■ このスレッドは過去ログ倉庫に格納されています
顧客情報480万件流出の「宅ふぁいる便」がヤバすぎる パスワードを生データのまま保管していた模様 [579384507]
- 1 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:01:40.53 ID:nm/QhT6AM.net ?2BP(1000)
- http://img.2ch.net/ico/araebi.gif
宅ふぁいる便の利用実態把握出来ていますか?480万件のPW含む個人情報が平文で流出
2019年1月25日、国内ファイル共有サービスで高い利用率を誇る「宅ふぁいる便」が不正アクセスの被害を受け、
サービス提供元で有るオージス総研は480万件を超える情報漏洩が発生した可能性が有ると発表した。
宅ファイル便は無料で利用できる「宅ふぁいる便」と、有料サービスの「宅ファイル便プレミアム」「宅ふぁいる便ビジネスプラス」が有り、
今回全てのプランが不正アクセス被害の対象となっている。なお、類似サービスの「オフィス宅ふぁいる便」は今回の不正アクセスの影響を受けていない。
現在不正アクセス被害を受けたサービスは停止中で有り、2019年1月28日23時時点では復旧の目途は立っていない。
企業の情報システム管理者は今回の「宅ふぁいる便」の不正アクセスについて、単なる1サービス事業者の不正アクセス被害と軽く受け止めるべきでは無い。
まずは自社のプロキシサーバのアクセスログ等を調査し、自社の社員が「宅ふぁいる便」を「無断で利用していなかったか?」を調査し、利用実態を把握すべきと考える。
そして利用者が確認出来た場合には、その利用者が「宅ふぁいる便」で利用しているID/PWを他で使いまわしていないかを確認し、
使いまわしていた場合には即座に変更させるべきで有る。
■情報漏洩の影響範囲
現在、情報漏えいが確認された内容について以下に記載する。
1.現時点で漏洩が確定したお客さま情報 (下線部分は新たに漏洩が確定した情報)
(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
・氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年〜2012年の期間でのみ、お客さまに回答いただいていた情報
・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
出典:出典:「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
※発表内容には、保存されていたファイルが被害に有ったかは明記されていない。
また、同発表のFAQによれば、今回流出した同サービスのパスワードは暗号化されておらず、
同サービスの利用者が「宅ふぁいる便」と共通のID/PWを使いまわしている場合には、すみやかに変更するようアナウンスしている。
■セキュリティリスクの高い「宅ふぁいる便」
筆者が普段利用しているクラウドのリスクアセスメントに利用するCASBというツールを用いると、無料で利用可能な「宅ふぁいる便」は「ハイリスク」に分類される。
ハイリスクに分類される主要な理由は以下の点で有る。
保存されているデータが暗号化されていない
ISO27001等の情報セキュリティに関する認証を取得していない
利用者が各種監査ログを参照出来ない
保存データが暗号化されていないため、もし「宅ふぁいる便」に保管されているデータをサイバー攻撃者が入手した場合には、中身を容易に盗み見られる可能性が有る。
また、不正アクセスの被害状況を調べようにも監査ログを参照する機能は提供されていない。もっとも無料で利用可能なサービスなので、
利用する側はこういったリスクを理解した上で利用しなければならないが、殆ど理解されないまま利用されているのが実態だろう。
また、オージス総研はFAQに以下の記載をしている。
Q3. 過去に会員登録したことがあるが、漏洩対象となっているのか?
