大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表したオージス総研は、「現在も原因の調査を続けているが、依然として復旧のメドは立っていない」と説明する。専門家はWebサービスの提供者にとって対岸の火事ではないと警鐘を鳴らしている。
サービス開始20年目を襲った漏洩事件
宅ふぁいる便の歴史は古い。もともと大阪ガスグループのエルネット(大阪市)が1999年に提供を始めた。2014年に大阪ガスはエルネットの会社分割を決め、宅ふぁいる便事業は旧エルネットが商号変更した大阪ガス行動観察研究所が引き継いだ。2015年にオージス総研が大阪ガス行動観察研究所を吸収合併し、宅ふぁいる便のサービスを提供してきた。無料会員が約330万人、有料会員が約2万人に上るという。
2019年1月22日午前11時ごろに不審なファイルがサーバー内にあると気付いたオージス総研は調査を開始し、不審なアクセス履歴を同日午後7時に確認。翌23日午前11時前にサービスを停止して調査を継続した結果、顧客情報が漏洩した事実を25日午後に確認した。約480万件のメールアドレスとログインパスワード、生年月日が漏洩したと発表した。他のWebサービスで同一のメールアドレスとパスワードを使っている利用者に対して、パスワードの変更を呼びかけた。
| 日付 | できごと |
|---|---|
| 1月22日 | 午前11時 サーバー内に未認識のファイルがあると確認 午後1時 担当社員とパートナーから作成していないとの報告を受けて調査を開始 午後7時 サーバー内に不審なアクセスログを確認 |
| 23日 | 午前10時50分 サービス停止 |
| 25日 | 午後3時30分 顧客情報の漏洩を確認 夜 メールアドレス、パスワード、生年月日の漏洩が確定と発表 |
| 26日 | 氏名や性別、業種・職種などの情報も漏洩したと発表 |
| 28日 | 郵便番号など一定期間のみ取得していた情報も漏洩したと発表 |
結果的には、2005年以降に利用者が入力した氏名、ログイン用のメールアドレスとパスワード、職業・業種・職種などの情報と、2005~2012年の間だけ入力させていた自宅および勤務先の郵便番号などの情報が漏洩したという。退会者の情報も含んでいた。不審なファイルが置かれた経緯、つまり攻撃の手口はまだ判明していない。
オージス総研は1月26日に公表した「ご質問一覧」で、パスワードを暗号化していなかったと明かした。安全なWebサービスの構築手法に関する著書などで知られ、Webセキュリティーの第一人者であるEGセキュアソリューションズの徳丸浩社長は「パスワードを平文で保存しているWebサービスはかなりの数に上るだろう。宅ふぁいる便の情報漏洩事件は対岸の火事ではない」と警告する。
