個人でしっかりパスワードを管理していても、サービスから流出してしまうケースがあります。
流出した個人情報は取り返しがつかないことに、改めてインターネットを土台にした生活の脆弱さを感じました。
今回は、Peatixでのパスワード流出をもとに、利用者としてできる対処方法を考えていきましょう。
一人で悩まず、身近な信頼できる人に相談してくださいね。
1. 「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」というメールが届いた
先日、教室にこんな相談が届きました。
今回のPeatixでパスワードが流出した件1で、自分も対象になっているというメールが届きました。
同じパスワードを他のサービスで使いまわしてはいません。しかし、 同じメールアドレスを使っていたり、パスワードの一部(8文字中の4文字)が同じだったり、不安が残ります。
どんな心配する必要がありますか?
(個人情報保護の観点から、一部改変しています)
実際に、お知らせメールが届くとびっくりしますよね。
メールの件名は、「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」となっています。
1-1. Peatixはイベントのプラットフォームサービス
今回のPeatix(ピーティックス)は、イベントを登録できるプラットフォームです。
主催者がイベントを登録すると、利用者はPeatixでチケットを購入したり、アプリ画面を掲示して入場することができます。
特に、2020年はコロナ禍もあり、家にいても気軽に参加できる「オンラインイベント」も増えていました。
Peatix公式サイトとアプリ
「プラットフォーム(platform)」は、「土台」という意味です。
商品やサービス・情報を集めた「場」を提供することで、利用者と提供者を結びつけるビジネスモデルです。
代表的なプラットフォームとして、Google PlayストアやApp Store(アプリ)、Amazonや楽天市場(商品)などがあります。
1-2. 一体どんな情報が流出したの?
Peatixの2020年11月17日の発表によると、10月16日から10月17日にかけて677万件の顧客データが流出しました。
11月9日に弊社保有のお客様の個人情報が引き出されている可能性があることを認識し、外部の調査会社による調査を行った結果、10月16日から10月17日にかけて発生した不正アクセスにより、お客様の個人情報を含むお客様情報(氏名、メールアドレス、暗号化されたパスワードなど)が最大677万件引き出された事実が判明しました。
Peatixへの不正アクセス事象に関するお詫びとお知らせ
最大677万件というのは、2020年10月17日までに登録したすべての利用者です。
個人情報が不正に引き出されたのが、2020年10月16日から2020年10月17日にかけて行われた第三者による不正アクセスによるものであることから、それ以前にアカウント登録されたお客様は全て不正引き出しの対象となります。
お客様から多く寄せられるご質問について(Peatix公式サイトより)
実際に流出したアカウント情報は、以下のようです。
暗号化されたパスワードというのは、そのままではパスワードがわからない文字列です。
しかし、いずれ解読されてしまう危険性は大きく、パスワードは「盗み見られた」と考えましょう。
その他の個人情報については、特にお金や身元に関わるような情報などは流出していないとのことです。
1-3. 流出した情報はどのように悪用されるの?
もしアカウント情報が流出している場合は、そのメールアドレスに偽メールを送信される危険性が高い状態だからです。
チケットのオンライン販売などを手がける「Peatix」が、外部からの不正アクセスを受け、利用者の個人情報が流出した問題で、利用者の名前やメールアドレスなどおよそ420万件余りのリストがインターネットで取り引きされていることが、複数のセキュリティー調査会社の調べで分かりました。
チケット販売サイト「Peatix」利用者リスト ネットで取り引き(NHK 2020年11月20日)
盗まれた名簿は売買され、詐欺などで利用されてしまいます。
実際に、1ヶ月のうちに(2020年11月27日)別のサービス(メルカリ)を偽装するフィッシングメールが送られてきた事例が報告されています2。
ええ〜、取り返しがつかないじゃない……
メールアドレスを変更しないと、ずっと迷惑メールの頻度が増えてしまうおそれがあるんですよね。
1-4. 利用規約にある免責事項
こういうのって補償とかないの?
そういうときに大事なのが利用規約。
Peatixに限らず多くのウェブサービスの利用規約には、不正アクセスによる損害は免責事項に書かれていることが多いです。
第 10 条(当社の免責)
1. 会員が本サービスを利用するにあたって、通信回線やコンピュータなどの障害によるシステムの中断、遅滞、中止、データの消失、もしくはデータへの不正アクセスにより生じた損害その他本サービスに関して会員に生じた損害について、当社は一切責任を負わないものとします。
但し、当該損害の発生について、当社に故意又は重過失が存在する場合はこの限りではないものとします。
利用規約(Peatix)
現状では、多くの利用規約がサービス提供者に有利に書かれています。
プラットフォームサービスは利用者の範囲が広すぎて、責任を負いきれないという面もあります。
もし、補償を求めるなら、「故意または重過失」について弁護士さんに相談しないといけないかもしれませんね。
2. 落ち着いて3つのことを対処する
パスワードが流出してしまった場合には3つのことを考えます。
2-1. 落ち着いてパスワードを変更する
ただし、落ち着いて対処しましょう。
まず大事なのがフィッシングメールでないかどうかの確認です。
一刻も早くパスワードを変更したいところです。
しかし、送られてきたメール内のリンクではなく、検索からPeatixのサイトにアクセスことが大事です。
「Peatix パスワード変更」で検索すると、パスワード再設定用のサイト(https://peatix.com/user/forgot_password)が見つかります。
「メール」欄に自分のメールアドレスを入力すると、パスワードを再設定するためのメールが送られてきます。
2-2. ログインして不審な取引がないか確認する
パスワードを再設定したら、Peatixにログインします。
身に覚えのない支払いなどがないか、念のために確認しましょう。
2-3. パスワードの使いまわしがあれば必ず変更する
さて、Peatixのアカウント情報を確認したら、次に心配なのが他のサービスの不正アクセスの恐れです。
もし、同じメールアドレス・ユーザー名で、同じパスワードを利用しているなら、速やかに変更する必要があります。
そもそも、こういうことがあるので、パスワードの使いまわしは避けたほうが良いです。
途中や末尾の文字列を変えたり、自動生成されたパスワードを利用するのがおすすめです。
今回のように「全く同じパスワード」を使っていないのであれば、そこまで心配する必要はありません。
同じメールアドレスを使っていたり、パスワードの一部の文字が同じだとしても、それだけではパスワードを特定できないからです。
もちろん、多少 手間ではありますが、気になるものは関係ないパスワードに変更しておくのはよいことです。
3. 「パスワード流出」は他人事ではない
「パスワード流出」でニュースを調べると、いろんなサービスで発生していることがわかります。
いつ、我が身に降りかからないとも限りません。
もし、同じパスワードを利用していたら、この機会にアカウントの棚卸し、つまりメールアドレスやパスワードを整理しておきましょう。