【1月第5週】「宅ふぁいる便」個人情報漏洩から学ぶ危機管理
1月25日に発覚した「宅ふぁいる便」サーバへの不正アクセスによる顧客情報漏えい問題ですが、その漏えい件数は約480万件といわれています。こうしたサービス母体からの情報漏えいは、ユーザー自身では防ぎきれない事象だけに対策が難しいところです。
「宅ふぁいる便」約480万件の個人情報漏えい
この度、株式会社オージス総研の提供する「宅ふぁいる便」サービスにおいて、不正アクセスによる約480万件の個人情報漏えいが発覚しました。1月22日不審なファイルが同社サーバ内に作成されていることを確認、第三者機関などによる調査ののち、1月25日の午後3時半に顧客情報の漏えいが確認されたといいます。
2019年1月28日(第3報)時点で同社から公表されている漏えいが確定した情報は以下のとおりです。
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません。
併せて同社では、「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまは、ログインパスワードを変更するよう呼びかけています。また、本騒動に便乗した宅ふぁいる便を装うフィッシング等の偽装メールにも十分注意が必要です。
『「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)』
(出典:2019年1月28日 株式会社オージス総研より)
利用サービス母体からの情報漏えいへの対応策は
インターネットなどの各種サービス利用におけるログインパスワードは、複雑なものにすることがよいというのは周知のとおりです。しかし、いくらパスワードを複雑なものしても、今回のような利用しているサービス母体からの情報漏えいではあまり意味はありません。また、利用する他インターネットサービスにおいてすべて同じIDとパスワードを使用している場合は特に危険です。
今回のように不正アクセスで意図的に個人情報が抜き取られた場合、攻撃者は盗んだIDやパスワードが別のサービスで使用できないかを様々な場所で試します。これをリスト型攻撃といい、同じIDやパスワードを使いまわしていると、他のサービスにおいても不正に利用される危険度が高くなります。
利用しているサービスで情報漏えいなど事象が起こった際には、同一ID・パスワードを使用している他サービスにおいて不正利用されていないかを確認のうえ、すぐにパスワードを変更しておくのが良いでしょう。ただここでパスワードの末尾に規則性のある数字や文字をつけて変えるだけとうのも推測されやすいので注意が必要です。それぞれに複雑なパスワードを設定することが望ましいといえます。
>> IT管理のアウトソーシングならシーティーエスにおまかせください
*********
弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
シーティーエス株式会社 ブログ担当スタッフより