株式会社サイトビジットは12月9日、同社が運営するオウンドメディア「資格スクエアマガジン」を管理するサーバのデータベースに対し第三者からの不正アクセスを受け、個人情報流出の可能性が判明したと発表した。
これは11月6日午前4時7分に、ダウンタイム検知ツールにより「資格スクエアマガジン( https://www.shikaku-square.com/magazine )」を管理するサーバのデータベースにアクセスできない状態であることが通知され、同社にて原因を調査したところ、第三者からの不正アクセスを受け当該データベースが書き換えられ、データベース回復のために仮想通貨の送信を要求するメッセージの記載を同日午前10時30分に発見したというもの。
同社では11月6日午前11時12分に、被害拡大防止のために当該サーバを停止、11月8日にはセキュリティ調査会社に当該サーバへの侵入経路の詳細を調査依頼、11月15日には警察に届け出を行った。
11月25日に完了したセキュリティ調査会社の結果によると、ポーランドまたは中国からの不正アクセスにより、当該サーバに不正アクセスがあり、その情報の中に顧客の個人情報が記録されていたことが判明した。
流出が疑われるのは、2013年10月08日午後9時41分57秒から2015年1月9日午後2時41分33秒の間に「資格スクエア」に登録した会員の個人情報で、その項目と人数は下記の通り。
・メールアドレス、姓名、性別、生年月日、電話番号、住所:236名
・メールアドレス、姓名、性別、生年月日、電話番号:1,052名
・メールアドレスのみ:797名
同社では対象の顧客に対し、別途メールにて個別に謝罪と説明の連絡を実施済み。
同社ではもともとプライバシーマークを取得するなど個人情報の管理を強化していたが、本件を受けて既に、同社が管理する全てのサーバの通信ルールを見直し、データベースに第三者がアクセスできないようアカウントとパスワードを再設定、独立行政法人情報処理推進機構への報告を行い、今後の再発防止策として外部ベンダーによるシステムの脆弱性診断を実施し、その結果を踏まえて必要な対応を行うとともに、セキュリティ強化のために新たにWeb Application Firewallを設置するとのこと。
これは11月6日午前4時7分に、ダウンタイム検知ツールにより「資格スクエアマガジン( https://www.shikaku-square.com/magazine )」を管理するサーバのデータベースにアクセスできない状態であることが通知され、同社にて原因を調査したところ、第三者からの不正アクセスを受け当該データベースが書き換えられ、データベース回復のために仮想通貨の送信を要求するメッセージの記載を同日午前10時30分に発見したというもの。
同社では11月6日午前11時12分に、被害拡大防止のために当該サーバを停止、11月8日にはセキュリティ調査会社に当該サーバへの侵入経路の詳細を調査依頼、11月15日には警察に届け出を行った。
11月25日に完了したセキュリティ調査会社の結果によると、ポーランドまたは中国からの不正アクセスにより、当該サーバに不正アクセスがあり、その情報の中に顧客の個人情報が記録されていたことが判明した。
流出が疑われるのは、2013年10月08日午後9時41分57秒から2015年1月9日午後2時41分33秒の間に「資格スクエア」に登録した会員の個人情報で、その項目と人数は下記の通り。
・メールアドレス、姓名、性別、生年月日、電話番号、住所:236名
・メールアドレス、姓名、性別、生年月日、電話番号:1,052名
・メールアドレスのみ:797名
同社では対象の顧客に対し、別途メールにて個別に謝罪と説明の連絡を実施済み。
同社ではもともとプライバシーマークを取得するなど個人情報の管理を強化していたが、本件を受けて既に、同社が管理する全てのサーバの通信ルールを見直し、データベースに第三者がアクセスできないようアカウントとパスワードを再設定、独立行政法人情報処理推進機構への報告を行い、今後の再発防止策として外部ベンダーによるシステムの脆弱性診断を実施し、その結果を踏まえて必要な対応を行うとともに、セキュリティ強化のために新たにWeb Application Firewallを設置するとのこと。
![Log4Shell のような経験はもう二度としない ~ SSVC が搭載された FutureVuls を活用し、現実的な脆弱性管理を実現 [株式会社マイナビ]](/imgs/p/VBQCg88_AM0-DSZSF4-0dQsJwAfOBQQDAgEA/43935.jpg)
