仮想通貨の発掘は悪なのか？ VS. 平文パスワード保存は是なのか？：セキュリティクラスタ まとめのまとめ 2019年1月版（3/3 ページ）

[山本洋介山（メルカリ），＠IT]

「宅ふぁいる便」に攻撃、約480万件の顧客情報が流出

　国内で最も普及しているファイル共有サービスの一つ「宅ふぁいる便」が不正アクセスを受けて、約480万件の顧客情報が流出したという発表が1月24日にありました。流出した内容は、氏名とログイン用のメールアドレス、生年月日、性別、職業（業種と職種）、居住地の都道府県名の他、一部、勤務先や配偶者に関する情報などだということです。

　2005年以降という長期間にわたる情報の流出です。最近使っていないからといって安心というわけではないようです。さらに退会済みであっても、過去に会員登録したことがある方については漏えい対象になっている可能性があるそうです。そして2019年1月13〜23日はサービスを使って送ったファイルが実際には送信できていなかった可能性もあったそうです。

　これを受けて多くのユーザーから、現在もサービスを使っている、過去によく使っていたというツイートがありました。大阪ガス系列の信頼できる日本企業が運営しているから業務で使っていた、というツイートも多くあり、現在サービスが停止していることで多数の国内企業の業務に支障が出ていることがうかがえました。

　事件発覚直後は、流出したパスワードがどのように保管されていたのか、はっきりしたことが分かりませんでした。その後、公式発表が更新されていく中で、ハッシュではなく平文だったことが明らかになります。

　パスワードを使い回しているユーザーは、他のサービスのアカウントまで盗まれる危険が出てきました。これを心配するツイートの他、自身のパスワードの使い回しを反省しているツイートもありました。

• 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について（お詫びとお願い）

---

　この他にも、1月のセキュリティクラスタは次のような話題が注目されていました。2月はどのようなことが起きるのでしょうね。

• 家庭のIoT機器に国が“無差別侵入”調査（関連記事）
• Ethereum Classic（イーサリアムクラシック）が51％攻撃を受ける（関連記事）
• Chromecastが攻撃されて、YouTubeのセキュリティ啓蒙（けいもう）ビデオが送信される
• Androidの有名なアプリ「ES File Explorer」の脆弱（ぜいじゃく）性が公開されて大騒ぎ
• 佐川急便をかたる詐欺アプリ（sagawa.apk）が大量にばらまかれる
• PHPのPEARパッケージマネージャにバックドアが仕込まれていた
• 匿名質問サービス「Peing」、全ユーザーのTwitterアカウントに影響する脆弱性が発覚する

著者プロフィール

山本洋介山（株式会社メルカリ）

Webサイトの脆弱性を探す仕事の傍ら「twitterセキュリティネタまとめ」というブログを日々更新しているTwitterウォッチャー。たまにバグバウンティもしています。