問題の概要
宅ふぁいる便の情報流出がニュースになっています。
大阪ガス子会社のオージス総研(大阪市)は25日、大容量ファイル転送サービス「宅ふぁいる便」で一部サーバーが不正アクセスを受け、全登録ユーザー数に相当する480万件の顧客情報が流出したと発表した。ログインに必要な利用者のメールアドレスやパスワード、生年月日などの情報が漏洩した。
今わかっている情報をまとめます。
問題の概要については以下の通り、公式ホームページに記載されています。
「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
2019年1月25日
「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、約480万件のお客さま情報のデータが外部に漏洩したことを確認いたしました。
ご利用の皆さまに多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。
なお、現時点で具体的な被害は確認されておりませんが、引き続き第三者を含めた調査を行っており、詳細が判明次第、改めてお知らせいたします。
1.漏洩したお客さま情報
(1)内容
・「宅ふぁいる便」のお客さま情報
・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ) ※アンダーラインは漏洩が確定した情報(2)件数
約480万件
2.経緯、原因
・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員およびパートナー企業に確認。
・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。
・1月22日19時、「宅ふぁいる便」サーバー内に不審なアクセスログを確認。
・1月23日10時50分、情報漏洩などの被害防止のため「宅ふぁいる便」のサービスを停止。
・1月24日20時、当社ウェブサイトにて「『宅ふぁいる便』サービスの一時停止に関するお知らせとお詫び(第一報)」を掲載。
・1月25日15時30分、お客さま情報の漏洩を確認。
3.お客さまへのお願い
・「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、ログインパスワードを変更いただきますようお願いいたします。
・1月13日から1月23日まで、「宅ふぁいる便」のサービスをご利用いただいたお客さまにおかれましては、送信されたファイルをお届けできていない可能性がありますので、ご確認をお願いいたします。
お客さまの大切な情報が漏洩する事態となり、大変なご迷惑、ご心配をおかけすることになりましたことを重ねてお詫び申し上げます。
4.宅ふぁいる便のサービス再開について
現時点で、サービス再開の目途は立っておりません。以上
<本件に関するお問い合わせ先>
株式会社オージス総研 専用受付 06-6584-0097
(土日祝含む 9:00~17:45)
お問い合わせメールアドレス :bs_inquiry_takufile@ogis-ri.co.jp
今回の問題範囲について
上記報告では不明な部分を追記します。
宅ファイル便ですが、有料の法人用と個人用があります。
https://www.ogis-ri.co.jp/pickup/takufile/
このうち、個人向けの2つのサービス「宅ファイル便ビジネスプラス」「宅ファイル便」が影響を受けていると思われます。上記の”詳しく見る"というリンクの先は、現在報告書へのリンクとなっています。
有料のビジネスプラスには当然、メールアドレスやパスワードを使って会員登録が必要ですのでこれが流出したと思われます。
また、無料の宅ふぁいる便については2通りあります。プレミアム会員と言って会員登録をする方法が1つ。もう一つは会員登録なしで利用する方法です。方法は下記が詳しく掲載されています。
このように、プレミアム会員ではなく、会員登録なしで利用されていた方にとっては何の影響もないと思われます。
つまり、
・「宅ファイル便ビジネスプラス」会員
・「宅ふぁいる便」のプレミアム会員
これらの、メールアドレス、ログインパスワード、生年月日が、退会された方を含めて流出したと考えられます。
データそのものの流出は今のところ検出されておらず、調査が続いているとのことです。ただ、ファイルのダウンロード方法については、認証無しのURLからのダウンロードです。ということはWEBサーバーのアクセスログがあればダウンロードURLがわかってしまうことになると思います。ファイルは3日で消えるようですが。このあたりの詳しい情報についてはいずれ調査結果が出てくるものと思います。
宅ファイル便の歴史
歴史を掲載しておきます。
1999年06月
「宅ふぁいる便」誕生!2000年頃
専用宅ふぁいる便(終了済)2003年頃
クール宅ふぁいる便(終了済)2005年04月
「宅ふぁいる便」事業化2005年05月
メルマガ発行開始2006年03月
会員数30万人突破!2006年07月
オフィス宅ふぁいる便2006年頃
宅ふぁいる便リサーチ2007年06月
宅ふぁいる便プレミアム2007年12月
会員数100万人突破!2008年01月
宅ふぁいる便ポイント2008年08月
「ソニンの明日に生きる言葉」書籍化2009年12月
ファイル再送信、削除機能2009年12月
「ギャザ朗」開始(終了済)2009年12月
「にんげんラブラブ交叉点」書籍化2011年03月
有料版「ビジネスプラス」2011年04月
会員数200万人突破!2011年11月
メルマガ&WEB連載「座布団エレジー」書籍化2012年06月
送信容量300MBに拡大!2012年06月
有料版の送信容量2GBに拡大2012年06月
デスクトッププラス2012年10月
ドラッグ&ドロップ対応2012年11月
宅ふぁいる便 for iPhone2013年01月
宅ふぁいる便 for iPad2013年02月
会員数250万人突破!2013年02月
WEB連載「ことわざ野球大喜利」書籍化2013年03月
ウィルスチェック機能2013年03月
簡易アップロード2014年03月
ファイル圧縮機能2014年08月
ダウンロード回数を無制限化2014年08月
Androidでの送受信に対応2015年02月
MacOS版「デスクトッププラス」2015年02月
有料版の送信容量が5GBに2015年03月
メルマガ&WEB連載「大人のお悩み教室」書籍化2015年03月
iPhoneアプリ「圧縮おたの助」2015年07月
一括ダウンロード機能2015年07月
会員数300万人突破!
かなり古参のサービスですね。
追記(2019/1/28)
報告書が随時更新されています。
追記(2019/1/29 9:48)
本件、パスワードを暗号化せずに保管していたことが話題となっています。
https://www.filesend.to/faq.html
パスワードの暗号化はセキュアプログラミングの観点において常識となっています。
機密情報を格納する必要がある場合は、まず暗号化する。
追記(2019/1/29 21:00)
プライバシーマークについて気になったので調べておきました。
補足
新しい情報がありましたら追記、修正いたします。