480万件の情報漏えいの概要

　宅ふぁいる便の情報漏えいについて、すでに多くのメディアが報じているので、ここではポイントだけ整理する。

　インシデントは宅ふぁいる便サービスを行っているサーバ内に不審なファイルを発見（1/22）したことから発覚した。追加調査で不審なアクセスログも確認され、被害防止のためサービスを停止し（1/23）、第一報を発表。その後、情報漏えいを確認した（1/25）。

　漏えいが確認された情報は、1月28日付け同社の第三報によると以下のとおりだ。


　漏えい件数は480万件と発表されたが、漏えいした情報が不正利用された事実は確認されていないとしている。該当するユーザーにはお詫びとお知らせのメールを送付し、同じIDやパスワードを設定している他のサービスのID・パスワードの変更を促し、便乗メール（フィッシング、詐欺）への注意喚起を行っている。

サービス停止などの意思決定の早さは評価したい

　このインシデントに関連して、さまざまな報道がなされ、SNSやブログでも問題点を指摘する声があふれた。現在、事件直後の報道はひと段落し、メディアの報道も落ち着いてきている。

　専門家やメディアの意見では、パスワードを平文（暗号化などの処理をしていない、パスワードそのままのデータ）で保存していた点が特に叩かれた。中には、運営側の事後対応を非難する声もあるが、わかっている状況から判断するに、サービス停止の判断やお詫び・お知らせなど外部への情報発信など、むしろ評価できる。

　異常発見から、調査、サービス停止、第一報など、その後の対応や被害拡大、市場の混乱を回避するためにポイントとなる、重要な意思決定が迅速になされている。インシデントのトリアージやエスカレーションが機能していないとできない対応だ。重大インシデントでは、外部への公表や通知のタイミングや判断が難しいが、時間をかけるほど臆測や風評を呼び、炎上など二次被害のリスクが高まる。ネットの時代、情報管制による制御はむしろ難しい。

　もちろん、サーバに発見されたという不審なファイルがどんなものか、不正侵入がいつ、どのようにして行われたかによって、今後、被害企業の責任が問われることもある。現状の情報でも、運営企業にまったく問題はなかったとは思わないが、事後対応は多くの企業は参考にしてよい。少なくとも、自分の会社がインシデント発覚からほぼ1日でサービス停止まで決定できるかどうか考えてみてほしい。

パスワードの平文保存はあり得ないのか

　多くの専門家が指摘するパスワードの平文保存はどうだろうか。近年のセキュリティ対策では、パスワードの平文保存はありえない。宅ふぁいる便を運営するオージス技研では、なぜハッシュ化せず保存していたかは調査中としている。

　現在のセキュリティの常識では、パスワードは漏えい対策のため、ハッシュ化したデータを保存する方法が一般的だ。しかし、宅ふぁいる便は10年以上前から続くファイル転送サービスの老舗であり、当時はパスワードを暗号化しないで保存するサービスはそれほど珍しくなかったと思われる。

　だからといって、平文保存が許される理由にはならない。リスクを知っていて改善しなかったのなら不作為を問われるし、リスクの認識がなかったとしたら、Webでのサービススキルに問題があったといわざるを得ない。

　しかし、現実問題として、パスワードを平文で保存しなければならない事情も存在する。

【次ページ】パスワードを平文保存しなければならない事情とは？