと説明。
    • オフィス宅ふぁいる便のパスワードはハッシュ化が行われている。
漏えいした情報の有無
対象 被害の有無 具体的な状況
顧客情報の漏えい 有り 宅ふぁいる便で利用したメールアドレスなど全ての登録者 約480万件の情報漏えいが確定。
過去に退会した利用者も対象となっている可能性がある。
転送されたファイルの漏えい 調査中(1/29時点) 流出は現時点で確認されていない。
ファイルは暗号化されていない。
被害発生箇所と別の場所に保管されている。
漏えいした情報を使ってログインして取得することは可能。*2
クレジットカード情報の漏えい 無し 別会社のサーバーで管理をしているため被害は確認されていない。
漏えいした顧客情報

漏えいが確定したのは次の約480万件の情報。

第一報で漏えい確定 メールアドレス
ログインパスワード(平文)
生年月日
第二報で漏えい確定 氏名
性別
業種・職種
居住地(都道府県のみ)
第三報で漏えい確定 氏名(ふりがな)
メールアドレス2
メールアドレス3
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者
子供
  • オージス総研は発表時点で漏えいした情報の具体的な被害は確認していない。
  • 「居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供」は2005年〜2012年の間に収集していた。
  • 退会済利用者の情報が残っていたのは問い合わせに備えるため。
  • 約480万件の内訳は公表していない。
  • ログインパスワードを平文で保持しており、それが漏えいした。
  • 暗号化していなかった理由はサービス規模と資源に起因。計画はあったとオージス総研は取材に回答。((「宅ふぁいる便」約480万件の個人情報漏えい…パスワードを“暗号化”していなかった理由を聞いた,FNN PRIME,2019年1月29日))

Q15. パスワードは暗号化されていなかったのか?
A. 流出したログインパスワードは、暗号化されておりませんでした。
なりすましによる被害が想定されますので、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、他のウェブサービスのログインパスワードを変更いただきますよう重ねてお願いいたします。

その他漏えい対象か調査中とみられる情報


ビジネスプラスの画面、2019年1月のアーカイブより。

  • ファイルダウンロード用URL
  • 300件登録可能なアドレスブック
  • 過去1年分の送信履歴
    • 送信先アドレス
    • 預かり期限
    • 送信ファイル名
    • ダウンロード時間


不正アクセスに関する情報

  • 一部のサーバーが被害を受けた。不正アクセスは海外から行われていた可能性が高い。*3
  • 2019年1月13日からとした理由は宅ふぁいる便内のファイル保管期間によるもの。ビジネスプラスは10日間ファイルが保存される。*4

宅ふぁいる便の利用状況

  • 1999年6月より一般向けに開始したサービス。
  • 1年あたり約7,000万件の利用が行われている。
  • 2019年現在、無料会員約330万人、有料会員約2万人が利用。
  • 2016年当時の掲載情報では脆弱性診断を外部の審査機関を通じて定期的に実施していた。

更新履歴

  • 2019年1月26日 AM 新規作成
  • 2019年1月27日 AM 続報追記
  • 2019年1月28日 PM 続報追記
  • 2019年1月31日 AM 続報追記