【ファイル転送】「宅ふぁいる便」の大規模情報漏えいにITジャーナリスト「過去10年で一番びっくり。史上まれに見る“バカな流出”」
■ このスレッドは過去ログ倉庫に格納されています
宅ふぁいる便が不正アクセスを受けて、大規模な情報漏洩が発生した問題
ITジャーナリストの三上洋氏は「史上まれに見る『バカな流出』」と指摘した
「暗号化して保存するのが当たり前で、2019年に起きたと思えない」と述べた
メールでは送りにくい大型のファイルを無料で転送するサービス「宅ふぁいる便」で、大規模な情報漏えいが発生した。
宅ふぁいる便は今月22日に海外からの不正アクセスを確認し、翌23日にサービスを停止。25日にメールアドレスなど約480万件の情報漏えいを確認していたが、28日に新たに情報漏えいが発覚した。
漏えいが確定した情報は、氏名、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種、居住地の都道府県名・郵便番号、勤務先の都道府県名・郵便番号、配偶者、子ども。すでに退会していても漏えい対象になっている可能性がある。
今回の情報漏えいについて、ITジャーナリストの三上洋氏は「過去10年で一番びっくりした。史上まれに見る“バカな流出”だ。今回、漏えいした個人情報は暗号化が一切されていないという。暗号化して保存するのが当たり前で、2019年に起きたと思えない」と指摘。また、宅ふぁいる便にファイルが見られる可能性に問い合わせたところ「『まだ事例は確認されていないが可能性はある』と認めた」とした。
では、宅ふぁいる便の利用者・利用したことがある人はどうすればいいのか。まず、宅ふぁいる便で使用していたメールアドレス・ログインパスワードを他のウェブサービスでも使っていた場合、そのログインパスワードを変更することを推奨。また今後、宅ふぁいる便を装う「偽装メール」が届いたとしても絶対に対応しないよう注意が必要だ。退会手続きもサービスの復旧(めど未定)まではできない。
http://image.news.livedoor.com/newsimage/stf/f/d/fd111_1585_064c325a42d34f3f86289c6b2dd6dd25.jpg
https://lpt.c.yimg.jp/amd/20190129-00010019-abema-001-view.jpg
https://lpt.c.yimg.jp/im_siggNEhVyV5mWYU6bUEETfvVtw---x900-y463-q90-exp3h-pril/amd/20190129-00010019-abema-002-view.jpg
2019年1月29日 18時20分
AbemaTIMES
http://news.livedoor.com/article/detail/15944672/
関連スレ
【プライバシーマーク取得企業】「宅ふぁいる便」情報流出 平文のパスワードに加えて氏名・職業も流出
https://asahi.5ch.net/test/read.cgi/newsplus/1548722798/
【ファイル転送サービス】宅ふぁいる便、数百万件の個人情報が流出 緊急会見へ
https://asahi.5ch.net/test/read.cgi/newsplus/1548416335/
世界『ドイツと中国は融合して一体何を企んでるの?』
ギガファイル便のが人気あるよ
割と仕事で使う人がいてどうかと思うけど まあ、当たり前言うけど宅ふぁいるでこの有様じゃ他のところも言うほど対策してないだろうな。 なんかメールきた
パスワードの使い回しについて注意があったが、宅ふぁいる便のパスワードなんて覚えとらんわ
サイトは今回の件の告知だけになってるから、確認のしようもない
どないせっちゅうねん なんか代わりのおすすめある?
ギガファイル便は仕事で使うにはビジュアルが… 情報流出したのでログイン用パスワードと配偶者を変えます まだあったんだな久し振りに名前を聞いたよw
俺が使ってた頃はヤフーブリーフとかここが有名どころだったけど
ヤフブリ終了してんだな今見たらw 使ったことあるか記憶にないんやけどメール来てなければセーフ? おれはレンタルサーバーにパスワード付きのzipファイルをアップロードしてurlだけ送るなあ、簡単で安全だよ 宅ファイルからパスワード変えろってメールばんばん来るんだが
これ詐欺メールだよな
ほっとけばいいんだろ? こいつは何言ってんだ。2019年でもSMTP使いまくりの世の中で こんなレベルのセキュリティだから
日本はあらゆる産業でスパイされ
負け続けるんだよなw ネット関連の登録なんてのはすべて嘘情報でいいんだよ
メルアドだけは本物でw
でも最近はIDの紐付けとか勝手に大手はやるからめんどいwww 2005年かw
10年以上前の設計じゃしょうがない。
無料サービスだから、昔のまんま使ってたんだな。 10年以上前に使ったことあるわ。その頃から個人情報変わりまくってるから別にいいわ 流出の方法が分からないと何ともな
暗号化して保存してても復号して抜き取られたら忌みないし
この手は犯人捕まえられないのかね?
