宅ふぁいる便事件の教訓｜480万件の情報漏洩から学ぶファイル転送の安全対策

最終更新日: 2026年5月5日

2019年1月、ファイル転送サービス「宅ふぁいる便」で約481万件の個人情報が漏洩しました。原因は「パスワードの平文保存」という、セキュリティの基本中の基本が欠けていたことです。

プライバシーマーク取得企業としてファイル転送サービスを運営する立場から、この事件の教訓を整理します。「自分が使っているサービスは大丈夫か？」をチェックするポイントもまとめました。

この記事はギガワタス（giga-watasu.jp）の運営ブログです。自社サービスを含む解説を行いますが、技術的事実に基づいて記載しています。

宅ふぁいる便事件とは？480万件の情報漏洩の全貌

宅ふぁいる便は、大阪ガスグループの株式会社オージス総研が1999年から運営していた大容量ファイル転送サービスです。無料で大容量ファイルを送れるサービスとして、国内で広く利用されていました。

事件は2019年1月に発覚しました。時系列で振り返ります（出典: オージス総研 公式発表）。

漏洩した情報の範囲

漏洩件数は約481万5,399件。全登録ユーザーの情報が対象でした。

具体的に流出したのは以下の情報です。

• 氏名（ふりがな含む）
• ログイン用メールアドレス
• ログインパスワード（暗号化されていない平文の状態）
• 生年月日、性別
• 職業・業種・職種
• 居住地の都道府県名

さらに2005年〜2012年に登録したユーザーは、郵便番号・勤務先情報・配偶者や子供の有無まで漏洩しています。

もっとも深刻なのはパスワードが平文（暗号化されていないそのままの文字列）で流出したことです。同じパスワードを他のサービスでも使い回していたユーザーは、すべてのアカウントが危険にさらされました。

なぜ起きた？「パスワード平文保存」という致命的な問題

事件の直接原因は、サーバーの脆弱性を突いた不正アクセスです。しかし被害がここまで拡大した根本原因は別にあります。

パスワードが暗号化（ハッシュ化）されず、平文のまま保存されていたことです。

平文保存の何が問題なのか

通常、まともなWebサービスではパスワードをそのまま保存しません。「ハッシュ化」という一方向の変換を行い、元のパスワードに戻せない形で保管します。

ハッシュ化されていれば、サーバーに不正アクセスされてもパスワード自体は流出しません。宅ふぁいる便はこの基本的な対策を行っていませんでした。

なぜ暗号化しなかったのか

オージス総研は「暗号化の必要性は認識していたが、他の防御策を優先し、パスワードの暗号化・ハッシュ化を後回しにしていた」と説明しています（出典: ITmedia — なぜ宅ふぁいる便は「暗号化」していなかったのか）。

1999年にサービスを開始してから約20年間、システムの根本的な見直しが行われなかった。長年の技術的負債が、最悪の形で表面化したケースです。

ファイル転送サービスを運営する立場から言うと、これは「無料サービスのセキュリティ投資の限界」を示しています。収益がなければセキュリティに投資できない。しかしユーザーは「無料だからセキュリティは仕方ない」とは思いません。預けたファイルと個人情報は守られて当然だと期待しています。

当社では、ユーザーのパスワードは当然ハッシュ化して保存しています。また、ファイル自体もAES-256で暗号化したうえでサーバーに保管しています。宅ふぁいる便事件は「やって当たり前のことを後回しにした結果」であり、ファイル転送サービスの運営者として他人事ではありません。

事件の影響｜サービス終了とパスワードリスト攻撃のリスク

21年続いたサービスが終了

オージス総研は事件後、サービス再開を目指して調査・改善を試みました。しかし「安心してお使いいただけるサービスを提供するには相当程度のシステム再構築が必要」と判断し、2020年3月にサービスを終了しています（出典: ITmedia — 宅ふぁいる便、3月末で終了）。

21年間の運営実績があっても、セキュリティ事故一つで終わる。サービス提供者としてこの事実は重く受け止めています。

パスワードリスト攻撃のリスク

流出したパスワードは平文です。攻撃者はメールアドレスとパスワードの組み合わせをそのまま使い、他のサービス（Amazon、楽天、銀行など）に不正ログインを試みることができます。これが「パスワードリスト攻撃」です。

