宅ふぁいる便によるパスワード流出で、私達が取れる対策とは

なにがあったのか?

2019年1月25日、宅ふぁいる便に対し、不正アクセスがあり、約480万件の「お客様情報」のデータが外部に漏洩している事が発覚しました。宅ふぁいる便(※プレスリリース)によると、メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地(都道府県のみ)が流出したとのことで、第1報時には「メールアドレス、ログインパスワード、生年月日」の情報が流出したことを確認したそうです。

何が問題なのか?

問題は第3報にて報告されています。記事中では分かりにくいですが、

「宅ふぁいる便」と同一のユーザーID(メールアドレス)、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、ログインパスワードを変更いただきますようお願いいたします。

https://www.filesend.to/index0128.html

このような記載があり、流出したパスワードを”暗号化”して保存していなかった。または暗号→復号することが可能であったと読み取ることができます。

ンターネットでの反応(Togetter)

これらの情報から想定出来るリスク

宅ふぁいる便は、個人法人含め、様々な企業に使われています。当然法人として利用していたユーザーの情報が漏洩した前提で対策を考えたほうが良いでしょう。社内システムのログインに会社のメールアドレスと今回漏洩した宅ふぁいる便で使っているパスワードを使っていた場合、最悪二次被害(社内システムの不正ログインも可能になります)にあってしまうリスクも考えられます。

出来る対策

すぐさま、主要なアカウントのパスワードを変更しましょう。悪質なクラッカーが今回漏洩したメールアドレスとパスワードの組み合わせで、Gmail、Yahooメール、Amazon、楽天、AppleID等主要なサービスですでに大量のログインを試みている可能性もあります。もしこれらのアカウントが乗っ取られてしまったら、更に被害が拡大してしまうかも知れません。

安全なパスワードの管理を

パスワードは可能な限り想定されにくく、また使い回さないように複数持つ事が重要です。今回のように暗号化されていないパスワードが漏洩した場合、複数のパスワードを使い回せば、被害を最小限に抑えることが可能です。パスワード認証に加え、2段階認証を組み合わせる事で、さらなるセキュリティの向上が可能になります。

安全で複雑なパスワードの作成の仕方は以下の記事にも書きましたので、是非ご一読ください。セキュリティエンジニアの考える安全で覚えるのが簡単なパスワードの作り方

Comments are closed