『SEOマーケティングの未来を読む vol.185』
みんな大好き宅ふぁいる~個人情報トラブルで終了
みんな大好き宅ふぁいる~個人情報トラブルで終了
■ 2020年 未来よし!
https://www.clarenet.co.jp/column/blog/archives/15337
今年ももう20日過ぎてますが、初のメルマガです。
早いもので会社設立12期目です。
10年ばかりの短い、さらに秀でた能力有していると感じない自分が、
必死に徒手空拳でもがきえた経営者経験から感じるのは
「組織は結局のところ人ありき」という普遍的な言葉です。
AIであり働き方改革であり、テレワークやワーケーションであり、
新しい時代に新しいワードが生まれていきますが、この時代に
ふさわしい会社創りには、こうした変化を取り入れた
組織創りにあると思います。
会社のベクトルと個人のベクトルが一致するような、
結局はこの部分に集約される、のが得た教訓です。
今の時代の早い変革におびえるのではなく、変革を機会と
とらえて、人は何のために仕事をするのか、仕事とは何か、
本質的な部分を思考し軸を打ち立てて進めていかないと
時代の大きなうねりを超えていくことなどできないと思います。
よくIT業界は日進月歩だと言われますが、だからこそ
若い会社にもチャンスが来る、顧客満足を追求する機会が発生する、
これは私の経営者としての信念でもあります。
スタッフにも顧客にもパートナーにもよしであるような、
ハッピートライアングルと追求していけばいずれ
「未来よし」になる、これも私の信念です。
新年から信念を再確認し「未来よし」目指し、
2020年をスタートしたいと思います。
■ 2020年 未来よし!
https://www.clarenet.co.jp/column/blog/archives/15337
【2】【ブログ】
■ くら寿司のびっくらぽん
https://www.clarenet.co.jp/column/blog/archives/15384
■ 事業を継続成長させることで物事みないと
https://www.clarenet.co.jp/column/blog/archives/15328
■ 28project~品川女子学院から見るサイト運営の視点
https://www.clarenet.co.jp/column/blog/archives/475
みんな大好き宅ふぁいる~個人情報トラブルで終了
今回は宅ふぁいるのお話です。
「添付したファイルが大容量すぎてメールが届かない」
「USBメモリを手渡しするのは面倒」
ファイルのサイズが巨大化する一方の
昨今でこういった悩みを持つ方は数多くいるでしょう。
そういった方に向けてのサービスとしてあるのが
・ファイル転送サービス
・オンラインストレージサービス
といったものです。
ファイル転送サービスは特定の相手に送る場合、オンライン
ストレージサービスは個人のバックアップや不特定多数に
送りたい場合などに利用されることが多いです。
そのファイル転送サービスの一つに「宅ふぁいる便」という
サービスがあります。今回はこの「宅ふぁいる便」が起こした
事件についてご紹介したいと思います。
宅ふぁいる便とは?