後スパム系のメールも軽犯罪などでどうにかできないのか?
今の所あの手は、無視する以外方法無いだろう?
ネットワークで繋がっている以上この手のリスクは何処でも起こりえるからな
場合によっては内部犯とかもありえるし パスワードが暗号化されてないってなんなのよ
広告だらけのサービスはダメだな >>1
過去十年なら、もっと呆れるような不正アクセスや漏洩事件
山ほどあったんだけど ITジャーナリスト三波伸介氏「びっくりしたなぁ、もう」 もうこのサービスは閉じるべきだろう
存在意義無いよね? 割れファイルの共有ぐらいしか 昔のサービスて、個人情報こんなに登録しないと使えなかったんだ。 宅ふぁいる便って久しぶりに聞いたな
まだ残ってたことに驚きだ ん?無料版しか使ったことないけどパスワードとかあったのか? 流出とは違うかもしれないが、ペイペイのやらかした事の方が最悪だと思うが?
直接的に金を動かせるクレカの登録を、無制限にやり直せたとか異常だとは思わないの? セキュリティ上の理由でDropbox拒否る企業相手に使ってたけど… >>42
中小が思いっきりガンガン使ってるんですわw
まあ宅ふぁいる便の存在意義・・・意味はなくなったな むしろ個人情報を集めて売る会社なんじゃないの
今回それが発覚した、と
会員登録で家族まで入力する必要あんのかい Xpから10に去年やっと切り替えたシンクタンクさえある御国柄だからなw
知られざるローテク国家の側面が日本にはある 度々情報漏洩がニュースになるけど、厳しい罰則が適用されたり社会的なダメージを受けたり、言うほどないような気がするなぁ >>61
顧客がガクッと減るから
影響でかいよ
まともに機能してる情シスがいる会社ならまず許可降りなくなるし 生年月日は主要4情報の1つで、対役所で重要なデータ
各種届出に必須なので、有ると無いとでは流出データの価値が違う
それをあまりに安易に蒐集し流出させる企業の意識が低すぎる
サービス入会で、生年月日を求める必要がどこにあるのか
生年と何月生まれだけでなぜアカンのか こういうの増えるだろうし無料はやっぱり辞めた方が良いんだろうなぁ。
ある程度金払ってやらんとトラブっても責任取れんだろ。 無料の方はメルアドとパスワードだけで、
個人情報入力する欄があったかどうかすら覚えていない トップがお詫びページのままで、会員情報調べられないから、どのアドレスやパスワードで登録したかも分からんわ オレが関わってた案件でもログを見るとログインパスワードが平文で記録されてたな。。。あれは大丈夫か? 個人情報に対する心のハードルが下がってるなあ
バカは勝手にしてればいいがな おまえらまだインターネットなんていう50年以上前のモノ使ってんのか?
いい加減次の使えよ >>68
俺の会社だとセキュリティクライシス扱いで役員が出てくるぐらい大騒ぎになる 14年前に取引先にファイル送るのに使ってたけどこれ大丈夫なのかなー ジャップのネットサービスは危ないな。そもそもSEの質が低いから仕方がない。 登録した時とメアド変えたまま放置してるんだがこういう場合ってお知らせとか来ないんかな 送ったファイルの中身は大丈夫なん?
かなりシークレットな内容のファイルも送ってる会社多いでしょ >>56
きっと最初のシステム作ったバイト学生がもういないから、そのまま使ってるとかだろ
10年無事だったからこの先も大丈夫!とか言って
暗号化自体は、一行か二行ぐらい追記するだけ
$angou = encode_base64($angou);
みたいな感じ?
