【宅ふぁいる便】不正アクセスで個人情報が漏洩、約480万人の会員情報が外部流出【追記：2020年3月末で宅ふぁいる便終了】

2019年1月26日
雑記

雑記

【2020/1/16更新】2020年1月14日、オージス総研は2020年3月31日をもって宅ふぁいる便を終了することを発表。

2019年1月25日、「宅ふぁいる便」を運営する大阪ガス子会社・オージス総研が記者会見を行い、不正アクセスを受け、約480万人の会員情報が外部へ流出したことを発表。

「宅ファイル便」はメールで送りにくい大きなデータファイルを転送するサービス。「無料（一部有料あり）」ということもあって年間約7000万件の利用があるとのこと。

私自身も年に片手で数えられる程度と少ないものの、宅ふぁいる便を利用する（していた）1人なのでYahooニュースを見て「ゲゲッ」となりました。

宅ふぁいる便は、一旦こちらのデータをアップロードし相手側にダウンロードしてもらう形です。なので、こちらで防ぐ手立ては無いため「何とかならないものか」と思いますが、サービスを提供する側でセキュリティ強化してもらうしかないですね。

ここ1年ぐらいは全く利用する機会もなかったのですが、過去に会員登録を行い実際に利用していたこともあり、1月26日に「宅ふぁいる便事務局」から「お詫びとお願い」のメールが届いています。

過去に宅ふぁいる便の利用に心当たりのある方やメールが届いていない方のために、私の手元に届いたメール内容を載せておきます。

1 宅ファイル便
2 お詫びとお願いのメール内容（1/26分）
3 漏洩（外部流出）した個人情報・会員情報
4 漏洩（外部流出）した個人情報・会員情報に問題が
5 フィッシングメールには対応しないこと
6 最近まで利用していた方
7 「過去に会員だった方」も注意
8 他のサービスで同じIDやパスワードを利用している方（二次被害防止のために）
9 まとめ
10 退会などの手続きができる宅ふぁいる便Web特設サイトが開設【追記】
11 2020年3月31日で宅ふぁいる便終了【追記】

宅ファイル便

大阪ガス子会社・オージス総研が提供する大容量データファイル転送サービス

宅ふぁいる便公式サイト：https://www.filesend.to/

オージス総研公式サイト：https://www.ogis-ri.co.jp

宅ふぁいる便Web特設サイト：https://contact.ogis-support.jp/

お詫びとお願いのメール内容（1/26分）

【メール内容は宅ふぁいる便ホームページの内容とほぼ同じ内容です。】

「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について（お詫びとお願い）

ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、現在ご利用のお客様だけでなく、すでに退会されたお客様も含めて、お客さま情報が外部に漏洩していることが判明いたしました。

多大なるご心配とご迷惑をおかけしておりますことを、深くお詫び申し上げます。

１．お客さまへのお願い
他のウェブサービスで、「宅ふぁいる便」と同一のユーザーID（メールアドレス）、ログインパスワードを用いてご利用されているお客さまは、他のサービスでお使いのログインパスワードを変更いただきますようお願いいたします。

２．漏洩したお客さま情報

（１）内容
・「宅ふぁいる便」のお客さま情報

・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地（都道府県のみ）

・送信ファイルの漏洩については調査中です。

ファイルはお客さまからお預かりしてから最長10日でシステム的に削除されています。

（２）件数　約480万件

３．経緯、原因

・1月22日11時、当社が認識していないファイルが「宅ふぁいる便」サーバー内に作成されていることを確認し、システムを管理している社員　およびパートナー企業に確認。

・1月22日13時、社員およびパートナー企業から作成していないとの報告を受け、第三者機関を含めて、原因の究明、被害状況などの調査を開始。

・1月22日19時、「宅ふぁいる便」サーバー内に不審なアクセスログを確認。

・1月23日10時50分、情報漏洩などの被害防止のため「宅ふぁいる便」のサービスを停止。

・1月24日20時、当社ウェブサイトにて「『宅ふぁいる便』サービスの一時停止に関するお知らせとお詫び（第一報）」を掲載。

・1月25日15時30分、お客さま情報の漏洩を確認。

なお、現時点で具体的な被害は確認されておりませんが、引き続き第三者を含めた調査を行っており、詳細が判明次第、下記URLにてお知らせいたします。
https://www.filesend.to