「宅ふぁいる便」とは大阪ガスグループが運営する、
大容量ファイル転送サービスです。
その歴史は古く1999年からサービスが開始され、
ファイル転送サービスの草分け存在とも言われていた有名なものです。
年間の利用件数は約7000万件にもなるといいます。
ガス会社がなぜ?と思われるかもしれませんが、もともとは図面
データのやり取りに使用されていた社内のシステムを2005年
に一般向け事業としたもので、
その運営会社であるオージス総研は大阪ガスの子会社でIT業界では有名な会社でした。
そんな老舗のサービスですが、2020年3月31日を持ってサービスを
終了すると発表がありました。なぜサービスを終了することになったのでしょうか。
その原因は個人情報漏えい事件にあります。
情報漏えいの対応
2019年1月24日にオージス総研はファイル転送サービス
「宅ふぁいる便」が不正アクセスを受けたことを発表しました。
その経緯は2019年1月22日、宅ふぁいる便のサーバー内に、
認識していなかったファイルが置かれていたことから事件は発覚します。
第三者機関を含めた調査を開始し、その過程で不審なアクセスログ
が見つかり、翌23日午前にサービスが停止されました。
その後の調査で一般向けに宅ふぁいる便のサービスを始めた2005年
以降に登録した全利用者、約480万人分のメールアドレスとパスワード、
生年月日、氏名、性別などを流出させたことが分かりました。
480万件のうちには退会した利用者の情報も含まれています。
この事件発覚から発表やサービス停止に至るまでの素早い対応
には一定の評価をする声も上がっており、情報漏えいの対応
としては良いものだと言えると思います。
過去に不正アクセスにより全世界で7700万件もの情報漏えいを
出したソニーのPlayStation Networkは事件発生から発表まで
1週間もの時間を要しています。
この遅すぎる対応には非難が殺到し、また日本のみならず
世界各国で、ソニーに対しての聴聞会の任意出頭が要請されています。
漏えい事件を起こさないことが一番なのは間違いないのですが、
起こしてしまった場合の対応についても重要となってくる一例だと思います。
情報漏えいの原因
情報漏えいが起こる原因は様々なものがありますが、
一番多いのは人為的なものでしょう。
「管理ミス・誤操作・紛失」は情報漏えいの3大原因とも言われ、
うっかりミスが思わぬ大惨事を招きかねません。
報告されている漏えいの中で最も多い原因は誤送付で、
全体の約58%を占めており、重大インシデントの発生原因となっています。
また関係者のモラルが低く、悪意ある盗難はもちろんですが、
内部の人間による無断で機密情報の持ち出しを行い紛失するケースも少なくありません。
最近では関係者に対してセキュリティに関しての誓約書の提出が
義務付けられているところが多くなってきており昔のように
人為的なものは減ってきていると言えるかもしれません。
では、人為的なもの以外にはどういったものがあるのでしょうか。
1つは、ウィルスやマルウェアなど悪意のあるプログラムによるもの
があります。これらはメールの添付ファイルや不正サイトへ
のリンクを介して感染させるものです。
そして、「宅ふぁいる便」件で原因になったと言われているのが
不正アクセスになります。不正アクセスについてもいくつかの手法がありますが、
今回はバックドアによるものだと言われています。
バックドアとは簡単に言えばセキュリティの甘いところから侵入することです。
不正アクセスについてはサーバーやシステムのセキュリティ対策
の甘いことが原因で起こることが多く、特に古いシステムでは現在
では当たり前となっているセキュリティ対策が講じられていない
ことがほとんどで決して安くはない予算を講じて対応することは稀といえるでしょう。
「宅ふぁいる便」もそういった過去のシステムの一つであったのです。
なぜ、暗号化していなかったのか
「外部からの不正アクセスによる情報漏えい」だけならば
もはや珍しいとも言えない時代となってきています。
けれどこの一件では、パスワードが「暗号化」もされてい
なかったことが分かり、波紋を呼んでいます。
これはデータを手に入れた誰かが、わざわざデータを復号しなくても、
そのまますぐに悪用できるからです。
「暗号化」とは利用者のIDやパスワードなど機密性の高い情報については
人の目に触れてもすぐ分かるものではなく、システムだけで利用
できるように特定のルールに従って変換することを言います。
「今どきパスワードを暗号化せず平文のまま保存しているなんてあり得ない」
事件が発覚した際に、こういった声が目立ちました。
パスワードの使い回しを見越して他のサービスでログインを試みる行為、
いわゆる「パスワードリスト攻撃」が決して珍しくない今、常識に照らせば、あり得ないことです。
