ITmedia NEWS > セキュリティ >
ニュース
» 2019年02月22日 07時00分 公開

なぜ、宅ふぁいる便は「暗号化」していなかったのか (1/3)

「宅ふぁいる便」が1月に不正アクセスを受け、約480万件の顧客情報が漏えい。パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいる。なぜ、暗号化していなかったのかを考察。

[高橋睦美,ITmedia]

 大阪ガスの子会社であるオージス総研が提供してきたファイル転送サービス「宅ふぁいる便」が1月に不正アクセスを受け、利用者のメールアドレスとパスワード、約480万件が漏えいしたことが明らかになりました。

 「外部からの不正アクセスによる情報漏えい」だけならば、そう珍しいことではありません。けれどこの一件では、パスワードが「暗号化」も「ハッシュ化」もされていなかったことが分かり、波紋を呼んでいます。このデータを手に入れた誰かが、わざわざデータを復号しなくても、そのまますぐに悪用できるからです。

photo 「宅ふぁいる便」公式サイトより

 既にあちこちで報じられていることから対応済みの方も多いと思いますが、もし宅ふぁいる便で使っていたものと同じパスワードを他のサービスでも使い回していた場合、速やかに変更する必要があります。

「なぜ、暗号化していなかったのか」を考察

 さて、この一件では、「今どき、パスワードを暗号化せず、平文のまま保存しているなんてあり得ない」という声が目立ちました。そう、パスワードの使い回しを見越して仕掛けられる「パスワードリスト攻撃」が決して珍しくない今、常識に照らせば、あり得ないことです。

 でも、10年前、20年前はどうだったでしょうか。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.