個人情報漏洩&セキュリティートラブル

ファイル転送「宅ふぁいる便」がサービス終了。古いシステムの改修コストをどう見積もる?


宅ふぁいる便」がサービスを終了したのは2020年1月。多くのユーザーを抱えていたサービスだったため、終了のニュースはTwitterのトレンド入りするほどでした。

宅ふぁいる便は、オージス総研が運営していた、大規模ファイル転送サービスです。メールアドレスとパスワードが必要なので、匿名では使えないものの、回線が細くて大容量のファイルを転送できなかったかつての時代から、人気だったサービスです。その宅ふぁいる便が終わりました。その理由のひとつに、個人情報の漏洩があります。

なお、当社ユーピーエフでは、個人情報保護のためのプライバシーマーク(通称Pマーク)の取得支援を行っています。コンサルティングをご希望の方は、ぜひお問い合わせください。

|宅ふぁいる便とは?


宅ふぁいる便とは、20年ほど前に登場したサービスですが、回線が太くなった現在でも、写真愛好家が撮影したファイルを転送するなど、いまでも大容量のファイル転送に使われています。現在では少しの容量なら、メールやLINEなどのメッセンジャーツールに添付して送るとか、クラウドサーバーにのせてクラウドのリンクだけを送付するなどの使い方があります。

しかし、クラウド登場前の時代は、こうしたファイル転送サービスは、公私の面で、つまり仕事でもプライベートでも、使われていたのです。

運営していたオージス総研は、大阪ガスの子会社です。ガス会社がなぜ?と思われるかもしれませんが、オージス総研はIT業界では有名な会社で、オブジェクト指向プログラミングの権威でもありました。認定資格を出すなど、業界のリーディングカンパニーの側面があります。よって、そのオージス総研が運営していた宅ふぁいる便は、信頼性が高く、またシステム的にも使い勝手がいいことで、たくさんのユーザーを抱えていたものとみられます。

同種のサービスに、ギガファイル便などがあります。インターネットで相互に連絡先を知らない相手でも、URLベースでファイルをやりとりできるため、何かと有用だったのです。

参考:宅ふぁいる便

|なぜサービス終了?

では、そんなオージス総研が運営する優れたサービスが、なぜ終了してしまったのでしょうか。ひとつに脆弱性があります。2019年に不正アクセスが発生し、サービスの脆弱性が突かれて、あろうことか個人情報が流出してしまったのです。

サービスが停止するなどの弊害ならまだしも、個人情報の流出は結果重大です。

宅ふぁいる便は、電子上のファイルを送るもので実住所などは関係ありません。よって、住所の詳細までは漏れていないのですが、名前やメールアドレス、パスワード、生年月日、居住地の都道府県などが漏洩してしまいました。

なぜ、ファイルを転送するだけのサービスに、配偶者情報や勤務先の郵便番号が必要なのか。明らかにそれは過剰に情報をとりすぎています。過剰に個人情報を取得するから、狙われるという結果を引き起こしてしまいます

一般に、企業は会員登録をする際の個人情報を過剰にとりすぎるところがあり、非常にリスクが高いのです。しかも、今回はパスワードがハッシュ化されておらず、なんと平文で保存されていたので大変です。

ハッシュ化されず平文で保存されていたということは、そのまま、IDとパスワードを抜き出してほかのサイトで使えば、仮に使いまわしされていたらログインできてしまうということでもあります。日本国内では、手に入れた他人のIDとパスワードでログインしたらそれは不正アクセスとして処罰対象ですが、ハッキングするような人にはそんな法律は関係ないことでしょう。

参考:「宅ふぁいる便」サービスにおける不正アクセスについて ~お客さま情報の漏洩について(お詫びとご報告)~

|古いシステムを今、運用していませんか?

