オージス総研は1月28日、同社が運営するファイル転送サービス「宅ふぁいる便」の一部サーバーに対する外部からの不正アクセスについて第3報を発表した。
これは、1月13日から1月23日の期間で、不正アクセスを受けた可能性があると発表したもので、23日午前10時50分ごろから現在(29日15時)に至るまでサービスを停止している。
1月25日に発表した第1報では、約480万件の利用者情報がデータ(メールアドレス、ログインパスワード、生年月日、氏名、性別、業種・職種、居住地となる都道府県)が外部に漏洩したことを確認。第2報では、質問一覧ページを設け、流出したログインパスワードが暗号化されていなかったこと、退会済でも過去に会員登録があれば漏えい対象になっている可能性があることなどが公表された。
第3報では、調査の過程で、特定期間で取得していた利用者情報などについても漏洩していることが判明。第1報に加え、2005年から全期間で、氏名(ふりがな)、職業(任意回答)、メールアドレス2、メールアドレス3の漏えいが確認された。
さらに、2005年〜2012年の期間でのみ、居住地の郵便番号、勤務先の都道府県名、勤務先の郵便番号、配偶者(任意回答)、子供(任意回答)の情報が漏洩していたものの、具体的な職業や業種、配偶者や子供の有無については、番号選択式のため明記されていないとしている。
同社では、ログインパスワードが暗号化されていなかったことなどから、他サービスでも同一のログインIDとパスワードを使っている場合は、変更するように案内している。漏えいしたログインIDとパスワードでウェブサービスへの無差別ログインを試みる「パスワードリスト型攻撃」などに利用される可能性もあるためだ。