A. 退会済であっても過去に会員登録したことがある方については漏洩対象になっている可能性があります。
この回答から読み取れることは「利用者情報が削除されていない」ということで有る。過去に「宅ふぁいる便」を利用していたけれども、
既に退会した人の情報までもが「暗号化」されていない状態で保持され続けていたということだ。
クラウドサービスで見過ごされがちなセキュリティリスクとして、サービス退会後のアカウントやデータ削除をサービス提供者が実施しているか?という観点が有るが、
「宅ふぁいる便」は退会者の情報が削除されていなかったことが今回の件で明らかになった。
https://news.yahoo.co.jp/byline/ohmototakashi/20190129-00112784/
- 2 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:03:23.33 ID:gCQ00pn/0.net
- 困るのは送った相手の生メアドも漏れてること
- 3 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:04:38.79 ID:od7p+B3X0.net
- こんなサービスあったの初めて知った
- 4 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:06:04.63 ID:/4k3Y4khd.net
- ヤバすぎて草
流石ジャップランドのITサービス
- 5 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:06:30.80 ID:jbSVBn1P0.net
- ウチも生保存だわ
RDSだからへーきへーきって先輩が言ってる
- 6 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:07:55.74 ID:DuJhy3Zmd.net
- 退会させろや糞が
- 7 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:11:59.98 ID:whWew52Ar.net
- >>3
メールで添付出来ないときに重宝した
- 8 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:12:07.48 ID:Oj5skx/1M.net
- フリーは会員制じゃないからID/PWなんぞ存在しないだろ。
アップ後のURL漏れたんかな。
- 9 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:13:50.37 ID:H135Fd9G0.net
- いやああああああもれりゅううううううう
- 10 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:16:50.88 ID:yFan1L6OM.net
- 探偵ファイル最低だな
- 11 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:19:14.86 ID:U3TbuOWU0.net
- ソルトストレッチぐらいやっておけばいいのに
- 12 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:21:32.31 ID:HwXZbAFz0.net
- >不正アクセスの被害を受け
(。´・ω・)? 被害者ぶってるの?お前の不始末、犯した罪なんやで
- 13 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:33:54.50 ID:5vZ1ibKUa.net
- パスワード暗号化はマナー違反だから
- 14 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:36:32.24 ID:OMKueJL50.net
- 会社同士で専用のFTPサーバーが安全なのか
無料でセキュリティ高いのある?
- 15 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 08:37:09.37 ID:wn11gDHE0.net
- 生で保存していいのは
非公開の社内システムまでだよね
- 16 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:08:35.03 ID:uaq/GzALM.net
- だから日本のサービスはゴミなんだよ
- 17 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:19:28.66 ID:gpfgqR0c0.net
- >A. 退会済であっても
>過去に会員登録したことがある方については漏洩対象になっている可能性があります。
>この回答から読み取れることは「利用者情報が削除されていない」というこ
ジャァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァァップ
EUの個人情報保護にひっかかるぞ
ヨーロッパに出荷してるような会社はこんなサービス使ってないよね?
- 18 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:21:40.07 ID:gpfgqR0c0.net
- https://www.ogis-ri.co.jp/pickup/takufile/index.html
いまだにのうのうと営業しているのがすごいな
バカにしてんのかこいつら
- 19 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:24:32.09 ID:Xou0tjc/d.net
- まあ、セキュリティ担当大臣があんなだし
国民はバカだし
当然の結果だわな
- 20 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:25:21.26 ID:crFtgh0s0.net
- これ海外なら集団訴訟されて何百億とか賠償するレベルだよね?
- 21 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:25:28.20 ID:HSZNgJlo0.net
- これ企業戦々恐々だろうな
かなりヤバいデータもあるはず
- 22 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:26:54.54 ID:omqJEfmu0.net
- ワロタ
- 23 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:29:38.70 ID:/PiAU5ugd.net
- ありえねーな
文字列比較だけなら不可逆暗号が常識なのに
- 24 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:30:47.10 ID:Mv+AGpVo0.net
- 何時代のシステムだよ
しかも消してなかったていう
- 25 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:31:10.67 ID:aMybe60F0.net
- ネトウヨ「日本人は優秀な民族!」
- 26 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:31:59.21 ID:xXKSksDdr.net
- 大分前からあるよなこれ
今時生で保存てw
- 27 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:33:05.08 ID:gpfgqR0c0.net
- >>21
むかしつとめてた会社は欠陥品をゴネて客先責任にして賠償のがれしてたけど
これを使ってた
- 28 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:34:02.37 ID:F95cYy420.net
- PW暗号化してなかったのw
- 29 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:34:20.28 ID:WuE/IIvQ0.net
