2019-02-03 15.01.48
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社オージス総研(大阪ガス100%出資・プライバシーマーク取得済み)は、自社が運営するファイル転送サービス「宅ふぁいる便」の利用者のパスワード(平文のまま)を含む個人情報約480万件が流出したと、1月25日付で発表しました。

流出したのは、利用者の情報で
・2005年以降、会員登録をした会員の氏名、性別、住居の都道府県、生年月日、職業、ログインID(メールアドレス)、パスワード(暗号化していない平文のまま)などの情報 約480万件
・2005年〜2012年の間に、会員が答えた住居の郵便番号、職場の都道府県、職場の郵便番号、家族構成の情報 件数未公表
とのことです。

同社でサービスを全面的に停止し、トップ画面のURLでお詫び文を掲載して、利用者との対応に当たっているようです。

https://www.filesend.to/

(私のコメント)
今回の流出が致命的なのは
・ログインID(メールアドレス)
・パスワード(暗号化していない平文のまま)
がセットになって流出していることです。


メールアドレスとパスワードがセットになっている場合、世の中の人の何割かは同じ組み合わせを他のサービスでも使いまわししていますから、この情報をセットにしてGoogle、Facebook、楽天、Yahoo!などの著名サービスに入れてみると、あれよあれよという間に不正アクセスができてしまいます。480万件流出なら100万件くらいはどれかにログインできてしまうんじゃないかと思います。

そうです。これがパスワード使いまわしによるパスワードリスト攻撃というもので、本Blogでも何回も警鐘を鳴らし続けてきていますが、それが大規模に起こる危険性がまさに「今そこにある危機」となっています。

最大限、警告します。宅ふぁいる便を使ったことがある人で、同じパスワードを他の著名サービスでも使っている人は、今すぐにその著名サービスのパスワードを変更してください。

また、何か情報が入りましたら、皆様にシェアいたしますね。







●週に一回程度、更新情報をお届けします。
こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)