宅ふぁいる便によるパスワード流出で、私達が取れる対策とは

なにがあったのか？

2019年1月25日、宅ふぁいる便に対し、不正アクセスがあり、約480万件の「お客様情報」のデータが外部に漏洩している事が発覚しました。宅ふぁいる便（※プレスリリース）によると、メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地（都道府県のみ）が流出したとのことで、第1報時には「メールアドレス、ログインパスワード、生年月日」の情報が流出したことを確認したそうです。

何が問題なのか？

問題は第3報にて報告されています。記事中では分かりにくいですが、

「宅ふぁいる便」と同一のユーザーID（メールアドレス）、ログインパスワードを用いて他のウェブサービスをご利用されているお客さまにおかれましては、誠にご面倒ではございますが、ログインパスワードを変更いただきますようお願いいたします。

https://www.filesend.to/index0128.html

このような記載があり、流出したパスワードを”暗号化”して保存していなかった。または暗号→復号することが可能であったと読み取ることができます。

インターネットでの反応（Togetter）

これらの情報から想定出来るリスク

宅ふぁいる便は、個人法人含め、様々な企業に使われています。当然法人として利用していたユーザーの情報が漏洩した前提で対策を考えたほうが良いでしょう。社内システムのログインに会社のメールアドレスと今回漏洩した宅ふぁいる便で使っているパスワードを使っていた場合、最悪二次被害（社内システムの不正ログインも可能になります）にあってしまうリスクも考えられます。

出来る対策

すぐさま、主要なアカウントのパスワードを変更しましょう。悪質なクラッカーが今回漏洩したメールアドレスとパスワードの組み合わせで、Gmail、Yahooメール、Amazon、楽天、AppleID等主要なサービスですでに大量のログインを試みている可能性もあります。もしこれらのアカウントが乗っ取られてしまったら、更に被害が拡大してしまうかも知れません。

安全なパスワードの管理を

パスワードは可能な限り想定されにくく、また使い回さないように複数持つ事が重要です。今回のように暗号化されていないパスワードが漏洩した場合、複数のパスワードを使い回せば、被害を最小限に抑えることが可能です。パスワード認証に加え、２段階認証を組み合わせる事で、さらなるセキュリティの向上が可能になります。

安全で複雑なパスワードの作成の仕方は以下の記事にも書きましたので、是非ご一読ください。セキュリティエンジニアの考える安全で覚えるのが簡単なパスワードの作り方