もしパスワード流出の被害にあってしまったら 【Peatixの不正アクセス事件の相談を受けて】

個人でしっかりパスワードを管理していても、サービスから流出してしまうケースがあります。

流出した個人情報は取り返しがつかないことに、改めてインターネットを土台にした生活の脆弱さを感じました。

今回は、Peatixでのパスワード流出をもとに、利用者としてできる対処方法を考えていきましょう。

一人で悩まず、身近な信頼できる人に相談してくださいね。

スポンサーリンク

「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」というメールが届いた

先日、教室にこんな相談が届きました。

相談

今回のPeatixでパスワードが流出した件で、自分も対象になっているというメールが届きました。

同じパスワードを他のサービスで使いまわしてはいません。しかし、 同じメールアドレスを使っていたり、パスワードの一部(8文字中の4文字)が同じだったり、不安が残ります。

どんな心配する必要がありますか?

(個人情報保護の観点から、一部改変しています)

実際に、お知らせメールが届くとびっくりしますよね。

メールの件名は、「[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ」となっています。

[重要] 弊社が運営するPeatixへの不正アクセス事象に関するお詫びとお知らせ

Peatixはイベントのプラットフォームサービス

今回のPeatix(ピーティックス)は、イベントを登録できるプラットフォームです。

主催者がイベントを登録すると、利用者はPeatixでチケットを購入したり、アプリ画面を掲示して入場することができます。

特に、2020年はコロナ禍もあり、家にいても気軽に参加できる「オンラインイベント」も増えていました。

Peatixアプリの画面(Google Playストアより)
カタカナ語の意味調べ

プラットフォーム(platform)」は、「土台」という意味です。

商品やサービス・情報を集めた「場」を提供することで、利用者と提供者を結びつけるビジネスモデルです。

代表的なプラットフォームとして、Google PlayストアやApp Store(アプリ)、Amazonや楽天市場(商品)などがあります。

一体どんな情報が流出したの?

Peatixの2020年11月17日の発表によると、10月16日から10月17日にかけて677万件の顧客データが流出しました。

11月9日に弊社保有のお客様の個人情報が引き出されている可能性があることを認識し、外部の調査会社による調査を行った結果、10月16日から10月17日にかけて発生した不正アクセスにより、お客様の個人情報を含むお客様情報(氏名、メールアドレス、暗号化されたパスワードなど)が最大677万件引き出された事実が判明しました。

Peatixへの不正アクセス事象に関するお詫びとお知らせ

最大677万件というのは、2020年10月17日までに登録したすべての利用者です。

個人情報が不正に引き出されたのが、2020年10月16日から2020年10月17日にかけて行われた第三者による不正アクセスによるものであることから、それ以前にアカウント登録されたお客様は全て不正引き出しの対象となります。

お客様から多く寄せられるご質問について(Peatix公式サイトより)

実際に流出したアカウント情報は、以下のようです。

流出したアカウント情報
  • 氏名
  • アカウント登録メールアドレス
  • 暗号化されたパスワード
  • アカウント表示名
  • 言語設定、アカウントが作成された国、タイムゾーン

暗号化されたパスワードというのは、そのままではパスワードがわからない文字列です。

しかし、いずれ解読されてしまう危険性は大きく、パスワードは「盗み見られた」と考えましょう。

その他の個人情報については、特にお金や身元に関わるような情報などは流出していないとのことです。

流出が確認されていない個人情報
  • クレジットカード情報、金融機関口座情報などの決済関連情報
  • イベント参加履歴
  • 参加者向けのアンケート内容
  • 住所、電話番号など

流出した情報はどのように悪用されるの?

もしアカウント情報が流出している場合は、そのメールアドレスに偽メールを送信される危険性が高い状態だからです。

チケットのオンライン販売などを手がける「Peatix」が、外部からの不正アクセスを受け、利用者の個人情報が流出した問題で、利用者の名前やメールアドレスなどおよそ420万件余りのリストがインターネットで取り引きされていることが、複数のセキュリティー調査会社の調べで分かりました。

チケット販売サイト「Peatix」利用者リスト ネットで取り引き(NHK 2020年11月20日)

盗まれた名簿は売買され、詐欺などで利用されてしまいます。

実際に、1ヶ月のうちに(2020年11月27日)別のサービス(メルカリ)を偽装するフィッシングメールが送られてきた事例が報告されています。

ええ〜、取り返しがつかないじゃない……

メールアドレスを変更しないと、ずっと迷惑メールの頻度が増えてしまうおそれがあるんですよね。

利用規約にある免責事項

こういうのって補償とかないの?

