イベント運営やメディア事業、通信事業、システムサポート、EC事業を行うS-Collection株式会社は3月31日、3月4日に公表した同社が管理する電子誓約書サービスのサーバへの不正アクセスについて第二報を発表した。
これは3月2日に、同社が管理する電子誓約書サービスのサーバに対し、アイルランドのIPアドレスからデータベースへの不正操作があり、同サービスの誓約者(手続き中も含む)の個人情報がダウンロードされたというもので、3月3日午前8時50分に同社システムチームが電子誓約書のデータベースの異常を認識し発覚した。
同社では3月3日午後0時50分にセキュリティ対応本部を立ち上げ、午後1時54分には電子誓約書サーバを停止、3月9日には第三者機関に脆弱性診断と事故原因調査を依頼、3月30日に情報漏えいの調査経過報告を受領した。
同調査によると、データベースへの不正操作の原因はパスワード攻撃による不正取得と推測され、流出したのは2016年7月24日から2020年3月2日の期間に電子誓約書を締結した者の個人情報(氏名、住所、電話番号、メールアドレス)と同期間に電子誓約書を締結中だった者の個人情報(氏名、メールアドレス)。
同社では3月3日に、高輪警察署とJAPHICに今後の対応方法を相談するとともに、3月4日にはJAPHICを通し個人情報保護委員会に事故報告書を提出済み。
同社では、3月16日に受領した脆弱性診断最終報告に基づき3月22日に改修対応を完了しており、今後はパスワードの強化と定期的なパスワード監査、アクセス制限のポリシーの見直し等セキュリティ対策を強化し再発防止に努めるとのこと。
これは3月2日に、同社が管理する電子誓約書サービスのサーバに対し、アイルランドのIPアドレスからデータベースへの不正操作があり、同サービスの誓約者(手続き中も含む)の個人情報がダウンロードされたというもので、3月3日午前8時50分に同社システムチームが電子誓約書のデータベースの異常を認識し発覚した。
同社では3月3日午後0時50分にセキュリティ対応本部を立ち上げ、午後1時54分には電子誓約書サーバを停止、3月9日には第三者機関に脆弱性診断と事故原因調査を依頼、3月30日に情報漏えいの調査経過報告を受領した。
同調査によると、データベースへの不正操作の原因はパスワード攻撃による不正取得と推測され、流出したのは2016年7月24日から2020年3月2日の期間に電子誓約書を締結した者の個人情報(氏名、住所、電話番号、メールアドレス)と同期間に電子誓約書を締結中だった者の個人情報(氏名、メールアドレス)。
同社では3月3日に、高輪警察署とJAPHICに今後の対応方法を相談するとともに、3月4日にはJAPHICを通し個人情報保護委員会に事故報告書を提出済み。
同社では、3月16日に受領した脆弱性診断最終報告に基づき3月22日に改修対応を完了しており、今後はパスワードの強化と定期的なパスワード監査、アクセス制限のポリシーの見直し等セキュリティ対策を強化し再発防止に努めるとのこと。
