【スポンサーリンク】

もしパスワード流出の被害にあってしまったら 【Peatixの不正アクセス事件の相談を受けて】

もしパスワード流出の被害にあってしまったら 【Peatixの不正アクセス事件の相談を受けて】

個人でしっかりパスワードを管理していても、サービスから流出してしまうケースがあります。

流出した個人情報は取り返しがつかないことに、改めてインターネットを土台にした生活の脆弱さを感じました。

今回は、Peatixでのパスワード流出をもとに、利用者としてできる対処方法を考えていきましょう。

もしパスワード流出の被害にあってしまったら 【Peatixの不正アクセス事件の相談を受けて】

一人で悩まず、身近な信頼できる人に相談してくださいね。

特典ダウンロード
【ちいラボ読者特典】印刷してすぐ使える!
\記事が役に立ったらシェアしてね/
【スポンサーリンク】

1. 「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」というメールが届いた

先日、教室にこんな相談が届きました。

今回のPeatixでパスワードが流出した件1で、自分も対象になっているというメールが届きました。

同じパスワードを他のサービスで使いまわしてはいません。しかし、 同じメールアドレスを使っていたり、パスワードの一部(8文字中の4文字)が同じだったり、不安が残ります。

どんな心配する必要がありますか?

(個人情報保護の観点から、一部改変しています)

実際に、お知らせメールが届くとびっくりしますよね。

メールの件名は、「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」となっています。

[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ

1-1. Peatixはイベントのプラットフォームサービス

今回のPeatix(ピーティックス)は、イベントを登録できるプラットフォームです。

主催者がイベントを登録すると、利用者はPeatixでチケットを購入したり、アプリ画面を掲示して入場することができます。

特に、2020年はコロナ禍もあり、家にいても気軽に参加できる「オンラインイベント」も増えていました。

Peatixアプリの画面(Google Playストアより)
Peatixアプリの画面(Google Playストアより)
プラットフォーム

プラットフォーム(platform)」は、「土台」という意味です。

商品やサービス・情報を集めた「場」を提供することで、利用者と提供者を結びつけるビジネスモデルです。

代表的なプラットフォームとして、Google PlayストアやApp Store(アプリ)、Amazonや楽天市場(商品)などがあります。

1-2. 一体どんな情報が流出したの?

Peatixの2020年11月17日の発表によると、10月16日から10月17日にかけて677万件の顧客データが流出しました。

11月9日に弊社保有のお客様の個人情報が引き出されている可能性があることを認識し、外部の調査会社による調査を行った結果、10月16日から10月17日にかけて発生した不正アクセスにより、お客様の個人情報を含むお客様情報(氏名、メールアドレス、暗号化されたパスワードなど)が最大677万件引き出された事実が判明しました。

Peatixへの不正アクセス事象に関するお詫びとお知らせ

最大677万件というのは、2020年10月17日までに登録したすべての利用者です。

個人情報が不正に引き出されたのが、2020年10月16日から2020年10月17日にかけて行われた第三者による不正アクセスによるものであることから、それ以前にアカウント登録されたお客様は全て不正引き出しの対象となります。

お客様から多く寄せられるご質問について(Peatix公式サイトより)

実際に流出したアカウント情報は、以下のようです。

流出したアカウント情報
  • 氏名
  • アカウント登録メールアドレス
  • 暗号化されたパスワード
  • アカウント表示名
  • 言語設定、アカウントが作成された国、タイムゾーン
一体どんな情報が流出したの?

暗号化されたパスワードというのは、そのままではパスワードがわからない文字列です。

しかし、いずれ解読されてしまう危険性は大きく、パスワードは「盗み見られた」と考えましょう。

その他の個人情報については、特にお金や身元に関わるような情報などは流出していないとのことです。

流出が確認されていない個人情報
  • クレジットカード情報、金融機関口座情報などの決済関連情報
  • イベント参加履歴
  • 参加者向けのアンケート内容
  • 住所、電話番号など

1-3. 流出した情報はどのように悪用されるの?