- ジャップのサービス使った罰
- 30 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:34:34.54 ID:gpfgqR0c0.net
- >>20
EUの一般データ保護規則に違反してるから
これ使って欧州と取引してる会社はものすごいリスク
- 31 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:34:44.59 ID:ENnff4Tp0.net
- ジャップはファーストサーバの事件も忘れちゃうぐらいだしな
- 32 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:35:53.28 ID:GnaPDoGm0.net
- user.csv
- 33 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:38:28.53 ID:6I2+fjOqH.net
- 海外の会社はセキュリティ的にNGだからとか言ってこれを使ってた会社があったなぁ…結構でかいところ
- 34 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 09:56:21.85 ID:OQ4cspr80.net
- こまるような個人情報登録してるやついねーだろ、こんなん
- 35 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:04:52.51 ID:Es868+lUr.net
- うちのシステムは安全です!って書いてあったんだよな
- 36 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:07:06.05 ID:IuBcC+PY0.net
- 情報漏洩対象者に500円配れよ
- 37 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:09:53.70 ID:aMBJ+qPK0.net
- 誰もが知ってる企業が使ってるわ
少なくとも去年までは使ってるあーあ
- 38 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:12:34.68 ID:N3nsZPeK0.net
- これ、この手の国内サービスの老舗だよな
2005年以降ってやばすぎ
- 39 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:16:09.49 ID:qV1tuz+sd.net
- 1回だけ使った記憶あるけど前の会社のメアドとかだからまぁいいか
パスワードもパスワードパスワードでやってただろうし
なお皆様におかれましてはこのまとめアフィブログの広告やアドセンスのクリックをお願い申し上げます
- 40 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:17:30.07 ID:QG51q+in0.net
- >>2
笑ってる場合じゃなかった・・
- 41 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:17:39.32 ID:+yuhCN9l0.net
- パスワードを平文で保存
- 42 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:19:24.34 ID:XqZBtIxNp.net
- 結構酷い流出だな
500円貰って終わりじゃ収まらんだろ
- 43 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:19:40.19 ID:Ohw18/R3a.net
- 潰れて逃げ切るだろうけど
この手のベンチャーは気をつけるしかない
- 44 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:25:12.82 ID:9mAC4/+Ba.net
- よくわかんないんだけど
どういう要件でパスワードをハッシュ化せずにDBに保存するの?
よしんばサーバーで暗号化と圧縮を代行するとして保存する必要ないのでは?
最初から中身を盗もうとしてるから平文で保存してるんじゃないの?
- 45 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:25:50.37 ID:xnWtvSt6M.net
- クレカ情報、セキュリティコードまで平文で保存していた2chレベルじゃねーか
- 46 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:28:07.96 ID:wn11gDHE0.net
- ジャップのWeb系のサービスはつかったらだめ
- 47 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:32:38.90 ID:pKd+BfZNM.net
- これ歴史上わりとすごいヤバい部類だと思うけどあまり盛り上がってないよね
- 48 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:33:29.69 ID:7uyFG2zu0.net
- 動いているからヨシ!そのままじゃねーか
- 49 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:38:32.17 ID:wn11gDHE0.net
- >>47
ファーストサーバのときならそうなったかもだけど
IT系いがいも含めるともっとすさまじいことが沢山ありすぎて
感覚が麻痺してるんだよ
工業メーカーのデータ不正とか公文書改竄とか
秒速アウトプットとか
- 50 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:43:30.13 ID:QJK3sAUn0.net
- 近年まれに見る超特大ブーメラン
https://i.imgur.com/2zZG5xC.jpg
- 51 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 10:48:57.16 ID:1qEmepj60.net
- ごめんで済んだら警察いらんねん
- 52 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:07:47.03 ID:Gg6B3ZgOM.net
- ジャップは何を考えてるの
- 53 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:09:11.57 ID:6rloz37C0.net
- 日本産のwebサービスを避けることが最大のリスクマネジメントだね
- 54 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:09:27.47 ID:IVvIfx3u0.net
- さすが日本のサービス
- 55 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:11:48.49 ID:IVvIfx3u0.net
- クラウドのデータ消滅って事件もあったな
日本のウェブサービスはほんとめっちゃくちゃ
大手企業でも頻繁に流出事故を起こしている。
GoogleAppsとかへの委託すりゃいいじゃんと言うと
「外部委託は危険だ!」と言って、自社で管理しようとする。
日本人が自前管理するほど危険なことはないのに
- 56 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:14:34.24 ID:lCwqrxEd0.net
- >>47
何年もの政策決定に大きく寄与する情報を完全に無に帰した役所もあるんだからこのくらいしゃーなしよ!ドンマイドンマイ!
- 57 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:22:31.14 ID:s70p7k1q0.net
- 個人利用でメアド、パスワード使いまわしてたら影響甚大じゃないの?
アマゾンや楽天だと勝手に注文できるよね?