ハッシュ関数は、何も最近生まれた技術ではありません。何十年も前から、パスワードはハッシュ化して、あるいは暗号化してということは厳しくIT業界ではいわれていたはずなのです。そして、オージス総研という一部に知られたリーディングカンパニーでありながら、ハッシュ化していなかったのは、知らなかったでは通用しません。

そもそも、20年以上前からある宅ふぁいる便のシステムを、今更組みなおすのは困難だったかもしれません。ただ、昔といっても、20年前に、和製クレジットカードのJCBが漏洩事故を起こしたとき、データが平文で取り扱われており、大きな問題になりました。このように、大昔から平文のデータ取り扱いは社会的にもNGだったはずです。

一部、「古いシステムだから昔はハッシュ化されないのが当たり前だった」のような論調もありますが、JCBの件がある以上、それは通用しません。過剰なデータのとりすぎに加えて、万が一を考えてハッシュ化されていなかったのですから大きな問題です。

古いシステムを改修するということ。それはコストがかかります。しかし、長い時間がたつにつれ、宅ふぁいる便も大きな進化を遂げています。なぜなら、昔はおそらくファイルをいったん保存するのに自社サーバーを使っていたはずですが、現在の宅ふぁいる便はクラウド型だからです。クラウドに載せる際にはサーバーの参照を変えればいいだけではなく、コードを継ぎ足して秘伝のたれのようにソースを載せていかなくてはなりません。

よって、改修の時間は結構あったはずなのです。

では、なぜ古いシステムを改修できなかったのか。なぜパスワードが平文で、そもそもハッキングされてしまっていたのか。そこを深く掘っていきましょう。

|古いシステムの改修コストをどう確保する?

古いシステム、しかも無料で使えるシステムをなんとかメンテナンスするには、人出が必要です。いまは人が足りない時代ですのでなおさらです。オージス総研もいつ宅ふぁいる便を閉鎖するか、タイミングに悩んでいたのではないでしょうか。あるいは、どうマネタイズするかです。これはフリーミアムモデルといって、最初に無料で使ってもらっていたものを、プレミアム会員を作ることで、一部のヘビーユーザーからの課金で賄うということです。

詳しくは「FREE」という本に詳しいですが、こうしたモデルはそれほどおかしいものではありません。現に、宅ふぁいる便もプレミアムな法人会員を抱えていました。個人もプレミアムアカウントがありました。

ただ、古いシステムの改修をしなければなりません。プレミアムユーザーを抱えると、勝手に「サービスやめます」というわけにもいかず、運営コストでプレミアム費をつかいつぶし、あとは改修コストが生み出せないという事態が発生します。

|情報漏洩は経営リスクになりえる

ただし、古いシステムで運営費しか賄えなかったのではないかといっても、顧客との接点であるIDとパスワード、そして大切な個人情報が流出していいとはいえません。

宅ふぁいる便がなぜハッキングされたのかは、おそらくバックドアです。不正なファイルが見つかったとされ、それを調査したところ、会社のメンバーも子会社や協力会社のメンバーも、そのファイルを置いていませんでした。つまり、内部犯行ではなく外部からの侵入です。

もしかしたら、内部犯行の可能性はありますが、いずれにせよ現在のメンバーは関係なく、メールに送られてきたexeファイルを実行してしまったのかもしれませんし、何らかの不正アクセスがあったものとみられます。

 

|個人情報漏洩を防ぐために

では、どうやって個人情報の漏洩を防げばいいのでしょうか。
今回は、まず侵入された時点でアウトです。IT企業のメンツが丸つぶれではないでしょうか。クラウドサービス上で運営されていたSaaSのシステムが、クラウドの欠点をつかれて侵入された形です。

これは、もう侵入を前提としてハッシュ化するしかありません。パスワードを平文で絶対に保管しないこと。さらには、外部のセキュリティ事業者に速やかに連絡がとれる体制を作っておくこと。そうした工夫が必要です。

また、Pマーク取得もおすすめです。Pマークは個人情報を適正に扱えている証拠といいますか社会的証明になります。よって、Pマークの取得をまずは目指してみてはいかがでしょうか。弊社ユーピーエフでは、Pマーク取得のコンサルティングを行っています。何か気になることがありましたら、ぜひお問い合わせください。

 

■こちらの記事もおすすめです。

>>>【ラブホテル検索&予約サービスで個人情報漏洩事故。会社の存続に関わる?!

この記事を書いた人

upf_pmark
upf_pmark
千代田区に会社を構える株式会社ユーピーエフです。
日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。

プライバシーマークについてのお問い合わせ・ご相談は→03-6240-9470 セキュリティーコンサルティング事業部まで

カテゴリー: 個人情報漏洩&セキュリティートラブル