パスワードを使い回していたユーザーにとって、被害は宅ふぁいる便だけにとどまりません。

元ユーザーが今すぐやるべきこと

宅ふぁいる便に登録していた方は、事件から7年経った今でも以下の対応が必要です。

1. 同じパスワードを使っているサービスをすべて洗い出す。メール、ネットバンキング、ECサイト、SNSなど
2. 該当するサービスのパスワードをすべて変更する。サービスごとに異なるパスワードを設定する
3. 可能なら2段階認証（2FA）を有効にする。パスワードが漏れても不正ログインを防げる
4. 不審なログイン履歴がないか確認する。特に銀行・クレジットカードのアカウント

流出したパスワードは平文なので、攻撃者がそのまま使えます。「もう何年も前の話だから大丈夫」ではありません。攻撃者は流出データを長期間保持し、時間をおいて悪用するケースもあります。

ファイル転送サービスの脆弱性は過去の話ではない

2023年5月には、米Progress Software社のファイル転送ソフト「MOVEit Transfer」に脆弱性が見つかり、ランサムウェアグループに悪用されました。2,700以上の組織が被害を受け、約9,300万人の個人情報が流出しています。

ファイル転送サービスは個人情報と機密ファイルの両方を扱うため、攻撃者にとって格好のターゲットです。「有名なサービスだから安全」という思い込みは危険です。

同じ失敗を繰り返さない｜ファイル転送サービスの5つのチェックポイント

宅ふぁいる便事件の教訓を踏まえて、ファイル転送サービスを選ぶ際に確認すべき5つのポイントを整理しました。

1. 暗号化方式：SSL通信だけでは不十分

SSL/TLS通信は、ファイルの「送受信中」だけを暗号化します。サーバーに保存されたファイルは暗号化されていません。

宅ふぁいる便事件では、サーバーに不正アクセスされた時点ですべてが流出しました。保存時にもAES-256（銀行のオンラインバンキングと同じ暗号化方式）で暗号化しているサービスを選ぶべきです。

サービスの公式サイトやFAQページに「AES-256」「保存時暗号化」の記載があるか確認してください。「SSL対応」だけでは保存時の暗号化については何も保証していません。暗号化方式の詳細は「ファイル転送の暗号化とは？」で解説しています。

2. セキュリティ認証：第三者のチェックがあるか

プライバシーマークやISMS（ISO27001）は、個人情報保護やセキュリティ管理体制を第三者機関が審査する認証制度です。

取得しているサービスは、定期的に外部監査を受けてセキュリティ体制を維持しています。宅ふぁいる便の運営元であるオージス総研はプライバシーマークを取得していましたが、サービス自体のセキュリティ対策が不十分だったという教訓もあります。認証の有無だけでなく、具体的な技術対策の確認も重要です。

3. パスワード保護：URLの漏洩対策

ダウンロードURLが第三者に渡ってしまうリスクは常にあります。パスワードを設定しておけば、URLだけではダウンロードできません。ファイル転送で情報漏洩が起きる原因でも解説していますが、「URLの誤送信」は最も頻繁に起きる漏洩パターンです。

4. ウイルススキャン：受信者を守る機能

アップロードされたファイルにウイルスが含まれていないか自動でチェックする機能です。送信者が気づかないうちに感染ファイルを送ってしまうリスクを防ぎます。

5. 運営会社の透明性：誰が運営しているか

運営者情報が不明なサービスにファイルを預けるのはリスクが高い。事故が起きたときに連絡先がなければ、対応を求めることもできません。国内法人が運営し、問い合わせ窓口が公開されているサービスを選びましょう。

よくある質問

まとめ

宅ふぁいる便事件は、「パスワードの平文保存」というセキュリティの基本が欠けていたために起きた事故です。約481万件の個人情報流出、21年続いたサービスの終了という結果になりました。

この事件から学ぶべきことは明確です。

1. SSL通信だけでは不十分。保存時の暗号化（AES-256等）があるか確認する
2. セキュリティ認証の有無を確認する。プライバシーマークやISMSの取得は一つの基準
3. パスワード保護を必ず使う。URLの誤送信対策として必須
4. 有名だから安全とは限らない。具体的な技術対策を確認する

ファイル転送サービスを選ぶ際は、「無料か有料か」よりも「自分のファイルと個人情報をどう守っているか」を基準にしてください。

ギガワタスは、AES-256暗号化・ウイルススキャン・IPアドレス制限といったセキュリティ機能を無料会員登録だけですべて使えます。まずは無料で試してみてください。

関連記事

• ファイル転送で情報漏洩が起きる5つの原因と防ぎ方
• 機密ファイルの安全な送り方5つ
• ファイル転送の暗号化とは？
• セキュアファイル転送サービス5選