個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ)
イプサは、「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。
インシデント・事故
インシデント・情報漏えい
その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。また、外部の情報セキュリティ専門企業(株式会社ラック)の参画により実施した詳細調査の結果、3つの技術的な問題と2つの管理体制の問題が明らかになった。
技術的な問題は、SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかったこと、同サイトのセキュリティ対策がファイアウォールのみであったこと(他のセキュリティ対策も導入済みであると誤認していた)、本来はサイト内にクレジットカード情報を保持しない設計であったのに、デバッグモードのまま運用されており、決済処理のログが残る状態になっていたことが判明した。
管理体制の問題は、同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。同社では、これらの問題点への対策も発表している。
《吉澤 亨史( Kouji Yoshizawa )》
関連記事
関連リンク
特集
アクセスランキング
-
東芝テックが利用するクラウドサービスに不正アクセス、取引先や従業員の個人情報が閲覧された可能性
-
「引っかかるのは当たり前」が前提、フィッシングハンターが提案する対策のポイント ~ JPAAWG 6th General Meeting レポート
-
転職先で営業活動に活用、プルデンシャル生命保険 元社員 顧客情報持ち出し
-
バッファロー製無線 LAN ルータに複数の脆弱性
-
Windows DNS の脆弱性情報が公開
-
プルーフポイント、マルウェア配布する YouTube チャンネル特定
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
セキュリティ対策は株価を上げるのか ~ 株主総利回り(TSR)の平均値は高い傾向
-
マリンネットサイトに SQL インジェクション攻撃、メールアドレス流出
-
フュートレックにランサムウェア攻撃、本番環境への侵入形跡は存在せず