海外における個人情報流出事件とその対応 第191回 大手就職情報サイトで、また情報漏えい (1)広がる不正アクセスによる情報漏えい
1月23日、米国の大手就職情報サイトMonsterが、情報漏えい事件の発生を発表した。Monsterは1967年創設。特にオンラインでの求人情報提供を始めた1995年ごろから、急成長を続け、現在では36カ国に、約5,200人の従業員を持つ世界的な企業だ。本社はニューヨークにあり、
国際
海外情報
23日の発表によると、データベースが不正にアクセスを受け、データベースから情報が盗まれたというものだ。被害を受けたのは、MonsterのユーザID、パスワード、e-mailアドレス、氏名、電話番号、および一部の性別をはじめとする人口統計学的なデータだ。
Monsterではユーザの履歴書についてはデータを集めていない。これは通常、企業に直接送付されるものであるためだ。また、社会保険番号や個人の財務情報も同様に無事だった。
Monsterでは事件発覚後、直ちに、調査を開始して、対策を取った。また、Monsterでは、常にデータベースの不正使用について監視していて、発表時点では、情報の不正使用は確認されていない。
但し、今回の事件についての発表では、漏えいの被害を受けたユーザ数やどのようにして攻撃を受けたかについての詳細は全くと言っていいほど明らかになっていない。Monsterに問い合わせたが、回答は得られていない。
●明確でない事件後の対策
その後、28日から、パスワードの強制的なリセットをユーザに求めるとの発表があった。安全のためにも、ユーザに対してパスワード変更を呼びかけている。
特に被害を受けたユーザについては、ログインすると、登録しているe-mailアドレスに仮のパスワードが送付される。このパスワードを用いて、ログインした後、ユーザは新しいパスワードを設定するというものだ。面倒かもしれないが、今後、なんらかのインターネット犯罪の被害に遭わないためにも、防御策をとっておいて欲しいと訴えている。
このパスワードのリセットは、MonsterのWebサイトにログインするときにのみ行われる。ログインを行わないのに、Monsterからのものとして、パスワード変更のe-mailが届いた場合は、データを盗んだ犯罪者による、フィッシング詐欺などの危険もあるので注意して欲しいと警告している。今回の事件に関係のない人物が、ランダムにフィッシングメールを大量に送信する可能性もある。受信者がたまたまMonsterを利用していて、メールに反応するかもしれないためで、大きな漏えい事件の後は、漏えい元だと偽ったフィッシングメールの送信が報告されることはよくある。
金融機関をはじめ、多くの企業や組織が繰り返しユーザや顧客に確認しているが、パスワードなどを尋ねるe-mailを送付することはない。Monsterも同様で、パスワードやユーザ名の確認、あるいはソフトウェアのダウンロードを求めるようなe-mailには注意するよう求めた。
『TechSpot News』のジャスティン・マンは1月26日、「Monsterは、攻撃の詳細についてほぼ何も明らかにしていない」としている。Monsterの警告による公式発表では、同社のセキュリティシステムのインテグリティを守るためにも、状況についての詳細は公表しないと説明している。
それだけではなく、情報漏えいの被害者への通知も行わない。Webサイトでセキュリティの通知を行うことが最も安全で、効果的だという姿勢だ。事件を受けて、monsterのWebサイトのホームページに、確かに"Security Notice!"と赤字で表示されていて、クリックすると、Monsterからの警告ページに移るようになっている。Monsterでは、通知のe-mailを送付することで、フィッシングメールのテンプレートとして使用される危険があるために、通知を行わないという姿勢だ。
情報漏えい事件があった企業は、外部企業に依頼して、フォレンジック調査などを行っていると発表することもあるが、Monsterについては、特に事件後、どのような対策を採ったかについても触れてはいない。Webサイトにおける事件の通知でも、同社が行っているセキュリティ対策について、これまでもデータセキュリティの強化に大きな投資を行ってきたし、今後も行っていくという説明のみだ。そして、monsterサイトでの不審な動きがないか、データベースに不正使用がないかについて"full-time"で世界中のセキュリティチームが監視しているとして、十分なシステムがあるとアピールしている。
●連邦政府のサイト、USAJOBSも被害
今回の事件で漏えいの被害を受けたのは、monster.comのWebサイトだけではない。Monsterがテクノロジーを提供し、サイト運営を行っているUSAJOBSのWebサイト、www.usajobs.govも被害を受けた…
【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec
《ScanNetSecurity》