塚本

株式会社オージス総研が不正アクセス被害!暗号化しなかったのが問題?


顧客のニーズに合わせてシステム開発やコンサルティング、ハウジングなどのインターネットサービスを提供している「株式会社オージス総研」。その中でも「宅ファイル便」はビジネス文書を気軽に送ることができると、人気の高いサービスでした。しかし2019年1月26日に何者かの不正アクセスを受けて、個人情報が流出したというトラブルが発生したと発表されています。

個人情報保護の管理体制が整っていると外部に証明するプライバシーマーク(Pマーク)を取得しているため、セキュリティ面では十分な強固さを持っていたのですが「株式会社オージス総研」で不正アクセスが発生する事態になってしまいました。

今回は「株式会社オージス総研」が提供する「宅ファイル便」や不正アクセスの内容について、詳しい内容を紹介していきましょう。

株式会社オージス総研が提供する「宅ファイル便」とは?

「株式会社オージス総研」は、様々なインターネットサービスを顧客に提供しています。その中でも「宅ファイル便」は、安全に大容量ファイルを受け渡すことができる月額定額制のクラウドサービスとして高い評価を得ていました。

どのような特徴があるサービスなのか紹介していきましょう。

1.簡単操作

「宅ファイル便」は、誰でも簡単に使用できるように、メールアドレスとファイルを指定して送信するだけの操作で、必要なファイルを相手に送ることができます。細かいマニュアルを覚える必要もなく、直感的に操作ができるので運用が楽になるのが特徴です。

簡単操作でありながら大容量のファイルを相手に送ることができるので、ビジネス環境で重宝されるクラウドサービスとして活躍していました。

2.月額定額制

「宅ファイル便」は、ファイルを送るたびに費用が発生するのではなく、月額定額制となっています。導入時は初期設定費用に加え、利用ユーザー数やオプションの組み合わせによって価格が異なるのが特徴です。

利用ユーザー数が多く、機能性を付与するほど高額になっていくので、利用規模に合わせて細かい設定を行う必要があります。

3.上長承認機能

誤発信や情報の流出を防ぐために付与できる機能が「上長承認機能」です。上長承認機能は、第三者が送信内容のチェックを実施し、情報漏洩や誤発信を防止することができるという内容になります。

管理者はユーザーごとに承認者の設定を行うことができるため、企業で運用するのであれば部署ごとに承認者を変えて設定することが可能です。

4.監査対応機能

データ保管領域とは別に、送信ファイル専用の保管サーバが「宅ファイル便」には用意されています。保管した送信ファイルについては、監査のために送信履歴と送信実ファイルをバックアップに残すことができるので、必要な時に閲覧することが可能です。

過去に遡って履歴を確認することができるので、後からファイルの内容を確認したい時には便利に活用することができる機能になります。

宅ファイル便の不正アクセスについて

株式会社オージス総研が提供しているサービスである「宅ふぁいる便」は、2019年1月26日に何者かが不正アクセスしたことを公表しています。漏洩した個人情報については、約480万件が流出したと言われているため、多くの顧客データが外部に漏洩するトラブルになりました。

流出した情報については現会員だけでなく、「宅ファイル便」の利用を辞めて退会した顧客のデータも漏洩したと言われています。流出したデータが膨大であったこともあり、これ以上の運営は現状厳しいと判断したことから、「宅ファイル便」の一時停止を決断。現在も運用は停止したままです。

顧客のデータが漏洩した問題が発覚したのは、2019年1月22日と言われています。「宅ファイル便」のサーバー内に認識していないファイルが発見され、第三者調査機関を含めて調査したところ、不審なアクセスログが確認されました。結果的に不正アクセスを許してしまい、多くの顧客データが漏洩するトラブルに発展しています。

「宅ファイル便」は、多くの企業が利用していたこともあり、顧客情報が漏洩したことを受けて、速やかに対策を講じることに。セキュリティの脆弱な部分を不正アクセスに悪用されたため、問題が解決するまでは運営を停止することを「株式会社オージス総研」は決定しています。

簡単操作で大容量のファイルを送信できることから、顧客からは重宝できるクラウドサービスとして注目されていました。しかし今回の個人情報流出があまりにも大規模であったため、「宅ふぁいる便」の運用は停止する事態になっています。

サービスが復活する際には、問題が発生した部分のセキュリティを強化することが求められるでしょう。

参考URL:https://cybersecurity-jp.com/news/29521

漏洩した情報や不正アクセスを許した原因

不正アクセスを許した「宅ファイル便」を運営している「株式会社オージス総研」が発表した漏洩した情報は、メールアドレス・パスワード・生年月日・氏名・性別・業種や職種・居住地といった内容です。

流出した項目の中に、パスワードが含まれていることから他の外部サービスの二次被害が発生する可能性を懸念しています。そのためパスワードを使い回しているユーザーに注意喚起を行っていました。

漏洩した情報は約480万件であることから、大規模なセキュリティ問題となっています。なぜ不正アクセスを許したのか、原因と考えられている一端は管理していたパスワードを暗号化せずに、平文のまま保存していたことが原因と考えられているようです。

他にも公表されている内容としては、「宅ファイル便」のセキュリティの脆弱な部分が狙われたとあるので、セキュリティを改めて見直して、強固なセキュリティを構築することが必要になってくるでしょう。
参考URL:https://cybersecurity-jp.com/news/29521

Pマーク取得は企業にとってプラスになる

個人情報保護の管理体制は、近年では多くの企業が見直しを行っています。その中で、外部に個人情報保護の管理体制が整っていることをアピールすることができる手段として、プライバシーマーク(Pマーク)の取得が重要視されている状況です。

プライバシーマーク(Pマーク)は、第三者機関の厳しい審査を経て、個人情報保護の管理体制が十分整っている場合に、取得することができます。そのため、プライバシーマーク(Pマーク)を取得している企業は、外部から信用される企業であることを証明することができるのです。

一部、上場企業もプライバシーマーク(Pマーク)の取得を目指しているという情報もあることから、今後企業が成長するために、プライバシーマーク(Pマーク)の取得が重要な要素となってくるでしょう。

まとめ

企業にとって、顧客の個人情報を保護することは、信用を高めるためにも重要です。そのためにも、十分にセキュリティ体制が構築されていることを証明するプライバシーマーク(Pマーク)を取得することは大切でしょう。

しかしプライバシーマーク(Pマーク)は、取得するためには時間と労力がかかります。それでも取得することができれば、企業にとって損はないので、セキュリティを強化する意味も込めて、プライバシーマーク(Pマーク)を目指すのがおすすめです。取得を目指している方は、まずは個人情報保護の管理体制を見直してみてください。

この記事を書いた人

塚本
塚本
■出身地:福岡県
■趣味:FX、株式投資
■最近のはまり:仮想通貨、ブロックチェーン技術について
■苦手なもの:ねぎ

【UPF pmark】
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にDM発送代行、プライバシーマーク取得コンサルティング事業をしております。
プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 塚本