もしアカウント情報が流出している場合は、そのメールアドレスに偽メールを送信される危険性が高い状態だからです。

チケットのオンライン販売などを手がける「Peatix」が、外部からの不正アクセスを受け、利用者の個人情報が流出した問題で、利用者の名前やメールアドレスなどおよそ420万件余りのリストがインターネットで取り引きされていることが、複数のセキュリティー調査会社の調べで分かりました。

チケット販売サイト「Peatix」利用者リスト ネットで取り引き(NHK 2020年11月20日)

盗まれた名簿は売買され、詐欺などで利用されてしまいます。

実際に、1ヶ月のうちに(2020年11月27日)別のサービス(メルカリ)を偽装するフィッシングメールが送られてきた事例が報告されています2

流出した情報はどのように悪用されるの?

ええ〜、取り返しがつかないじゃない……

流出した情報はどのように悪用されるの?

メールアドレスを変更しないと、ずっと迷惑メールの頻度が増えてしまうおそれがあるんですよね。

1-4. 利用規約にある免責事項

利用規約にある免責事項

こういうのって補償とかないの?

そういうときに大事なのが利用規約。

Peatixに限らず多くのウェブサービスの利用規約には、不正アクセスによる損害は免責事項に書かれていることが多いです。

第 10 条(当社の免責)

1. 会員が本サービスを利用するにあたって、通信回線やコンピュータなどの障害によるシステムの中断、遅滞、中止、データの消失、もしくはデータへの不正アクセスにより生じた損害その他本サービスに関して会員に生じた損害について、当社は一切責任を負わないものとします。

但し、当該損害の発生について、当社に故意又は重過失が存在する場合はこの限りではないものとします。

利用規約(Peatix)

現状では、多くの利用規約がサービス提供者に有利に書かれています。

プラットフォームサービスは利用者の範囲が広すぎて、責任を負いきれないという面もあります。

利用規約にある免責事項

もし、補償を求めるなら、「故意または重過失」について弁護士さんに相談しないといけないかもしれませんね。

2. 落ち着いて3つのことを対処する

パスワードが流出してしまった場合には3つのことを考えます。

パスワード流出時の対処
  1. Peatixのパスワードを変更する
  2. Peatixで見に覚えのない支払いなどがないか確認する
  3. 同じパスワードをほかのサービスで使っていれば変更する

2-1. 落ち着いてパスワードを変更する

ただし、落ち着いて対処しましょう。

まず大事なのがフィッシングメールでないかどうかの確認です。

一刻も早くパスワードを変更したいところです。
しかし、送られてきたメール内のリンクではなく、検索からPeatixのサイトにアクセスことが大事です。

落ち着いてパスワードを変更する

「Peatix パスワード変更」で検索すると、パスワード再設定用のサイト(https://peatix.com/user/forgot_password)が見つかります。

落ち着いてパスワードを変更する

「メール」欄に自分のメールアドレスを入力すると、パスワードを再設定するためのメールが送られてきます。

2-2. ログインして不審な取引がないか確認する

パスワードを再設定したら、Peatixにログインします。
身に覚えのない支払いなどがないか、念のために確認しましょう。

2-3. パスワードの使いまわしがあれば必ず変更する

さて、Peatixのアカウント情報を確認したら、次に心配なのが他のサービスの不正アクセスの恐れです。

もし、同じメールアドレス・ユーザー名で、同じパスワードを利用しているなら、速やかに変更する必要があります。

パスワードの使いまわしがあれば必ず変更する

そもそも、こういうことがあるので、パスワードの使いまわしは避けたほうが良いです。

途中や末尾の文字列を変えたり、自動生成されたパスワードを利用するのがおすすめです。

今回のように「全く同じパスワード」を使っていないのであれば、そこまで心配する必要はありません。

同じメールアドレスを使っていたり、パスワードの一部の文字が同じだとしても、それだけではパスワードを特定できないからです。

もちろん、多少 手間ではありますが、気になるものは関係ないパスワードに変更しておくのはよいことです。

3. 「パスワード流出」は他人事ではない

「パスワード流出」でニュースを調べると、いろんなサービスで発生していることがわかります。

パスワード流出は他人事ではない
Googleのニュース検索「パスワード流出」より(2020年12月7日)

