本文へスキップ
>_ITDITDセキュリティ対策プラットフォーム

有名事故・脆弱性

宅ふぁいる便 情報漏洩事件(2019)— パスワード平文保管はなぜ致命的か、ハッシュ化の防御

2019年1月、ファイル転送サービス『宅ふぁいる便』(オージス総研)が不正アクセスを受け、退会者を含む約481万件の個人情報が漏洩しました。決定的だったのは、流出したログインパスワードが暗号化されず『平文』で保管されていたこと。攻撃手順ではなく、あなたのサービスでパスワードをどう安全に保管するか(一方向ハッシュ+ソルト・不要データを持たない・使い回しへの備え)を、公開記録の事実だけにもとづいて解説します。

公開日 2026-07-07 更新日 2026-07-07 13分で読める

実際に起きた公開事故を、ニュースの再放送ではなく 「あなたの環境でどう防ぐか」 の視点で読み解きます。本記事は 公開記録(企業公式・報道)にもとづく解説です。出典は末尾に明記し、攻撃の再現手順は扱いません。

約481万件
漏洩した個人情報(退会者含む)
平文
ログインパスワードが暗号化されず保管
サービス終了
再構築の費用・時間を考慮し廃止
二次被害
使い回し先でのなりすましリスク
事故サマリー / CASE FILE
対象
ファイル転送サービス「宅ふぁいる便」の利用者情報(運営:株式会社オージス総研)
発覚
2019年1月22〜25日(不審なファイルを検知→停止→公表)
手口分類
サーバーの脆弱性を突いた不正アクセス → 顧客情報の窃取(ログインパスワードが平文保管
影響規模
約481万件(氏名・メール・ログインパスワード・生年月日・性別など/退会済み顧客を含む)
根本原因
パスワードを平文(元に戻せる形)で保管 + サーバーの脆弱性 + 退会者を含む不要データの保持
本命の対策
一方向ハッシュ+ソルト(bcrypt/Argon2id)/不要データを持たない・保持期間の最小化/脆弱性管理/使い回しへの備え(2FA)

何が起きたか(平易に)

サービスは利用者のパスワードを預かります。問題は その預かり方 です。パスワードを 平文(そのまま読める形)や、鍵で元に戻せる 暗号化 だけで保管すると、データが漏れた瞬間に 中身がそのまま使えて しまいます。

宅ふぁいる便では、サーバーの脆弱性を突かれて不正アクセスが起き、顧客情報が漏洩しました。そして続報で、流出したログインパスワードが暗号化されていなかった(平文だった) ことが公表されました。多くの人は同じパスワードを複数のサービスで 使い回す ため、平文のまま漏れると、攻撃者はそれを他のサービスで試して なりすまし に使えます。侵入そのものより、平文保管が被害を一気に広げた のが本質です。

“暗号化”と“ハッシュ化”は別物

パスワード保管でよくある誤解が、暗号化すれば安全という思い込みです。暗号化は鍵があれば元に戻せるため、鍵ごと漏れれば平文と変わりません。正しくは、元に戻せない一方向のハッシュ化に、ユーザーごとのソルトを足し、意図的に遅いアルゴリズム(bcrypt / Argon2id)を使います。ログイン時は入力を同じ手順でハッシュ化して照合するので、平文を保管する必要がそもそもありません

攻撃の連鎖は「防御の地図」でもある

この事件も、各段に止め所があった 連鎖でした。攻撃手順ではなく、どこで断ち切れたか として読んでください。

① サーバーの脆弱性を突かれ不正アクセス

既知の弱点を放置していると侵入の入口になる。

⊘ 止め所:脆弱性管理・パッチ運用・攻撃対象領域の最小化

② 顧客情報とログインパスワードを取得

退会者を含む大量のデータを保持していた。

⊘ 止め所:そもそも不要なデータを持たない・保持期間を最小化

③ パスワードが平文=即座に悪用可能

暗号化されておらず、漏れた瞬間にそのまま使えた。

⊘ 止め所:一方向ハッシュ+ソルト(bcrypt/Argon2id)=漏れても直接使えない

④ 使い回し先での二次被害(なりすまし)

同じパスワードを使う他サービスが狙われる。

⊘ 止め所:使い回しをやめる・二要素認証・漏洩時の速やかな強制リセット

連鎖の各段で“止められた”。多層防御とは、1枚の壁ではなくこの止め所を複数持つこと。

公表された時系列

  1. 2019-01-22

    会社が認識していないファイルがサーバー内に生成されているのを検知(不正アクセスの兆候)。
  2. 2019-01-23

    安全確認のためサービスを停止。
  3. 2019-01-25

    不正アクセスと情報漏洩を公表(退会者を含む約481万件)。
  4. 2019-01-30

    詳細続報。流出したログインパスワードは暗号化されていなかった(平文)と公表。
  5. 2019-03

    外部専門事業者の詳細調査結果を報告。当面のサービス休止を継続。
  6. 2020-01-14

    サービスの終了を発表(安全な再構築に要する費用・時間を考慮)。同年サービス終了。

根本原因は「侵入されたこと」だけではない

この事件を「不正アクセスされた」で片付けると、要点を外します。侵入は起こり得る前提で、漏れても被害を最小化する保管 ができていたかが本質です。

崩れていた構成(事故時)