そういうときに大事なのが利用規約。

Peatixに限らず多くのウェブサービスの利用規約には、不正アクセスによる損害は免責事項に書かれていることが多いです。

第 10 条(当社の免責)

1. 会員が本サービスを利用するにあたって、通信回線やコンピュータなどの障害によるシステムの中断、遅滞、中止、データの消失、もしくはデータへの不正アクセスにより生じた損害その他本サービスに関して会員に生じた損害について、当社は一切責任を負わないものとします。

但し、当該損害の発生について、当社に故意又は重過失が存在する場合はこの限りではないものとします。

利用規約(Peatix)

もし、補償を求めるなら、「故意または重過失」について弁護士さんに相談しないといけないかもしれませんね。

現状では、多くの利用規約がサービス提供者に有利に書かれています。

プラットフォームサービスは利用者の範囲が広すぎて、責任を負いきれないという面もあります。

落ち着いて3つのことを対処する

パスワードが流出してしまった場合には3つのことを考えます。

パスワード流出時の対処
  1. Peatixのパスワードを変更する
  2. Peatixで見に覚えのない支払いなどがないか確認する
  3. 同じパスワードをほかのサービスで使っていれば変更する

落ち着いてパスワードを変更する

ただし、落ち着いて対処しましょう。

まず大事なのがフィッシングメールでないかどうかの確認です。

一刻も早くパスワードを変更したいところですが、送られてきたメール内のリンクではなく、検索からPeatixのサイトにアクセスことが大事です。

「Peatix パスワード変更」で検索すると、パスワード再設定用のサイト(https://peatix.com/user/forgot_password)が見つかります。

「メール」欄に自分のメールアドレスを入力すると、パスワードを再設定するためのメールが送られてきます。

ログインして不審な取引がないか確認する

パスワードを再設定したら、Peatixにログインします。

見に覚えのない支払いなどがないか、念のために確認しましょう。

パスワードの使いまわしがあれば必ず変更する

さて、Peatixのアカウント情報を確認したら、次に心配なのが他のサービスの不正アクセスの恐れです。

もし、同じメールアドレス・ユーザー名で、同じパスワードを利用しているなら、速やかに変更する必要があります。

そもそも、こういうことがあるので、パスワードの使いまわしは避けたほうが良いです。

途中や末尾の文字列を変えたり、自動生成されたパスワードを利用するのがおすすめです。

今回のように「全く同じパスワード」を使っていないのであれば、そこまで心配する必要はありません。

同じメールアドレスを使っていたり、パスワードの一部の文字が同じだとしても、それだけではパスワードを特定できないからです。

もちろん、多少 手間ではありますが、気になるものは関係ないパスワードに変更しておくのはよいことです。

「パスワード流出」は他人事ではない

「パスワード流出」でニュースを調べると、いろんなサービスで発生していることがわかります。

パスワード流出は他人事ではない
Googleのニュース検索「パスワード流出」より(2020年12月7日)

いつ、我が身に降りかからないとも限りません。

もし、同じパスワードを利用していたら、この機会にアカウントの棚卸し、つまりメールアドレスやパスワードを整理しておきましょう。

こちらもどうぞ。

潜入!Amazonを偽装する偽サイトに引っかかってみた 【フィッシングサイトの実例】
これまでもAmazonを偽装するフィッシングサイトに誘導する迷惑メールはいくつもあります。ところが、これまではリンクをクリックしても、サイトそのものは表示されませんでした。注意通常は、迷惑メ...

↑ アカウント情報の修正を求めるのは詐欺メールもあります。

目で見てわかる、こんな暗証番号がよく使われている 【危険な暗証番号のパターン】
暗証番号に誕生日が危ないっていうけど、なんか実感がわかないなぁ。実際にどれぐらいの人が暗証番号に誕生日を使っているのか、調べた研究がありましたので、ご紹介します。11人に1人が誕生日を暗証番号に?銀行の暗証番号のセキュ...

↑ よく使われる暗証番号はダメ。

Outlookへの不正アクセスをどう確認するか? 【マイクロソフトアカウントのサインイン履歴】
ニュースで不正アクセスの報道があると、自分に関係があるのか不安になりますよね。今回は、過去のOutlookの不正アクセス報道について、寄せられた質問にお答えしたいと思います。マイクロソフトアカウントのアクセス履歴の見方につ...

↑ 不正アクセスにあったときのメール。

「パスワードの自動入力は、信頼できる場合のみ行ってください。」【どのアプリでインターネットを見ているのか?】
Androidスマートフォンからブログ記事をtwitterでシェアをしようとしたら、見慣れない確認メッセージが表示されました。見慣れないログイン画面のパスワードの自動入力は、Pinterest を信頼できる場合のみ...

↑ パスワードは自動生成に管理させるのも一つ

タイトルとURLをコピーしました