パスコーソフトウェア

育児まっただ中のSE(システムエンジニア)であるパスコーが経験するIT・子育ての現実を生々しくお届けするブログ

MENU

宅ふぁいる便の漏洩ニュースを見てパスワード変更に手を動かしたか

今月1/22に発覚して大騒ぎになっている宅ふぁいる便の情報漏えい事件

皆さま、影響はなかったでしょうか。

人生の駆け出し冒険家パスコーです。

 

私は…個人情報の漏洩対象です。

2005年から今までの間に宅ふぁいる便の使用経験があります。

このまま宅ふぁいる便の動向を待っている間にも

私の個人情報が不正にアクセスされるリスクが高まり続けている。

今すぐパスワード変更しなければならない!

 

お伝えしたいこと

  1. パスワードを今すぐ変更しましょう。
  2. 総務省のパスワード見解を正しく理解しましょう。

宅ファイル便情報漏洩の経緯

まずは情報漏洩事件を時系列に整理して確認します。

 

1/22 海外からの不正アクセス発見

1/23 サービス停止

1/25 480万件の情報漏洩確認

1/28 新たな条法漏洩発覚

1/29 16時時点では2次被害は出ていないとのこと

情報漏洩が確定した情報

(1)2005年以降、全期間共通

氏名(ふりがな)

ログイン用メールアドレス

ログインパスワード

生年月日

性別

職業

業種

職種

※、居住地の都道府県名、メールアドレス2、メールアドレス3

(2)上記に加えて、2005年~2012年の期間のみ対象の情報

居住地の郵便番号

勤務先の都道府県名

勤務先の郵便番号

配偶者※

子供※

※該当する選択肢番号を選ぶ形式のため、

具体的な職業・業種・職種、配偶者や子供の有無は明記なし

 

個人情報保護法では、氏名だけでも個人情報として

定義されていますので、今回は個人情報保護法違反となります。

宅ファイル便の運営はどこ?

運営していたのはDaigasグループです。

オージス総研が開発し、Daigas(要は大阪ガス)グループとして

運営を続けていると記載されています。 

 

今回、宅ふぁいる便のサイトにおいて、

問い合わせ先にオージス総研の名前があることから

事実上はオージス総研が鍵を握った状態で運営していると

考えてもよいでしょう。

 

オージス総研の個人情報取扱方針

どのようなものだったのでしょうか。

 

オージス総研では、個人情報を取り扱う会社の多くが

情報を適切に取扱うことを第3社に示すべく取得している

Pマークを取得(定期的な監査・更新があります)しています。

 

WEBサイトには「特定個人情報」の取扱い という項目があります。

行政手続における特定の個人を識別するための番号の利用等に関する法律」

(以下、「番号法」といいます)が定める「特定個人情報」の取扱いについては、

個人情報の中でも特に重要なものであると位置づけ下記の通り取扱います。

 

全文を読みたい方は、これを機会に読んでみてください。

法令やガイドラインを遵守すること、個人情報保護マネジメントシステムがあり

定期的な確認を行うことなどが明記されています。

 

個人情報は適切に対策がされていたんじゃ?

今回、流出してしまったパスワード情報には暗号化がされていなかった。

 

パスワードだけなのか?と気になり調べたところ

パスワードに限らず全ての個人情報が暗号化されていなかった。

つまり、これまで述べてきた個人情報は全て手にとることさえできれば

生データが閲覧できる形で漏洩してしまった。

 

暗号化については総務省が運営するサイトに分かりやすい

絵があるのでご紹介します。

f:id:pastel_soft:20190131080606p:plain

引用:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/basic/structure/02.html

※このWEBサイトへの通信は何故か暗号(SSL)化されていない 

 

 

暗号化を行うと元のデータが何かわからない状態になります。

つまり、他人に見られてはいけないデータは暗号化が必須です。

この暗号化処理がされていなかったということは、

見たら分かる状態のまま保管されていたということ。

 

しかも今回は、外部から不正にアクセスできる状態

なっていました。

 

例えるならば、社員およびその家族の個人情報を記した紙の書類が

オフィスの本棚にキングファイルで保存されているような状態

近いと言えます。

 

手に取ることができれば見れるし持ち帰ることもできる状態

あったということになる。

それはまずいですよね。当然。

 

犯人探しより私達は対策を.

オージス総研含むDaigasグループの今後の対応には

注視しておきたいです。

 

なのですが、我々が今一番すべきことは

パスワードの見直しと早急な変更です。

 

最悪のケースを想定すると2005年移行に使った可能性のある

パスワードは一旦全て破棄して新しいパスワードに移行すべき

タイミングです。

 

総務省はパスワード変更要らないって…

昨年、総務省の発表によりパスワードの定期変更が

必要か不要かという議論がありました。

いいえ。

総務省の指針に次のように記載されています。

> なお、利用するサービスによっては、パスワードを定期的に変更することを求められることもありますが、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、パスワードを変更する必要はありません。

引用:http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/business/staff/01.html

 

今回は総務省がパスワードを変更する対象として発表しているものになります。

上記の議論はともかく、宅ふぁいる便を1度でも利用したことのある方は

パスワード変更の検討が必要となっています。

 

今こそ、これまでにない新しいパスワードを考え、

各サービスのパスワードを変更して回りましょう

特にお金の決済が関係するものは抜け漏れなく対応しましょう。

私達のことは、私達自身で守らなければなりません。

 

今後、パスワードの管理はどうするの?

結局、インターネット上の各サービスで

利用しているパスワードが宅ふぁいる便のように

情報漏洩してしまうことがあるわけです。

 

そう思うと、自分自身で守らなければならないですね。

昔のようにPC周辺に紙の付箋を貼るわけにもいきません。

ではどうするか。

セキュリティ会社のコンサルタントをしている同級生に

久しぶりに電話で会話していたところ、次のような

気付きがありました。

 

全てのシステムを疑わなければならないと考えるならば

クラウドのメモ帳のようなところにパスワードを

記録しておくことはリスクの塊になる。

 

ならば、世界で自分しか持っていないノートに書いて持ち運ぶという

昔ながらのアナログ手法の価値を見直さなければならない。

 

アナログ・デジタル・アナログとめぐります。

ITもファッションも同じように、時代は巡ります。

皆さまも1日でも早くパスワードの変更を。

お金に関するサービスは今すぐですよ。今すぐ。

そして世界で自分しか知らない場所に書き記しておきましょう。

 

f:id:pastel_soft:20190131081745p:plain

f:id:pastel_soft:20190131081824p:plain

では。