個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ) | ScanNetSecurity
2024.07.13(土)

個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ)

イプサは、「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。

インシデント・事故 インシデント・情報漏えい
株式会社資生堂の子会社である株式会社イプサは1月31日、同社が運営する通販サイト「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。発表当時、同サイトのWebサーバにSSIの脆弱性があり、それを悪用しバックドアを仕掛けられたこと、結果としてサイトに登録されていたクレジットカード情報56.121件を含む顧客の個人情報421,313件が流出した可能性があるとしていた。

その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。また、外部の情報セキュリティ専門企業(株式会社ラック)の参画により実施した詳細調査の結果、3つの技術的な問題と2つの管理体制の問題が明らかになった。

技術的な問題は、SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかったこと、同サイトのセキュリティ対策がファイアウォールのみであったこと(他のセキュリティ対策も導入済みであると誤認していた)、本来はサイト内にクレジットカード情報を保持しない設計であったのに、デバッグモードのまま運用されており、決済処理のログが残る状態になっていたことが判明した。

管理体制の問題は、同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。同社では、これらの問題点への対策も発表している。

《吉澤 亨史( Kouji Yoshizawa )》

特集

関連記事

PageTop

アクセスランキング

  1. 「ITパスポート試験」が1位に ~ 日本の資格検定アワード2023

    「ITパスポート試験」が1位に ~ 日本の資格検定アワード2023

  2. 情報セキュリティマネジメント試験 8歳の小学3年生合格、最年少記録6年ぶり更新

    情報セキュリティマネジメント試験 8歳の小学3年生合格、最年少記録6年ぶり更新

  3. 東証プライム上場企業運営「PR TIMES」に虚偽情報による企業登録、2 件のプレスリリース掲載

    東証プライム上場企業運営「PR TIMES」に虚偽情報による企業登録、2 件のプレスリリース掲載

  4. 臨地実習で個人情報記載の書類を紛失、匿名の届け出で判明(共立女子大学)

    臨地実習で個人情報記載の書類を紛失、匿名の届け出で判明(共立女子大学)

  5. スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

    スマホアプリ「ピッコマ」に外部サービスの APIキーがハードコードされている問題

ランキングをもっと見る
PageTop