480万件流出の「宅ふぁいる便」不正アクセス、郵便番号など漏えい情報を新たに追加フィッシングなどの偽装メールにも注意を

「宅ふぁいる便」の不正アクセスについて、オージス総研が第3報を発表。新たに居住地や勤務先の郵便番号や、配偶者や子供の有無といった情報についても、漏えいが確認されたという。

» 2019年01月28日 14時00分 公開
[ITmedia]
photo 「宅ふぁいる便」の不正アクセスで新たに漏えいが確定した情報

 大容量ファイル送信サービス「宅ふぁいる便」の一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したインシデントで、オージス総研は1月28日に第3報を公表。漏えいしたデータについて、新たに郵便番号などの情報が含まれていたと発表した。

 同社が第2報までで流出したと発表していたのは、ログイン用のメールアドレスとパスワード、氏名、生年月日、性別、業種・職種、居住地(都道府県のみ)。第3報ではこれに加え、ログイン用とは別のメールアドレスのデータ(ダウンロードやファイル開封の通知先として、任意で登録)や、職業ジャンルといった情報が加わった。

 さらに、2005年から2012年の期間で同社が収集していた「居住地の郵便番号」「勤務先の都道府県名」「勤務先の郵便番号」「配偶者や子供の有無」についても漏えいが確認された。情報が漏えいしたユーザーの総数に変化はないという。

 流出したログインパスワードは暗号化処理が施されておらず、なりすましによる被害が想定される。同社は、宅ふぁいる便と同じメールアドレスやパスワードを利用しているサービスがあれば、パスワードを変更するようユーザーに求めた。

 また、同社は情報が漏えいしたユーザーに個別にメールで連絡していたが、宅ふぁいる便を装うフィッシングなどの偽装メールも予想されることから、「宅ふぁいる便に登録されたユーザーの会員情報の提供、パスワードの再発行、口座番号の確認などを求めるメールが来ても、絶対に対応しないでほしい」と呼び掛けている。


 今回の不正アクセスは、1月22日の午前11時に同社が認識していないファイルがサーバ内に作成されていることを確認し、午後1時に第三者機関を含めた調査を開始。同日の午後7時にサーバ内に不審なアクセスログを発見し、翌23日の午前10時50分にサービスを停止した。そして、1月25日の午後3時半に顧客情報の漏えいが確認されたという。

 同サービスの復旧のめどはたっていない一方で、法人向けの「オフィス宅ふぁいる便」については、「別のシステムで運用しているため、不正アクセスの影響はない」としており、サービスを継続している。

関連キーワード

宅ふぁいる便 | 不正アクセス


Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