オージス総研は2019年3月14日、クラウド型のファイル受け渡しサービス「宅ふぁいる便」がユーザーの個人情報を漏洩させた事件について、詳細調査(ログ分析)の結果を発表した。発表済みの漏洩情報(件数や内容)以外には漏洩がなかったことを確認したという。
クラウド型のファイル受け渡しサービス「宅ふぁいる便」は、2019年1月22日に不審なファイルを検知して内部調査を開始、翌日23日にサービスを停止した。運営会社のオージス総研は、調査の結果、ユーザーの個人情報が約480万件漏洩していることが分かったため、同日1月25日のプレスリリースで報告した。
その後、同社は外部セキュリティ専門事業者の協力を得て詳細調査(ログ分析)を実施した。調査の結果、1月25日にプレスリリースで報告済みの漏洩情報(件数や内容)以外に漏洩がなかったことを確認した。これを受けて今回、プレスリリースで報告した。
確定した漏洩件数は、481万5399件である(表1)。内訳は、ビジネスプラス会員(有料会員)が2万2569件、プレミアム会員(無料会員)が475万329件、退会者が4万2501件である。有料会員と無料会員の件数については、ログイン用メールアドレスが無効でオージス総研からの連絡が届かない件数(134万8361件)を含んでいる。
| 会員種別 | 件数 |
| ビジネスプラス会員(有料会員) | 2万2569件 |
| プレミアム会員(無料会員) | 475万329件 |
| 退会者 | 4万2501件 |
| 合計 | 481万5399件 |
| (有料会員と無料会員の件数については、ログイン用メールアドレスが無効でオージス総研からの連絡が届かない件数(134万8361件)を含む) | |
漏洩内容は、氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名、メールアドレス2、メールアドレス3、である。加えて、2005年から2012年の期間については、必須入力情報ではないが、ユーザーが回答した情報として、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者、子供の情報を含む。
なお、職業・業種・職種、配偶者、子供については、該当する選択肢番号を選ぶ形式であるため、具体的な職業・業種・職種、配偶者や子供の有無などは明記していない。
オージス総研は、不正アクセスの検知から今回の確定報告までの経緯をまとめている(表2)。
| 日時 | 概要 |
| 1月22日(火) 9時38分 | 不審なファイル検知と内部調査を開始 |
| 1月22日(火) 11時00分 | システムの管理を委託しているパートナー企業への調査を開始 |
| 1月22日(火) 19時45分 | 攻撃元IPからの通信を遮断 |
| 1月23日(水) 10時50分 | 宅ふぁいる便のサービスを停止 |
| 1月23日(水) 14時44分 | 外部セキュリティ専門事業者協力による調査を開始 |
| 1月24日(木) 20時10分 | 宅ふぁいる便のWebサイトおよびオージス総研ホームページに「宅ふぁいる便サービスの一時停止のお知らせとお詫び」を掲載 |
| 1月25日(金) 15時30分 | ユーザー情報が外部に持ち出されたことが判明 |
| 1月25日(金) 19時00分 | プレスリリース第1報をオージス総研ホームページに掲載、記者会見を実施(不正アクセスによる情報漏洩のお詫びとユーザーへのパスワード変更などのお願いを実施) |
| 1月26日(土) 2時50分 | プレスリリース第2報をオージス総研ホームページに掲載 |
| 1月26日(土) 3時22分 | すべての会員に対して、不正アクセスによる情報漏洩のお詫びとパスワード変更などのお願いを行うメールを送付 |
| 1月26日(土) 9時00分 | 電話およびメールによるユーザーからの問い合せ受付を開始 |
| 1月28日(月) 13時00分 | プレスリリース第3報をオージス総研ホームページに掲載 |
| 1月28日(月) 15時58分 | すべての会員に対して、情報漏洩の状況報告とパスワード変更などのお願いを行うメールを再送付 |
| 1月29日(火) 18時30分 | ビジネスプラス会員に対して、1月以降の利用料の請求停止のお知らせメールを送付 |
| 3月14日(木) 15時00分 | プレスリリース第4報をオージス総研ホームページに掲載、記者会見を実施 |