- 58 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 11:36:28.66 ID:7mrpXHLr0.net
- >>53
ほんとこれ
日本でまともなwebサービスはない
なんでこんな無能なんだってレベルでない
- 59 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 13:19:18.65 ID:CLvD5ef7aNIKU.net
- 普通にそのままリスト型に使われるだろ
- 60 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 13:31:50.61 ID:2ocl/h370NIKU.net
- パスの使い回しなんてありえん
する方が悪い
- 61 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 14:13:35.35 ID:JBTBxSSg0NIKU.net
- パスワード覚えてないから全て変えるしかないなこのやろう
- 62 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 14:17:19.43 ID:fnmTGxIY0NIKU.net
- ずいぶん前に使ってたからどうだったか忘れたけど
金かかるサービス使ってなかったら流出したところでメルアドぐらい?
- 63 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 14:53:24.04 ID:KYRIGHImdNIKU.net
- メアドに紐付いてるパスワード他でも使ってたらクソ面倒だな
ネット通販系でも使ってたらクレカ情報もう抜かれてるかも
- 64 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 15:03:52.46 ID:s70p7k1q0NIKU.net
- 今までにこんなにあからさまにメアドとパスワードがセットで漏れたってこと有る?
俺は長くここは使ってないのでパスワードが何だったかさえ覚えてない。
いや〜な気分だ。
- 65 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 15:16:13.13 ID:C6hvUVMt0NIKU.net
- ペットボトルを机に置いてください。出来たらあなたは合格です。
http://soloz.lnbphoto.net/godi/9xnny98q
- 66 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 15:22:06.45 ID:rSEa6wI/0NIKU.net
- 情弱しか使わなそうなサイトやな
- 67 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:43:53.48 ID:X7GQEsYK0NIKU.net
- ひ、ひらふみ…
- 68 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 18:57:49.12 ID:ZZvAH2//0NIKU.net
- 大阪の会社ってこんなもんやで
会社を傾かせるくらいにITへの投資をけちる
東京の企業はケチケチしながらも危機感くらいは持ってるのに
- 69 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 19:04:35.18 ID:d0kPO2He0NIKU.net
- 日本企業よりまだMEGAのが信用できるわ
- 70 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 19:11:04.57 ID:EYbHGu65MNIKU.net
- メアドに紐付いてたら終わりやな
- 71 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 19:12:02.81 ID:7vLGQKNg0NIKU.net
- >>50
ワロタ
- 72 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 19:22:42.85 ID:GviTu9+n0NIKU.net
- SIerとはいえ大手だから作るのは子会社か下請けかだろうな
社員はツーブロ黒光りゴリラウェイみたいなやつばかりでまともに仕様を出せるやつがいなかったから一番安い方法で納品されたんだな
- 73 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 19:34:26.35 ID:HCnOZso70NIKU.net
- 最後に使ったのいつか覚えてねえわ
メルマガだけしつこく送ってくる
- 74 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 22:29:02.58 ID:ZZvAH2//0NIKU.net
- この大阪ガス子会社に限らず大阪にはITの品質管理への投資を軽視する風潮が蔓延している
ケチが美徳とされるためだけどこういう事故が起きるのも時間の問題だった
- 75 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/29(火) 23:46:06.43 ID:dpinFs4j0NIKU.net
- ほとんど何もかも漏れててワロタ。
オージス総研って有名どころじゃねえか。
- 76 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 00:44:59.00 ID:rErkg1pD0.net
- これ、やばない?
ちゃんとしてない会社だと
結構このサービス使ってそうだし
- 77 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 00:50:11.69 ID:lz+v0Odv0.net
- ジャップを信用して大切なもの預けたり管理させてる奴はアホ
- 78 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 01:49:27.65 ID:y63vA4pe0.net
- ていうか日本の大企業ってIT環境笑っちゃう位クソなとこ多いよな
誰もが知ってる業界トップの一角の会社が1メール4MB制限とかバカじゃね〜って思ったわ
- 79 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 06:15:28.54 ID:VnEbK0XIM.net
- ないわー
- 80 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 06:17:20.24 ID:T19AdZC50.net
- >>43
ベンチャーじゃない
大阪ガスだぞ
- 81 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 07:24:18.85 ID:djDRk179p.net
- >>78
メール爆弾って知ってる?
- 82 :番組の途中ですがアフィサイトへの\(^o^)/です :2019/01/30(水) 08:08:08.72 ID:eDg/e2ye0.net
- 大阪ガスってめちゃくちゃ関西ローカルでCM流しまくってるよな
関西電力よりも目につく
そんなところに金をつぎ込んで品質管理にはつぎ込んでないのかよ
ITにセキュリティ事故を起こさないための品質管理ってあるんやで
総レス数 82
20 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200