４. 宅ふぁいる便のサービス再開について

現時点で、サービス再開の目途は立っておりません。

お客さまの大切な情報が漏洩する事態となり、大変なご迷惑、ご心配をおかけすることになりましたことを重ねてお詫び申し上げます。

以上

お問い合わせメールアドレス：bs_inquiry_takufile@ogis-ri.co.jp

漏洩（外部流出）した個人情報・会員情報

【2019年1月25日公式サイト発表】

・「宅ふぁいる便のお客様情報」

・メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地（都道府県のみ）

引用公式サイト：https://www.filesend.to/

【2019年1月28日公式サイト発表】

１．現時点で漏洩が確定したお客さま情報（下線部分は新たに漏洩が確定した情報）

（１）2005年以降、全期間を通じてお客さまにご回答いただいている情報

・氏名（ふりがな）、ログイン用メールアドレス、ログインパスワード、生年月日、性別、職業・業種・職種※、居住地の都道府県名、メールアドレス2、メールアドレス3

（２）上記に加えて、2005年～2012年の期間でのみ、お客さまに回答いただいていた情報

・居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者※、子供※

※該当する選択肢番号を選ぶ形式のため、具体的な職業・業種・職種、配偶者や子供の有無などは明記されていません。

引用公式サイト：https://www.filesend.to/

【2019年3月14日公式サイト発表】

１．被害の状況

（１）漏洩件数：481万5,399件

①ビジネスプラス会員

（有料会員）
2万2,569件(*)

②プレミアム会員

（無料会員）
475万329件(*)

③退会者 4万2,501件

合計 481万5,399件

(*)ログイン用メールアドレスが無効で当社からの連絡が届かない件数（134万8,361件）含む

ー中略ー

５．宅ふぁいる便の今後について

将来にわたって安心してご利用いただくために、最新技術の採用や利便性向上等のためのシステム再構築が必要であることから、本サービスは当面休止とさせて頂きます。今後の対応につきましては、方針決定後速やかに当社ホームページ等でお知らせします。

引用オージス総研公式サイト：https://www.ogis-ri.co.jp/

漏洩（外部流出）した個人情報・会員情報に問題が

個人情報（会員情報）が外部流出したこと自体が問題なのですが、その中でも最も問題なのが「パスワードが暗号化されていない」ということ。

「暗号化されていない」となると「生のパスワード（平文）が認識できる」といった状態。こうなってしまうと、他のサービスでも悪用されやすい状況になっています。

外部流出してしまったのはどうしようもないので、二次被害を防ぐようこちらで手立てを打つしかありません。

フィッシングメールには対応しないこと

宅ふぁいる便に登録された会員情報の提供、パスワードの再発行、口座番号の確認などはオージス総研（宅ふぁいる便）では実施していないので、成りすましによるフィッシングメールが送られてきても対応（返信や個人情報入力など）しないよう注意が必要です。

メールが送られて来たら、件名や送信元メールアドレス、送信者名をよく確認するようにしてください。

私自身、過去に「Amazon」の成りすましメール（フィッシングメール）が送られてきたことがありました。幸いにも、一目でフィッシングメールとわかるようなお粗末なものでしたけど。

