宅ふぁいる便、会員情報漏洩事案の調査結果を報告、当初発表した情報以外の漏洩はなし

2019年3月15日(金)日川佳三（IT Leaders編集部）

リスト

オージス総研は2019年3月14日、クラウド型のファイル受け渡しサービス「宅ふぁいる便」がユーザーの個人情報を漏洩させた事件について、詳細調査（ログ分析）の結果を発表した。発表済みの漏洩情報（件数や内容）以外には漏洩がなかったことを確認したという。

　クラウド型のファイル受け渡しサービス「宅ふぁいる便」は、2019年1月22日に不審なファイルを検知して内部調査を開始、翌日23日にサービスを停止した。運営会社のオージス総研は、調査の結果、ユーザーの個人情報が約480万件漏洩していることが分かったため、同日1月25日のプレスリリースで報告した。

　その後、同社は外部セキュリティ専門事業者の協力を得て詳細調査（ログ分析）を実施した。調査の結果、1月25日にプレスリリースで報告済みの漏洩情報（件数や内容）以外に漏洩がなかったことを確認した。これを受けて今回、プレスリリースで報告した。

　確定した漏洩件数は、481万5399件である（表1）。内訳は、ビジネスプラス会員（有料会員）が2万2569件、プレミアム会員（無料会員）が475万329件、退会者が4万2501件である。有料会員と無料会員の件数については、ログイン用メールアドレスが無効でオージス総研からの連絡が届かない件数（134万8361件）を含んでいる。

表1：漏洩した宅ふぁいる便会員個人情報の件数
会員種別	件数
ビジネスプラス会員（有料会員）	2万2569件
プレミアム会員（無料会員）	475万329件
退会者	4万2501件
合計	481万5399件
（有料会員と無料会員の件数については、ログイン用メールアドレスが無効でオージス総研からの連絡が届かない件数（134万8361件）を含む）

　漏洩内容は、氏名（ふりがな）、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名、メールアドレス2、メールアドレス3、である。加えて、2005年から2012年の期間については、必須入力情報ではないが、ユーザーが回答した情報として、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供の情報を含む。

　なお、職業・業種・職種、配偶者、子供については、該当する選択肢番号を選ぶ形式であるため、具体的な職業・業種・職種、配偶者や子供の有無などは明記していない。

　オージス総研は、不正アクセスの検知から今回の確定報告までの経緯をまとめている（表2）。

表2：不正アクセスの検知から確定報告までの経緯
日時	概要
1月22日(火) 9時38分	不審なファイル検知と内部調査を開始
1月22日(火) 11時00分	システムの管理を委託しているパートナー企業への調査を開始
1月22日(火) 19時45分	攻撃元IPからの通信を遮断
1月23日(水) 10時50分	宅ふぁいる便のサービスを停止
1月23日(水) 14時44分	外部セキュリティ専門事業者協力による調査を開始
1月24日(木) 20時10分	宅ふぁいる便のWebサイトおよびオージス総研ホームページに「宅ふぁいる便サービスの一時停止のお知らせとお詫び」を掲載
1月25日(金) 15時30分	ユーザー情報が外部に持ち出されたことが判明
1月25日(金) 19時00分	プレスリリース第1報をオージス総研ホームページに掲載、記者会見を実施（不正アクセスによる情報漏洩のお詫びとユーザーへのパスワード変更などのお願いを実施）
1月26日(土) 2時50分	プレスリリース第2報をオージス総研ホームページに掲載
1月26日(土) 3時22分	すべての会員に対して、不正アクセスによる情報漏洩のお詫びとパスワード変更などのお願いを行うメールを送付
1月26日(土) 9時00分	電話およびメールによるユーザーからの問い合せ受付を開始
1月28日(月) 13時00分	プレスリリース第3報をオージス総研ホームページに掲載
1月28日(月) 15時58分	すべての会員に対して、情報漏洩の状況報告とパスワード変更などのお願いを行うメールを再送付
1月29日(火) 18時30分	ビジネスプラス会員に対して、1月以降の利用料の請求停止のお知らせメールを送付
3月14日(木) 15時00分	プレスリリース第4報をオージス総研ホームページに掲載、記者会見を実施

リスト

トピックス

[Sponsored]

宅ふぁいる便、会員情報漏洩事案の調査結果を報告、当初発表した情報以外の漏洩はなし

おすすめのホワイトペーパー

トピックス