宅ふぁいる便の利用実態把握出来ていますか?480万件のPW含む個人情報が平文で流出
2019年1月25日、国内ファイル共有サービスで高い利用率を誇る「宅ふぁいる便」が不正アクセスの被害を受け、サービス提供元で有るオージス総研は480万件を超える情報漏洩が発生した可能性が有ると発表した。
宅ファイル便は無料で利用できる「宅ふぁいる便」と、有料サービスの「宅ファイル便プレミアム」「宅ふぁいる便ビジネスプラス」が有り、今回全てのプランが不正アクセス被害の対象となっている。なお、類似サービスの「オフィス宅ふぁいる便」は今回の不正アクセスの影響を受けていない。
現在不正アクセス被害を受けたサービスは停止中で有り、2019年1月28日23時時点では復旧の目途は立っていない。
企業の情報システム管理者は今回の「宅ふぁいる便」の不正アクセスについて、単なる1サービス事業者の不正アクセス被害と軽く受け止めるべきでは無い。まずは自社のプロキシサーバのアクセスログ等を調査し、自社の社員が「宅ふぁいる便」を「無断で利用していなかったか?」を調査し、利用実態を把握すべきと考える。そして利用者が確認出来た場合には、その利用者が「宅ふぁいる便」で利用しているID/PWを他で使いまわしていないかを確認し、使いまわしていた場合には即座に変更させるべきで有る。
■情報漏洩の影響範囲
現在、情報漏えいが確認された内容について以下に記載する。
1.現時点で漏洩が確定したお客さま情報 (下線部分は新たに漏洩が確定した情報)
(1)2005年以降、全期間を通じてお客さまにご回答いただいている情報
・氏名(ふりがな)、ログイン用メールアドレス、ログインパスワード、生年月日、性別、 職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3
(2)上記に加えて、2005年~2012年の期間でのみ、お客さまに回答いただいていた情報
・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※
※発表内容には、保存されていたファイルが被害に有ったかは明記されていない。
また、同発表のFAQによれば、今回流出した同サービスのパスワードは暗号化されておらず、同サービスの利用者が「宅ふぁいる便」と共通のID/PWを使いまわしている場合には、すみやかに変更するようアナウンスしている。
■セキュリティリスクの高い「宅ふぁいる便」
筆者が普段利用しているクラウドのリスクアセスメントに利用するCASBというツールを用いると、無料で利用可能な「宅ふぁいる便」は「ハイリスク」に分類される。ハイリスクに分類される主要な理由は以下の点で有る。
- 保存されているデータが暗号化されていない
- ISO27001等の情報セキュリティに関する認証を取得していない
- 利用者が各種監査ログを参照出来ない
保存データが暗号化されていないため、もし「宅ふぁいる便」に保管されているデータをサイバー攻撃者が入手した場合には、中身を容易に盗み見られる可能性が有る。また、不正アクセスの被害状況を調べようにも監査ログを参照する機能は提供されていない。もっとも無料で利用可能なサービスなので、利用する側はこういったリスクを理解した上で利用しなければならないが、殆ど理解されないまま利用されているのが実態だろう。
また、オージス総研はFAQに以下の記載をしている。
Q3. 過去に会員登録したことがあるが、漏洩対象となっているのか?
A. 退会済であっても過去に会員登録したことがある方については漏洩対象になっている可能性があります。
出典:出典:ご質問一覧
この回答から読み取れることは「利用者情報が削除されていない」ということで有る。過去に「宅ふぁいる便」を利用していたけれども、既に退会した人の情報までもが「暗号化」されていない状態で保持され続けていたということだ。クラウドサービスで見過ごされがちなセキュリティリスクとして、サービス退会後のアカウントやデータ削除をサービス提供者が実施しているか?という観点が有るが、「宅ふぁいる便」は退会者の情報が削除されていなかったことが今回の件で明らかになった。
■多くの企業でシャドーITとして検出される「宅ふぁいる便」
無料で社外の人とファイルを共有出来るサービスとして、古くから「宅ふぁいる便」は日本の多くの企業で利用されてきた。今回のサービス停止で早急なサービス復旧を望む声も多い。利用者視点では便利なサービスで有る一方で、情報管理責任者の立場では悩みの種で有ることも多い。
筆者は普段企業内で管理部門に無断で利用されている「シャドーITの実態調査」を実施しているが、多くの企業で検出されるのが、この「宅ふぁいる便」で有る。そもそも「宅ふぁいる便」はファイルを保管可能な「クラウドストレージ」に分類される。従業員の利用方法次第で機密情報や個人情報を「宅ふぁいる便」で共有するということが簡単に出来てしまうのだ。
「シャドーITの実態調査」で、この「宅ふぁいる便」が検出された企業の情報管理責任者の反応は様々だ。即座に利用を停止する企業やガイドラインを整備する企業が有る一方で、「昔から利用しているから問題無い」「機密情報をアップロードする社員なんていない」「数名利用しているだけだから問題ない」と言った、社員の性善説で利用を容認する企業も存在する。情報セキュリティ対策レベルは企業によりバラツキが有るので温度感が異なってくるのが実態だ。
しかし、筆者の調査企業で唯一共通していたことは「無料の宅ふぁいる便」を正式なファイル共有サービスとして企業で正式採用しているケースは一社も無かったという点だ。
■利用実態を企業側が把握出来ていないのが一番の問題
今回480万件という大規模な不正アクセス被害となった「宅ふぁいる便」だが、多くの利用企業で「宅ふぁいる便」の正確な利用実態が把握出来ていないと推測される。前述した通り、企業側としては「無料の宅ふぁいる便」を正式採用しているケースは少なく、従業員が無断で利用しているケースが多いと推測されるからだ。
筆者の経験では、多くの企業で検出されるサービスで有り、「うちは大丈夫」と根拠の無い自信を持つよりは、自社のプロキシサーバのアクセスログを精査することを推奨する。本来利用が認められていないにも関わらず「宅ふぁいる便」の利用が認められた場合には、今回の件を契機に、社員が無断で利用する「シャドーITの実態調査」を実施することを推奨する。
