ということで本ブログもついに100回に到達した。
わーい、百回!
ひゃっかーい!
うれしい。
ブログの更新法については来週月曜日お届けします。
さて、今日は英会話の日である。
まず、フィリピンの大学生とスカイプで繋ぐ英会話オンラインレッスンサービス「レアジョブ」が、不正アクセスによって壊滅的な打撃を受けた。
現在もサービス停止中だ。
わーい、百回!
ひゃっかーい!
うれしい。
ブログの更新法については来週月曜日お届けします。
さて、今日は英会話の日である。
まず、フィリピンの大学生とスカイプで繋ぐ英会話オンラインレッスンサービス「レアジョブ」が、不正アクセスによって壊滅的な打撃を受けた。
現在もサービス停止中だ。
以下は公式サイトより引用である。
ぼくは以前の記事で、本サービスを絶賛した。
半年間で100回は使っているから、超・ヘビーユーザーであり、サービス自体の内容には超・満足している。
それが本件のようなことになって、大変残念だ。
ブログをやっていると、公に情報を発信する。
つまり、趣味で好きでやっていることであっても、責任がある。
たまたま本ブログを呼んでくださった方が、レアジョブの記事を読んで、そこまで絶賛してるならやってみるか、とやったとする。
で、たまたま気に入ってサービスを受け続けたかもしれないし、なんだこんなもんか、と思ってサービスをやめたかもしれない。
いずれにしても、情報が保存されていたので、流出した危険がある。
面倒なことに巻き込んでしまって、申し訳ありません。
ぼくはレアジョブを大変楽しんでいたし、企業理念に共鳴していた。
それは今も、変わらない。
もしセキュリティに問題さえなければ、つまり、今回受けた攻撃をむざむざと受けてしまう脆弱性さえなければ、何の問題もなく使っていたと思う。
つまり、レアジョブを経営している方(ブログにもコメントを頂いているが)には問題がなかったが、悪人から身を守る、客から預かった情報を守り抜くだけの能力がなかったということだ。
もっとも、能力もないのにサービスを運用する(運転免許も持っていないのに個人タクシーを開業するとか)のがどうか、という問題になってくるので、それは議論の余地があるだろう。
いずれにしても、ブログで何かに惚れ込んで絶賛していると、こういう危険もあるんだなあと実感した。
残念だ。
さて、実際のユーザーの被害を分析してみよう。
まず、メアドと名前が紐づいて流れてしまうことについて。
これは被害甚大であろう。
もっとも、ぼくのメアドは名前と紐づいて迷惑メール業者(「業者」と言うべきか分からないが)に狂ったように流れまくっている。
「深沢千尋様に1500億円の遺産が届きました!」というメールが、毎日何十通も「こい恋」という人から届いているのである。
ぼくに関してはこれはGmailで、迷惑メールにフィルタリングしているので全然手間無しだ。
生きていればこういう情報は徐々に漏れ出してくる。
なんならGmailを変えればいいのである。
問題は会社のメアドのような、ちょっとやそっとでは変えられなく、しかも迷惑メールのフィルタ処理も甘いようなメールを登録していた場合である。
これは後知恵であるが、こういうものを外部サービスに登録しない方がいい、ということになる。
次に、名前とパスワードが紐づいてしまうことについて。
これは、同じパスワードでいろんなサービス、特に課金が発生するアマゾンや楽天のようなECサイトに登録していた場合が大変だ。
今はさすがにしなくなったが、以前は本当にあらゆるサービスのパスワードを同じにしていた。
今は大丈夫だが、こういうの、大量のパスワードを管理するのが大変だ。
実際には、1Passwordのようなサービスをかまして、そこにサービスごとに全然違うログイン名とパスワードを入れておけば手間無しだ。
ただし、そのサービスのマスターパスワードが漏れたり、iPhoneをどこかに置き忘れてパスキーが破られたりしたら大騒ぎだ。
しかし、もうすでにいろんなサービスと共通にしているパスワードがレアジョブで漏れた「かもしれない」場合は、しょうがないから共通のサービスを今からでもどんどん変えた方がよい。
悪人は当然こういう脆弱性に詳しいから、先手先手を打ってくる。
使うほうも猛勉強が必要だ。
物騒な世の中になったものである。
1.影響範囲
レアジョブのオンライン英会話サービス開始以降にレアジョブに無料会員及び有料会員登録をされた全生徒様*。