何を鍵にするかで複雑さ変わってくんだろうけど 20MB超えだと客は宅ふぁいる便で送ってくるな
それに手を加えて、こちらはオンラインストレージにうp、そのファイル単体で「公開」→簡易urlを伝える→受け取り確認で即削除 >>82
それだと変数に平文が残るからアウト
必ず暗号文を生成した直後に直前の平文を格納したメモリデータをクリアする処理を加えないと
メモリリークやホールを突かれたら全部データ露出する ペイペイのセキュリティコード総当たりで突破よりもバカなの? 暗号化したって鍵が同じサーバにあったらダメな場合もあるんじゃない? >>51
dropboxってセキュリティ的に問題あるの? >>89
よく分からんけど社内のネットワークからDropboxのようなサービスへ接続することが禁止されてるんだって
ギガファイル便使っても、宅ふぁいる便使っても一緒のような気がするんだけどね 無料の奴のログインにパスワードとか入れさせる必要ってあるのか? >>89
全データがアメリカの国土安全保障省政に流れてるって有名だよ
会社役員にも政治家いるし 今んとこ被害ないけど、つうかセットで盗まれるとかパスワードの意味がないな
暗号化すればいいのに >>87
バカだね
paypayの方はカード情報の使い方の誤りと言うか、狙って作った穴 >>63
ならうちは大丈夫だな
マトモに機能してる情シスなんて居ないぜ♪ GoogleドライブやDropboxはNG、
こういう化石サービスならOKっていうのが取引先の一流ジャップ製造業
気が狂ってる 登録系て流出したら脆いですな…
firestorageに暗号化したファイル上げるのが安心ですかね なにこれ、こんなサービスあったんか
使ったことないわ 1番はヤフー系のサーバーサービス?だかで大量の企業データ消し飛ばしたやつかな >>101
そういう会社にはOneDrive薦めると通るぞ
マイクロソフトですから!って 別スレにプライバシーマーク取得企業なのにみたいなとぼけた記事が書いてあったがPマークもISMS取得していても情報管理がずさんな会社はいくらでもある
Pマークは個人情報管理責任者を置いて体制を作れば取得可能、ISMSは立ち入り検査の時だけデスク上に情報が散乱していなければ取得可能
情報漏洩事故や個人情報転売なんかしてもISMS保有したままの企業すらある パスワード忘れた俺はどうしたらいいんや、ブラウザのパスワード履歴にも残ってないから調べようがねぇわ 取引先が宅ふぁいる便じゃないとダメていうから登録して
1回だけ利用したんだけど・・・。
同一ログインパスワード使い回ししてたら変更しろって・・・。
パスワード覚えて無いからメールで問合せしても、
逃げ回られてる。 orz >>1
不正アクセス かあ、、、 オンラインハッキングばかりが不正アクセスじゃない。
従業員がHDやUSBメモリーにコピーして売り飛ばすのも不正アクセスだからなあ。。。
まず、会社が売ったんじゃないっていう身の潔白を証明しろよ。 DropboxはURL伝えても戸惑う奴が少なからずいて「ダウンロードできません」「添付ファイルで送ってください」「CD-Rで送ってください」といわれる事がたまにある
URLの最後を「0」から「1」に変更すると、自動的にダウンロードされるのでトラブルが減る >>111
俺もそれで4、5年前に1回だけ利用したわ
登録内容なんて覚えてねー >>111
おい
他のサービスの方のパスワード変えればいいだけじゃん >>119
今話題のTカードのパスワードが宅ふぁいる便と一緒だわ(´・ω・`) 昔から使ってるパスワードはあちこちで使いまわしてるからもう何が何だか分からない
最近のはキーチェーンで管理してるけど >>111
自分もそれ
パスワード使い回しはしてないと思うけどどんなパスワードか分からないから確証がなくて気持ち悪い 自分は宅ファイル便のアカウントなんて持ってなくて
過去他の人からここ経由でファイルを送られた事が何度かあるんだけど
その時のこちらのメールアドレスも記録が残ってて流出してるんだろうか? うちの会社は串でこれにアクセス出来ないようになってたけど正解だったな ■ このスレッドは過去ログ倉庫に格納されています