いつ、我が身に降りかからないとも限りません。

もし、同じパスワードを利用していたら、この機会にアカウントの棚卸し、つまりメールアドレスやパスワードを整理しておきましょう。

こちらもどうぞ。
心配になったのでGoogleアカウントの古いパスワードを変更した
心配になったのでGoogleアカウントの古いパスワードを変更した
最近 パスワード流出事件などで不正アクセスの被害(Apple IDへの中国国内からの侵入)を見聞きすることが多いので、Googleアカウントのパスワードを複雑にしておきました。もとから2段階認証にしているのですが、それに加え パスワードの文字数を増やし記号も含めるようにしました。そのままだとスマホだと入力に時間がかかるので、少しキーボード切り替えを減らす工夫をしています。古くから使っている大事なアカウントほど、意外とパスワードが昔のままだったりするよね。たまには見直すことは大...

潜入!Amazonを偽装する偽サイトに引っかかってみた 【フィッシングサイトの実例】
今回は、迷惑メールが来てすぐにリンクを開いて、実際に偽サイトで操作できましたので、レポートします。 ポイント 偽サイトにデタラメなパスワードを入れてみた。 パスワード入力直後にブラウザが警告してくれた。 偽のクレジットカードの認証画面も出て

目で見てわかる、こんな暗証番号がよく使われている 【危険な暗証番号のパターン】
目で見てわかる、こんな暗証番号がよく使われている 【危険な暗証番号のパターン】
暗証番号に誕生日や生年を使用する人が多いことは、研究でも明らかです。特徴的な数字や2桁の繰り返しパターンも頻繁に使用されており、セキュリティリスクが高いです。安全性を高めるには、ランダムな数字を選ぶことが推奨されます。4桁の時点で何回も挑戦できたら、いずれはわかってしまうよね。まぁ、4桁のPINコードを採用するシステムでは、何度か失敗したら次の試行まで時間が空けられることも多いので、そうそう総当たり攻撃はできないはずですが。11人に1人が誕生日を暗証番号にしている?暗証番号に...

Outlookへの不正アクセスをどう確認するか? 【マイクロソフトアカウントのサインイン履歴】
Outlookへの不正アクセスをどう確認するか? 【マイクロソフトアカウントのサインイン履歴】
2019年4月にマイクロソフトが公表した、Outlookの一部のアカウントに不正アクセスがあった件。可能性のある人にはマイクロソフトからメールがいくとか。メールがきたかどうか、対象かも確認しないままで現在まできてますが、不正アクセスがあったかどうか何か確認できる方法はあるのでしょうか?ニュースで不正アクセスの報道があると、自分に関係があるのか不安になりますよね。今回は、過去のOutlookの不正アクセス報道について、寄せられた質問にお答えしたいと思います。マイクロソフトアカウ...

「パスワードの自動入力は、信頼できる場合のみ行ってください。」【どのアプリでインターネットを見ているのか?】
「パスワードの自動入力は、信頼できる場合のみ行ってください。」【どのアプリでインターネットを見ているのか?】
Androidスマートフォンからブログ記事をtwitterでシェアをしようとしたら、見慣れない確認メッセージが表示されました。見慣れないログイン画面のパスワードの自動入力は、Pinterest を信頼できる場合のみ行ってください。これは「ふだんと違うアプリから、TwitterのAPIにパスワード入力をしようとしているけれど大丈夫か?」という注意喚起メッセージです。ふだんはGoogle Chromeでインターネットを見ています。共有ボタンからTwitterを選ぶと自動的にTwi...

(補足)

  1. 2020/11/18 – Peatixへの不正アクセス事象に関するお詫びとお知らせ | Peatix
  2. UJP – ピーティックスの不正アクセス事件 その7 さっそくフィッシングメール到着
QRコードを読み込むと、関連記事を確認できます。

もしパスワード流出の被害にあってしまったら 【Peatixの不正アクセス事件の相談を受けて】
【スポンサーリンク】
タイトルとURLをコピーしました