  • ログインパスワードを平文で保管(漏れたら即悪用)
  • 退会者を含む大量のデータを保持し続けていた
  • サーバーの脆弱性が侵入の入口になった
  • 漏洩時に使い回し先でのなりすましを止めにくい

守られた構成(再発防止)

  • パスワードは一方向ハッシュ+ソルト(bcrypt/Argon2id)で保管
  • 不要なデータを持たない・保持期間を最小化(退会後は削除)
  • 脆弱性管理・パッチ運用で侵入の入口を塞ぐ
  • 二要素認証と漏洩時の速やかな強制リセットで二次被害を抑える

事後の代償は、事前の設計投資よりはるかに大きい

宅ふぁいる便は当面の休止を経て、最終的に サービスそのものを終了 しました(安全な再構築に要する費用・時間を考慮)。パスワードを正しくハッシュ化しておくコストは小さい一方、平文保管が招く信頼の失墜・撤退・二次被害のコストははるかに大きくつきます。パスワードの保管方法は、作るときに正しく設計しておくのが本質です。

あなたの環境での再発防止

利用者のパスワードを1件でも預かるなら自分ごとです。優先順の対策です。

1

パスワードは一方向ハッシュ+ソルトで保管する

平文や『元に戻せる暗号化』で保管しない。一方向ハッシュに、ユーザーごとのソルトを足し、bcryptやArgon2idのような意図的に遅いアルゴリズムを使う。詳しくはパスワードの安全な保存方法を参照。

2

そもそも不要なデータを持たない

集める項目を必要最小限にし、退会・不要になったデータは削除する。保持していないデータは漏れない。退会者の情報まで抱え込まない。

3

脆弱性を塞ぎ、侵入の入口を減らす

サーバー・ライブラリの脆弱性を管理してパッチを当て、公開範囲・攻撃対象領域を最小化する。侵入は起こり得る前提で、入口を減らしておく。

4

漏れても被害を広げない備え(2FA・使い回し対策)

二要素認証を用意し、漏洩時は速やかに強制リセットする。ユーザーには使い回しをやめる導線を示す。ハッシュ化と合わせて、漏れても直接は使えない状態を作る。

当サイトの設計思想と重なる点

この事件の本質は、パスワードという最重要の秘密を、漏れたらそのまま使える形(平文)で保管していた ことです。当サイト自身の原則——秘密は元に戻せない形で扱う・不要なものは持たない・爆発半径を最小化する——とちょうど裏返しの関係にあります。「暗号化したから安全」という思い込みは危険で、パスワードは 一方向ハッシュソルト が正解です。「平文を持たない・不要データを持たない・漏れても使えない形にする」は、規模を問わず誰でも実装できる守りです。

出典(公開記録)

本記事の事実は、以下の公開情報にもとづきます。攻撃の再現手順は扱わず、防御の教訓に絞っています。

  • 株式会社オージス総研 公式発表(「宅ふぁいる便」サービスにおける不正アクセスについて/お詫びとご報告, 2019〜2020) — ogis-ri.co.jp
  • 各種報道(サービス休止・詳細調査結果・サービス終了の公表, 2019〜2020) — 一次発表にもとづく報道

次に読む

よくある質問

Q宅ふぁいる便事件で最も重大だった問題は何ですか?
A

流出したログインパスワードが暗号化されず『平文』で保管されていたことです。きっかけはサーバーの脆弱性を突かれた不正アクセスですが、パスワードが平文だったため、漏れた瞬間にそのまま悪用できる状態でした。パスワードは元に戻せない一方向ハッシュ(+ソルト)で保管していれば、たとえ漏れても直接は使えず、被害を大きく抑えられました。

Qパスワードは『暗号化』すれば安全ですか?
A

『暗号化』と『ハッシュ化』は別物です。暗号化は鍵があれば元に戻せるため、鍵ごと漏れれば平文と同じです。正しくは、元に戻せない一方向の<strong>ハッシュ化</strong>に、ユーザーごとの<strong>ソルト</strong>を足し、bcryptやArgon2idのような<strong>意図的に遅い</strong>アルゴリズムを使います。ログイン時は入力を同じ手順でハッシュ化して照合するので、平文を保管する必要はありません。

Q個人ユーザーとして自衛できることはありますか?
A

あります。①パスワードをサービスごとに使い回さない(平文で漏れても、他サービスへの二次被害=なりすましを防げる)②パスワードマネージャーで長くランダムな値を使う③二要素認証やパスキーがあれば必ず有効にする。運営側の保管が甘くても、使い回しをやめるだけで被害の連鎖を大きく断てます。