最近まで利用していた方

オージス総研の記者会見では、1月23日にサービスを停止していることから

「1月13日から1月23日のサービス利用では、送信されたファイルが転送できていない可能性がある」

とのことなので、この期間に利用したことがある方は送り先へファイルがちゃんと届いているかどうか要確認です。

「過去に会員だった方」も注意

公式サイトの「ご質問一覧」では、以下のような質問・回答があります。

Q3. 過去に会員登録したことがあるが、漏洩対象となっているのか？

A. 退会済であっても過去に会員登録したことがある方については漏洩対象になっている可能性があります。

外部流出したパスワードを暗号化していなかったことも問題ですが、退会しているユーザー情報も消去することなく保存していた点。

退会したユーザーに関する情報は、退会時に消去するべきだと思うのですが・・・。

消去していなかったというのは「何か別の目的で利用しよう」とでも考えていたのでしょうか？そう疑われても仕方ないですね。

他のサービスで同じIDやパスワードを利用している方（二次被害防止のために）

ウェブ上のサービスを利用するのに「ユーザーIDやメールアドレス・パスワードをサービスごとに変えていると覚えていられない、忘れてしまう」ということもあり、「同じユーザーIDやメールアドレス、パスワードにしている」という方も多いと思います。

ですので、「宅ふぁいる便と同じユーザーIDやメールアドレス、パスワードにしている」方は、出来る限り他サービスで使用しているユーザーIDやメールアドレス、パスワードを早めに変更してくだい。

面倒くさいですが、二次被害にあわないためにも自分自身の身を守るためにも「絶対に」やっておきましょう。

まとめ

大事なデータを預かるサービスを提供している企業なのに、「情報の取り扱いが相当雑だった」ということをこの一件で露呈してしまいましたね。

また、宅ふぁいる便を運営するオージス総研のホームページ内では「セキュリティ対策」を謳っている部分（2019/1/30時点）もありますが・・・。悲しいことに、運営元のセキュリティが対策されていなかった模様。

メールアドレスやパスワードをはじめ重要な個人情報（会員情報）が流出しています。くどいようですが、二次被害だけは避けたいところなので早急に各々で対応するようにしましょう。

退会などの手続きができる宅ふぁいる便Web特設サイトが開設【追記】

宅ふぁいる便Web特設サイト：https://contact.ogis-support.jp/

サービス停止期間中に退会などの手続きが一切出来ませんでしたが、特設サイトから手続きが行えなるようになりました。

特設サイトで利用できる機能や時間、問い合わせ先は以下のとおり。

宅ふぁいる便サービス停止に伴い実施できておりませんでした以下の機能について、特設サイトにてご提供させていただけるようになりました。

① 宅ふぁいる便に登録されているパスワードをご確認いただける機能

② 退会のお申し込み受付機能

③ 宅ふぁいる便ポイント交換機能

本サービスは、宅ふぁいる便の保有データから、必要最小限の項目を抽出し、暗号化等の適切なセキュリティ処理を実施した上で、宅ふぁいる便システムとは完全に分離された、まったく別の環境・サーバー上に別システムとして新たに開発・構築したうえでご提供させていただいております。

以下のURLよりご利用いただけます。
https://contact.ogis-support.jp/
（サービス提供時間　9:00～17:45)

ー中略ー

＜お問い合わせ先＞
０１２０－８５８６４０
（土日祝含む９：００～１７：４５）

一部IP電話等で上記ダイヤルにつながらない場合（有料）
株式会社オージス総研専用受付
０６－６５８４－００９７
（土日祝含む９：００～１７：４５）

お問い合わせメールアドレス：bs_inquiry_takufile@ogis-ri.co.jp
※返信は、「shiroyagi2＠filesend.to」からとなります。ご注意ください。

引用　宅ふぁいる便公式サイト：https://www.filesend.to/

サービス提供時間が「9:00～17:45」となっていますが、サービス提供時間内であっても緊急メンテナンスを実施する場合があるので注意してください。

2020年3月31日で宅ふぁいる便終了【追記】

【2020年1月14日公式サイト発表】

オージス総研は2020年3月31日をもって宅ふぁいる便を終了すると発表しました。

これに伴い「特設サイト」（https://contact.ogis-support.jp/）で提供している「ふぁいる便に登録されているパスワードをご確認いただける機能」、「退会のお申し込み受付機能」、「宅ふぁいる便ポイント交換機能」も終了します。

なお、「オフィス宅ふぁいる便」は別のシステムで運用していることから、引き続きサービスが継続されます。