約480万件の漏洩が判明した宅ふぁいる便の事例をもとに、「どうやったら回避できたのか」・「個人とビジネスの対策方法」を具体例と共にわかりやすく説明していく。
宅ふぁいる便とは、メールに添付できない大容量のファイルを転送するサービスのことだ。このサービスを利用する際に会員登録をしていたのだが、それが流出した。
根本の「セキュリティ意識の低さ」と「確実に回避できた事実」を突きまくるので、非常に刺激されるだろう。
ビジネスで使ったのなら、意識が低いかつ落ち度があるので要確認。
宅ふぁいる便不正アクセス被害・漏洩情報
本来被害者を例に出すべきではないのだが、「平文でログインパスワードを管理しているレベルの落ち度」があったため、宅ふぁいる便事件を堂々と「名指し例題」として使う。
セキュリティ業界は基本、何か問題があったら修正 → 改善されていくから、今回問題は大きかったけど、オフィス版は安心の方向でいいよ∩(・∀・∩
漏洩情報は以下で、簡単に言うと「個人情報」・「メールアドレス」・「パスワード」という、考えうる最悪の3つが漏洩。
(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
引用:(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
しかも、退会済みも漏洩対象になるかもしれない。
調査の過程で、特定期間においてのみ取得をしていたお客さま情報などについても漏洩していることがわかりましたので、お知らせいたします。
引用:(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)
ファイルの暗号化は何も述べられていないので大丈夫かつ、魚拓の方を確認したらファイル送受信の暗号化を明確に述べていたので、今のところ問題なし。
ファイル送受信時のデータ通信は全てTLS/SSL256ビットによる暗号化通信を行っています。
魚拓からは引用しないため、詳しくはWebで。
もはや「宅ふぁいる便のサービス内容」は消滅したのでわからないが、別サイトに記述が残っていたので、気になるならそちらで……かと思ったがリンク消滅。
絶滅宅ふぁいる便とは(大阪ガスすずらん会)
なお、今回の漏洩は「必要のない会員登録」が元凶であり、それさえなければ何もなかった(これは結果論なので、ほぼ無視推奨)。
宅ふぁいる便の落ち度まとめ(他は被害)。
- パスワード平文保存
- 退会済みの情報保持
そして、『宅ふぁいる便は利用者と同じ被害者』なのを絶対忘れないようにしないと、お互いを傷つけ合い、誰も幸せにならない。
使用していたパスワード確認と、退会お申込みができる特設サイトがオープン。漏洩当事者の方は時間帯をよく確認のうえ、「宅ふぁいる便Web特設サイト」開設のご案内で要削除。
使ってたパスワードが判明したら、使いまわしていたアカウントのパスワードも変更してね! そもそも使い回しが落ち度ありまくりだけど(´ε`;)
宅ふぁいる便の漏洩事例を完全回避
こちら側で防げた方法は、
- 郵便番号や住所氏名などの個人情報漏洩 → そもそも偽情報を使う
- パスワード漏洩 → 使いまわさないから関係なし
- 使いまわすと落ち度アリ
という、たった2つの条件で回避可能。
偽個人情報は少々ハードル高めではあるが、法律違反ではないので基本許されるし、そもそも不必要な情報を入力するのはおかしい。
今後同じようなことに巻き込まれないためにも、初心者であろうがテクニックを吸収だ。
さらに、ヤバいファイルは「転送サービスで送っちゃダメ」。
有名なクラウドストレージを強制的に暗号化したり、ファイルを暗号化したりするの、無料であるっていう……
イメージとしてはDropbox(ビジネス)やGoogle Drive(G Suite)などを使ったりだとか、それら企業を信用できなければ、上記記事で紹介しているクラウド強制暗号化ソフトで、信用度を無視すればいい。
どうしても無理なら、ブラウザで有名なFirefoxのファイル転送サービス(Firefox Send)が会員登録なし&容量1GBで存在する。
このようにちょっと調べると出てくるので、「いかに意識していないか」が伝わっただろうか。
メールアドレス漏洩確認
漏洩無関係の方は、ビジネスで使うものではないまで読み飛ばそう。
メアドの漏洩を確認できる方法は以下。
- 「漏洩のおそれありメアド」に迷惑メールが来る → 調べるまでもなく確定
- Firefox Monitorかhave i been pwned?に調べたいメアドを入力
- Firefoxはブラウザで有名なMozilla Firefox
- have i been pwned?は、Microsoftリージョナルディレクターおよび開発者セキュリティ担当のTroy Huntさんが作成
一応述べておくが、「上記サイトにメアドを入力すると漏れる」だと先に進まないし、Firefox、Microsoftというネームバリューの安心感だけで十分なはずだ。
さらに言えばメールアドレスは公開情報なので、非公開を意識しても、企業はそう扱わない。
これは、友達に教える → 電話帳の入ったスマホ紛失という定番の事故を避けられないなど回避不可能系が、露骨に多いからだろう(パスワードは電話帳にまず記述されない)。
というか、友達に教えている。
ここで言うことじゃないけど、紛失リスクを無視して電話帳に住所記述するのやめてー(´・ω・`)
ビジネスで使うものではない
さきほども述べたが、「ファイルを共有してやりとりできるクラウドストレージ」が代替え手段として優れているため、通常はビジネスプラン系を使うだけで事足りる。
しかも、クラウドの紹介ページに行くと導入事例が紹介されているありさま。
参考OneDrive for Business – お客様の事例 | Office 365
そう、意識している企業は普通に使っているので、導入事例で自分より大きい企業を参考にし、「それが、有名企業みんな使ってるんですよー」口撃で「外国のクラウドは怖い発言」を抹殺だ!
重要なのはクラウドから情報漏洩した際に、他の有名企業と一緒になって被害にあうため、印象が薄くなること(しょうがない判定獲得・クラウド会社に責任を押し付けられる)。ここをうまく伝え、上司を丸め込もう。なお、少数チーム料金もあるぞ。
「宅ふぁいる便だけがこれからも責められてしまう」だろうが、パスワードを使いまわしたり、企業で使ってしまったのなら、同じく落ち度と改善の余地があるので努力。
使用したセキュリティ意識
- セキュリティ系サービスは海外を先に調べ、そのあとに日本
- できるだけ会員登録を避け、類似サービスを探す(最低でも1時間使う)
- パスワードを使いまわさない(こら! いい加減にしなさい!)
- データのみのやりとりは強制的に偽情報
- 退会時、偽情報にしてからアカウント削除
一番最初はわかりにくいが、日本はセキュリティ後進国なので後回しにするべきであり、少なからずパスワードを守っているだけで変更の手間とはオサラバ。
これらの意識がストッパーとなり、いつか知らずに役に立つだろう。
パスワード管理ソフトを導入しなければ使いまわしを回避できないので、無料でありつつありえないレベルの基礎セキュリティにあやかるため、一度確認されたし。
今回は宅ふぁいる便からパスワード漏洩してしまったので違うが、パスワード使いまわしはリスト型総当たり攻撃で破られる筆頭であり、破られた場合サービス提供者側に一切落ち度のない迷惑行為なので、絶対にしないこと。