2019年1月末、大容量ファイル転送サービス、「宅ふぁいる便」がハッキング攻撃で480万ユーザーの情報漏えいがありました。

<今回の「宅ふぁいる便」情報漏えい、何が問題でしょうか。>

1)大企業の社員が個人利用していた恐れがある。

・宅ふぁいる便は、大企業の子会社であるオージス総研が運営していたこと、無料アカウントもあるため、大企業の中でも同サービスを利用していた事例があります。企業での利用方法は個別事例によりますが、企業が利用契約していた場合と、個人アカウントベースで利用していた可能性もあります。

 2)自社の社員が同サービスを「利用していなかったことの確認が困難」である。

・企業としては、自社社員が同サービスを利用していたことを、なんとなく認識しつつも、「自社のメールシステムでは大ファイル送信できないから、顧客に営業資料送るくらいならしかたないか」と目をつむっていた恐れもあります。

退職者含め、社員が、重要な秘密情報をも送信していたかどうか、あるいは社員が使っていたかどうかさえ、全部把握することは困難です。

 3)二次被害を避けるため、以前利用経験者は、他サイトのパスワード変更が必要。

・ログインパスワードとメールアドレスと名前などが暗号化されておらず平文で漏れたので、同じパスワードを使いまわしているユーザーは、ハッキング被害を未然に防ぐため、他サイトのパスワード変更の必要があります。しかし現在宅ファイル便サイトは、利用停止中なので、利用していたパスワードの確認もできない、という残念な状況です。

 4)利用規則によると、サービス利用、データ内容の完全性などは、全部利用者の自己責任であり、サービス保証もない。

・利用規則5,8,9条.  「サービス利用者(ユーザー)は、データ内容の信頼性、完全性、ウイルスの有無、およびサービス利用自体、サービスで使用するメールの送受信状況もすべて自己責任。」という趣旨の記載です。

・同16条.本サービスに関する保証「当社(オージス総研)は、本サービス(宅ふぁいる便)サービスの内容(全般)保証いたしません。」

 5)損害賠償の訴訟ができない利用規約となっている。

・同17条. 当社の賠償責任の制限「サービス利用者は、本サービスを利用したこと、もしくは利用できなかったことによって生じた一切の損害について、当社が責任を負わないことに同意します。但し消費者契約法に当たる場合(プレミアムなどで有料サービスが該当すると思慮)、サービス利用者が通常かつ直接の損害の限り・・抜粋・・損害賠償の額は500円を上限とし・・。 」(2017年9月20日改定 宅ふぁいる便利用規約 https://www.filesend.to/information/infouse.html

・宅ふぁいる便を利用する前に、全ての利用者は、当該利用規約に同意しているため、基本的には損害賠償する権利を放棄させらている状況です。

・万が一損害賠償できたとしても上限500円です。これでは、仮に今回のパスワード漏洩により別サイトで二次被害が出て多額の被害が出ても、宅ふぁいる便には、何も損害賠償請求できない、という恐れがあります。

 6)サービス利用者のセキュリテイ対策について、サイト内容や利用規約を見ても把握できず、比較検討が困難。

・このような情報漏えい事件が発生すると、ある専門家は、「利用者もリスクを意識し、できる限り安全なサービスを選ぶ必要があります。」

というコメントする専門家がいます。実際は、利用者側がサービスを比較しようにもサービス企業が社内のセキュリテイ対応まで開示することはないので、比較することも困難です。利用者としては、「簡単に利用ができ、大手企業が運営者だし、まわりの企業も使っているから」という認識の上で可能な限り安全なサービスを選んだはずが宅ファイル便だったはずなのです。

 

<サービス内容の保証がなく、利用者は損害賠償もできないリスク>

デジタル社会化が進み、ネットにつながるIoTが増えていく中で、「データ」の価値が高まってきています。ハッカーとしてはハッキング攻撃するリスクは少ない一方、利益あるデータがハックできた場合のプロフィットが巨大なため、公的・民間かかわらずハッキング攻撃するメリットがあるのです。その環境において利用者は、「安全なサービスを選んで」その企業のセキュリティ対策に依存しつつ、サービス利用をするほかない状況です。

 この依存されている企業サービス、そして彼らを利用している段階で潜在的に存在するリスクを以下のようにいいます。

 

「信頼できない第3者が提供するサービスのオペレーションリスク」

“ Un-accountable Third party Operational Risk “

ここでいう「信頼できない」とは、

「サービス側がサービス内容を保証せず、損害賠償もしてくれない」という趣旨です。

 

では、どうするか。

 

 <企業として理想の対応策>

1) 社員が法人であろうが、個人としてであろうが、「誰が会社のどのファイルにアクセスしているか。アクセス権限があるか。」確認できる。

2) ファイルを送信する場合、受信者は誰か、認証できる。

3) ファイルが(個人・企業アカウント関係なく)送信するファイルが送信前に暗号化されて、認証された受信者だけがファイルを解読できる。

4) 自社完結でファイル暗号化、アクセス権限設定ができる。サービス運営者に極力依存しない技術を利用する。

 

 <Keychain : 次世代データ・セキュリティ基盤。企業自身によるデータコントロール最大化をおこなうコンセプト>

 ・Keychainは、非中央集権的なブロックチェーンを分散認証基盤として活用。簡単に導入できてデータ信頼性が向上するアプリケーションをご提供します。

・Keychainは、Data Provenance Infrastructure (DPI)というプロダクトを、複数の導入方法でご提供しています。

・DPIを導入することで「ユーザー自身がファイルを暗号化し、受信者を認証してファイル送信ができる」サービスです。これにより、ファイル送信時の煩雑なファイル暗号化や、パスワード別送信なども不要になり、使い勝手も向上します。

・他社サービスとの違いは、大手企業のサービスはどれだけ信頼があるサービスでも「第3者提供のオペレーショナル・リスク」から免れることはできませんが、Keychainの場合、分散されたブロックチェーン技術を利用して認証基盤だけを企業に提供するだけです。認証基盤はハッカーも破ることが困難で攻撃するメリットが少ない構成となっています。

・同認証基盤上のファイルの暗号化は、企業が独自作成する暗号化ソフトで実施するため、Keychain自体、ユーザーのデータに触れるアクセス権限もありませんし、どのようなデバイスで何を送信しているかもわからない構造となっています。つまり、「第3者のオペレーション・リスクの最小化と企業自身がデータコントロール最大化をおこなえるコンセプト」となっています。

 

 Keychainのデバイス認証・データ・セキュリティサービスは、国内の上場大手企業が導入を開始しました。
業種は多岐にわたります。

導入はとても簡単で、既存のインフラや社員が利用するモバイル、IoTデバイスにソフトをダウンロードするだけです。

現在ご利用中のクラウドやオンプレサーバーにも対応可能です。

Leave a comment