今月1/
人生の駆け出し冒険家パスコーです。
私は…個人情報の漏洩対象です。
2005年から今までの間に宅ふぁいる便の使用経験があります。
このまま宅ふぁいる便の動向を待っている間にも私の個人情報が不正にアクセスされるリスクが高まり続けている。
今すぐパスワード変更しなければならない!
- お伝えしたいこと
- 宅ファイル便情報漏洩の経緯
- 情報漏洩が確定した情報
- 宅ファイル便の運営はどこ?
- オージス総研の個人情報取扱方針
- 個人情報は適切に対策がされていたんじゃ?
- 犯人探しより私達は対策を.
- 総務省はパスワード変更要らないって…
- 今後、パスワードの管理はどうするの?
お伝えしたいこと
- パスワードを今すぐ変更しましょう。
- 総務省のパスワード見解を正しく理解しましょう。
宅ファイル便情報漏洩の経緯
まずは情報漏洩事件を時系列に整理して確認します。
1/22 海外からの不正アクセス発見
1/23 サービス停止
1/25 480万件の情報漏洩確認
1/28 新たな条法漏洩発覚
1/29 16時時点では2次被害は出ていないとのこと
情報漏洩が確定した情報
(1)2005年以降、全期間共通
氏名(ふりがな)
ログイン用メールアドレス
ログインパスワード
生年月日
性別
職業
業種
職種
※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~ 2012年の期間のみ対象の情報
居住地の郵便番号
勤務先の都道府県名
勤務先の郵便番号
配偶者※
子供※
※該当する選択肢番号を選ぶ形式のため、
具体的な職業・業種・職種、配偶者や子供の有無は明記なし
個人情報保護法では、氏名だけでも個人情報として定義されていますので、
宅ファイル便の運営はどこ?
オージス総研が開発し、Daigas(要は大阪ガス)グループとして運営を続けていると記載されています。
今回、宅ふぁいる便のサイトにおいて、問い合わせ先にオージス総研の名前があることから事実上はオージス総研が鍵を握った状態で運営していると考えてもよいでしょう。
オージス総研の個人情報取扱方針
どのようなものだったのでしょうか。
オージス総研では、個人情報を取り扱う会社の多くが情報を適切に取扱うことを第3社に示すべく取得しているPマークを取得(定期的な監査・更新があります)しています。
WEBサイトには「特定個人情報」の取扱い という項目があります。
「
全文を読みたい方は、これを機会に読んでみてください。
法令やガイドラインを遵守すること、
個人情報は適切に対策がされていたんじゃ?
今回、流出してしまったパスワード情報には暗号化がされていなかった。
パスワードだけなのか?と気になり調べたところ、パスワードに限らず全ての個人情報が暗号化されていなかった。
つまり、これまで述べてきた個人情報は全て手にとることさえできれば生データが閲覧できる形で漏洩してしまった。
暗号化については総務省が運営するサイトに分かりやすい絵があるのでご紹介します。
引用:http://www.soumu.go.jp/
main_sosiki/joho_tsusin/ security/basic/structure/02. html ※このWEBサイトへの通信は何故か暗号(SSL)化されていない
暗号化を行うと元のデータが何かわからない状態になります。
つまり、他人に見られてはいけないデータは暗号化が必須です。
この暗号化処理がされていなかったということは、見たら分かる状態のまま保管されていたということ。
しかも今回は、外部から不正にアクセスできる状態になっていました。
例えるならば、社員およびその家族の個人情報を記した紙の書類がオフィスの本棚にキングファイルで保存されているような状態に近いと言えます。
手に取ることができれば見れるし持ち帰ることもできる状態であっ
それはまずいですよね。当然。
犯人探しより私達は対策を.
オージス総研含むDaigasグループの今後の対応には注視しておきたいです。
なのですが、我々が今一番すべきことは
パスワードの見直しと早急な変更です。
最悪のケースを想定すると2005年移行に使った可能性のあるパスワードは一旦全て破棄して新しいパスワードに移行すべきタイミングです。
総務省はパスワード変更要らないって…
昨年、総務省の発表によりパスワードの定期変更が必要か不要かという議論がありました。
いいえ。
> なお、利用するサービスによっては、
パスワードを定期的に変更することを求められることもありますが、 実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、 パスワードを変更する必要はありません。 引用:http://www.soumu.go.jp/
main_sosiki/joho_tsusin/ security/business/staff/01. html
今回は総務省がパスワードを変更する対象として発表しているもの
上記の議論はともかく、
パスワード変更の検討が必要となっています。
今こそ、これまでにない新しいパスワードを考え、各サービスのパスワードを変更して回りましょう
特にお金の決済が関係するものは抜け漏れなく対応しましょう。
私達のことは、私達自身で守らなければなりません。
今後、パスワードの管理はどうするの?
結局、インターネット上の各サービスで利用しているパスワードが宅ふぁいる便のように情報漏洩してしまうことがあるわけです。
そう思うと、自分自身で守らなければならないですね。
昔のようにPC周辺に紙の付箋を貼るわけにもいきません。
ではどうするか。
セキュリティ会社のコンサルタントをしている同級生に久しぶりに電話で会話していたところ、次のような気付きがありました。
全てのシステムを疑わなければならないと考えるならばクラウドのメモ帳のようなところにパスワードを記録しておくことはリスクの塊になる。
ならば、世界で自分しか持っていないノートに書いて持ち運ぶという昔ながらのアナログ手法の価値を見直さなければならない。
アナログ・デジタル・アナログとめぐります。
ITもファッションも同じように、時代は巡ります。
皆さまも1日でも早くパスワードの変更を。
お金に関するサービスは今すぐですよ。今すぐ。
そして世界で自分しか知らない場所に書き記しておきましょう。
では。