treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

宅ふぁいる便で不正アクセス⇒困ったな…。

便利なファイル送付サービスである「宅ふぁいる便」で情報漏えいと言うニュースでメディアがにぎわっています。

困ったことに、これのユーザでした。

週末にメールがきた

宅ふぁいる便の提供元から状況の説明をするメールが届きました。

真っ先に指定されたのは、宅ふぁいる便で利用しているユーザID=メールアドレスと同じパスワードを利用している他のサービスがあるユーザは、すぐにログインパスワードを変更するようにしてね、という趣旨のお願いが記載されていました。
漏えいした主な情報は

  • メールアドレス
  • ログインパスワード
  • 生年月日
  • 氏名
  • 性別
  • 業種・職種
  • 居住都道府県

といった情報。

宅ふぁいる便はファイル送受信サービスということもあって、実際にアップロードしたファイルが漏えいしたかどうかと言う点はまだわかってないそうです。ただ私は月末しかファイルのアップロードをしていないので、たぶんこの辺は心配しなくてもよさそう。

 

うーむ、困ったな。

困ったな…、というのもこのサービスを定期的(毎月末)に利用している状況なんですよね。
最初にニュースを見たときには「不正アクセスがあった」という話だけだったのですが、続報がメディアから流れるにつれて徐々に「これ、ちょっとマズいな…。」と思う状況に変わってきました。
22日に不正アクセスを確認後、翌日23日には宅ふぁいる便のサービス停止となりファイル送信サービスが使えなくなっていました。そしてサービスが停止したのに続いて、週末(金曜)の発表で情報の漏えいがあった、ということが確定したよう。

で、週末の現時点ではサービス再開の目途は立っていないという状況なのですが、うーん、月末に宅ふぁいる便で一部の顧客に請求書送っているんです。こいつぁ困った。

詳しくは

https://www.filesend.to/
に。

f:id:treedown:20190127145205p:plain

普段はログインページなんですがインシデント発生以降はインシデントの報告ページとなっております。

不幸中の幸い

送信先となる相手のメールアドレスは一切このシステムで利用しておらず、自分の別メールアドレス宛にファイルアップロード⇒自分にメールが来る⇒受信したメールにあるURLを顧客宛に送信、というステップで利用していたため、幸いにも自分の会員情報や自分のメールアドレス以外は今回の漏洩対象になっていないということになります。
ここだけは不幸中の幸いでした。自分の情報しか漏えいしなかったので。

とはいえ、自分の情報は漏えいしてしまったので、やっぱダメージはあります。

代替が必要そう

ひとまずサービスの復旧は難しそうなのでしばらく代替手段を考えるしかないなぁ、と言う状況。やっぱ真っ先に思いつくのはOneDriveですかね。
OneDriveの共有フォルダにファイルを置いて、長いURLが生成されるからそのURLをメールで送信、それでも不安があればファイル自体をパスワード付きZIPファイルにしてしまえば「それなり」のセキュリティでファイル送信はできそうです。

とはいえ、いったん漏えいした情報はもはや元に戻らないという点があります。

こういうときのために、いちおう登録メールアドレスはGmailのプラスメールアドレスとしてこのサービス専用のアドレス文字列にしていたので、不審な動きやスパムメール受信などがあれば、ユーザIDであるメールアドレスごと一新してしまおうと思います。

不幸中の幸いだったのは、この宅ふぁいる便サービスを契約先の顧客にも利用をお勧めしようと思っていた矢先のこの出来事、という点。

おススメしようとしたサービスがこうなってしまうと、うーむ、なかなかに厳しいものがあります。

追記(2019-3-21):

よさそうなサービスが3月12日にリリースしたので、やってみました。

blog.treedown.net

これで宅ふぁいる便の代替になりそうな感触があります。