エイチ・アイ・エスで約1万2千人分の個人情報が外部に流出…
旅行会社大手のエイチ・アイ・エス(HIS)は22日、同社の国内バスツアー予約サイトで申し込んだ約1万2千人分の個人情報が外部に流出したと発表しました。
流出した可能性があるのは、2017年3月18日~7月27日の期間に、同年8月1日~12月31日出発の首都圏発国内バスツアーを申し込んだ人で、氏名や住所、電話番号、メールアドレスなどが流出し、クレジットカード番号や金融機関の口座情報は含まれていないようです。
同社によると、サイトのリニューアルに伴い、旧サイトで予約客のデータを移行する作業を実施した際に第三者が個人情報にアクセスできる状態にしてしまい、該当データが第三者がダウンロードしたようです。現在のところ個人情報を悪用された被害の報告は入っていないといいます。
情報流出のニュースは後を絶ちませんが、こういうニュースがあると、「実は自分が被害にあっているのではないか」と不安になる方もいるのではないでしょうか。これに関して、ウイルス対策に詳しいエンジニアの齋藤実氏がAll Aboutの『自分のメールアドレスが流出していないか確かめる方法』で以下のように解説しています。
メールアドレス流出を確認できるサイト「Have I Been Pwned?」
齋藤氏によると、自分のメールアドレスが漏洩していないかチェックできる方法としてWebサイト「Have I Been Pwned?」を紹介しています。このサイトは、過去にメールアドレス流出を起こしたオンラインサービスのデータが登録されていて、自分のメールアドレスを入力することで漏洩の有無をチェックすることができるといいます。
「「Have I Been Pwned?」は闇サイトで流通している情報を上げているので、漏えいがあったサービスの運営側が公表する数字よりも正確に近い流出情報といえるでしょう」(齋藤氏)。
「Have I Been Pwned?」の使い方は?
サイトの使い方は、サイトのトップページで、メールアドレス(またはID)を入力して「Pwned?」をクリックするだけといいます。実際に、齋藤氏はこのサイトで自身のメールアドレスをチェックしたところ、パスワードが流出していることがわかったそうです。齋藤氏は「漏えいがわかったら、すぐにパスワードを変更しましょう」と述べています。
斎藤氏は、注意点として、「Have I Been Pwned?」のサービスではすべてのパスワード流出事件を網羅しているわけではなく、同サービス運営側で入手できた情報に限られているため、「もしセーフの判定でも油断だけは禁物」としています。
パスワードの使い回しはNG
斎藤氏によると、知らないところで流出したパスワードがリスト化され、不正アクセスに悪用され、金銭被害も起きているといいます。
斎藤氏は、ユーザーができる対策としては以下の対策が大切だとしています。
- パスワードを使い回さない(Webサービスごとに別々のパスワードを設ける)
- 推測可能な弱いパスワードを使わない
- 意味を持たないランダムな大小英数字及び記号のパスワードを使う
- パスワードを使うデバイスにはウイルス対策ソフトを使う
- パスワード詐取を目的とした偽サイト(フィッシング詐欺)にも注意する
なお、数多くの複雑なパスワードを覚えることは現実的ではなく、パスワード管理ソフトやエクセルなどを活用することを斎藤氏は勧めています。自分に合った、作業ミスのない方法を選択しましょう。
「パスワードの他に、セキュリティサービスが提供されている場合もあります。たとえば、いつもと違うデバイスからログインがあると登録したアドレスにメールが届くなど。万が一の不正アクセスに備えて、このようなサービスをしっかりと活用したいところです。
私の経験上、「デジタルは信用しない」という方はとても慎重でITリスクをうまく回避しています。信頼できるサイトであっても油断せずにしっかりと自己防衛してくださいね」(斎藤氏)
【関連リンク】