しかし、「宅ふぁいる便」のサービス開始は今から20年
以上前となっています。当時、サーバーのパスワードについては対策が
講じられていましたが、Webサービスの利用者のパスワードについては
そこまで暗号化が強く要求されていなかった印象があります。
しかし、2013年ごろから活発化し始めたパスワードリスト攻撃が、
そうした「常識」を大きく変えました。
パスワードリスト攻撃は、ユーザーが複数のサービスで特定のパスワード
を使い回していることを前提にしています。
攻撃者は何らかの手段で入手した情報、例えばアンダーグラウンドな市場
で入手したIDとパスワードのリストを、さまざまなオンライン
サービス上で入力し、なりすましログインを試みます。
成功すれば、ログインしたユーザーの個人情報を盗み見たり、
ポイントなど換金性の高い情報を詐取したりする可能性があります。
仮に、入手したIDパスワードが暗号化されていた場合は攻撃
を行う前に、解析する作業が必要となり、つまり攻撃のコストが上がり、
それが攻撃の抑止につながると期待できるのです。
パスワード情報平文であった場合、攻撃者は何ら苦労することなく
さまざまなサービスにパスワードリスト攻撃を仕掛けられます。
こうして、多発するパスワードリスト攻撃や個人情報漏えい事件、
個人情報保護法の策定とユーザーのセキュリティ意識の向上などさまざまな背景から、
この数年ほどで「パスワードは暗号化して保存する」ことが常識になってきました。
「宅ふぁいる便」は残念ながら、システムが時代と技術、それに伴う
「常識」の変化に付いていけなかったと言えるのではないでしょうか。
情報漏えいは経営リスクになりえる
480万件にも上る件数は過去に起こった情報漏えい事件と比べても大きいものと言えるでしょう。
過去に起こった漏えい事件で件数の多いものといえば
・2004年 Yahoo!BB 約452万人分
・2011年 ソニー グループ全体で約1億261万件
・2014年 ベネッセ 4000万人超
といったものがあります。
いくつか例を上げてみましたが実際はこれ以外にも数え切れないほどの漏えい事件は発生しています。
もちろん、日本だけではなく世界各国で同様の漏えいが起こっています。
さて、先に上げたYahooやベネッセの漏えい事件ではそれぞれの
会社が損害の保障として被害に合われた方に金券を配りました。
金額としては一人あたり500円で多いとは言えないものですが、
漏えいした件数が他の事件と比較しても莫大な量となっているため
その負担は会社の経営に大きな影響を与えるものとなっています。
その金額はYahooで約450万人分で約22億5000万円、
ベネッセに至っては4000万人を超えるとされその総額は200億円にも上ります。
ベネッセは流出事故のあった2014年4月~6月期の決算で136億円の赤字となり、
株価に至っては5日間で時価総額360億円もの損失を出しています。
その上、ひとたび外部へ顧客情報が漏えいしてしまえば、企業にとって
莫大な損害が及ぶだけではなく、回復が困難な信用の損失にもつながります。
まとめ
オージス総研は詳細な原因・被害状況調査、セキュリティの点検・強化を行うと共に、
今後の本サービスの継続や、更なる利便性の向上について検討を重ねていたました。
しかし、利用者に安心してサービスを将来にわたって提供していくためには、相当程度
のシステムの再構築が必要であり、再構築に要する時間・費用などを踏まえ総合的に
判断した結果、2020年1月14日に「宅ファイル便」を3月31日を持って終了すると発表しました。
まとめ
「宅ふぁいる」 本当にお世話になりました。
ありがとうございました。
セキュリティの問題があったとして、その結果として終了することは残念ではありませんが、
過去たくさんお世話になったことは変わりません。
要するに悪いことする人がだめなんです、といっても、情報漏えいは直接的な被害だけではなく、
信用問題などの話になってしまうと、IT企業としては致命的となりそうな間接的な被害も大きな問題となります。
プライバシーマーク申請更新がまた来るのですが、更新申請時の勉強会や話打ち合わせなどでは、
このような事故の話は大手含めて本当によく聞きます。
一発退場になることのないように、セキュリティ意識は高めないといけない
ですし、無料サービスの場合にはそれだけのリスクを抱えることもまた事実。
ドロップボックス、グーグルドライブ、いろんなオンラインストレージ方法
あるんですが、「宅ふぁいる」は古くから仕事してる方にはやっぱり有名。
打ち合わせでこの終了の話になって、昔の仕事話に花が咲きました。
「宅ふぁいる」 本当にお世話になりました。
ありがとうございました。
(記載 谷 美輝)