*レアジョブに登録中の方で個人情報削除の依頼をいただいていない全てのお客様約11万人を含む。
2.流出の可能性が否定できない個人情報
2-1. レアジョブご登録情報
・お名前
・ニックネーム
・ご登録メールアドレス
・パスワード
・ご登録Skype名
2-2. レッスン受講履歴
・お客様のレッスン受講に関する履歴
・講師のお客様レッスン状況に関する記録
補足事項
なお、クレジットカード情報等の決済情報に関しては、弊社の決済システムとしてPayPal及びauかんたん決済を利用しており、
それらの決済情報を弊社で保有していないため、流出の可能性はございません。
また、銀行振込のお客様に関しては、当該システム内にお客様の銀行口座情報を
保有していないため、同様に流出の可能性はございません。
なお、現状、お客様からの2次被害の報告は受けておりません。
ぼくは以前の記事で、本サービスを絶賛した。
半年間で100回は使っているから、超・ヘビーユーザーであり、サービス自体の内容には超・満足している。
それが本件のようなことになって、大変残念だ。
ブログをやっていると、公に情報を発信する。
つまり、趣味で好きでやっていることであっても、責任がある。
たまたま本ブログを呼んでくださった方が、レアジョブの記事を読んで、そこまで絶賛してるならやってみるか、とやったとする。
で、たまたま気に入ってサービスを受け続けたかもしれないし、なんだこんなもんか、と思ってサービスをやめたかもしれない。
いずれにしても、情報が保存されていたので、流出した危険がある。
面倒なことに巻き込んでしまって、申し訳ありません。
ぼくはレアジョブを大変楽しんでいたし、企業理念に共鳴していた。
それは今も、変わらない。
もしセキュリティに問題さえなければ、つまり、今回受けた攻撃をむざむざと受けてしまう脆弱性さえなければ、何の問題もなく使っていたと思う。
つまり、レアジョブを経営している方(ブログにもコメントを頂いているが)には問題がなかったが、悪人から身を守る、客から預かった情報を守り抜くだけの能力がなかったということだ。
もっとも、能力もないのにサービスを運用する(運転免許も持っていないのに個人タクシーを開業するとか)のがどうか、という問題になってくるので、それは議論の余地があるだろう。
いずれにしても、ブログで何かに惚れ込んで絶賛していると、こういう危険もあるんだなあと実感した。
残念だ。
さて、実際のユーザーの被害を分析してみよう。
まず、メアドと名前が紐づいて流れてしまうことについて。
これは被害甚大であろう。
もっとも、ぼくのメアドは名前と紐づいて迷惑メール業者(「業者」と言うべきか分からないが)に狂ったように流れまくっている。
「深沢千尋様に1500億円の遺産が届きました!」というメールが、毎日何十通も「こい恋」という人から届いているのである。
ぼくに関してはこれはGmailで、迷惑メールにフィルタリングしているので全然手間無しだ。
生きていればこういう情報は徐々に漏れ出してくる。
なんならGmailを変えればいいのである。
問題は会社のメアドのような、ちょっとやそっとでは変えられなく、しかも迷惑メールのフィルタ処理も甘いようなメールを登録していた場合である。
これは後知恵であるが、こういうものを外部サービスに登録しない方がいい、ということになる。
次に、名前とパスワードが紐づいてしまうことについて。
これは、同じパスワードでいろんなサービス、特に課金が発生するアマゾンや楽天のようなECサイトに登録していた場合が大変だ。
今はさすがにしなくなったが、以前は本当にあらゆるサービスのパスワードを同じにしていた。
今は大丈夫だが、こういうの、大量のパスワードを管理するのが大変だ。
実際には、1Passwordのようなサービスをかまして、そこにサービスごとに全然違うログイン名とパスワードを入れておけば手間無しだ。
ただし、そのサービスのマスターパスワードが漏れたり、iPhoneをどこかに置き忘れてパスキーが破られたりしたら大騒ぎだ。
しかし、もうすでにいろんなサービスと共通にしているパスワードがレアジョブで漏れた「かもしれない」場合は、しょうがないから共通のサービスを今からでもどんどん変えた方がよい。
悪人は当然こういう脆弱性に詳しいから、先手先手を打ってくる。
使うほうも猛勉強が必要だ。
物騒な世の中になったものである。