ますも(益茂)証券株式会社は6月23日、同社のシステム内に保管されていた顧客の個人情報漏えいの可能性についてFacebookで発表した。
これは6月2日に、同社Webサイトにて本来表示されるべき関係団体等の案内が表示されていないという異常を同社が認識し、Webサイト管理会社に調査を依頼したところ、5月22日に大量メール送付によるサイバー攻撃があり、同社では6月4日にWebサイトを一時閉鎖するとともにサイバー攻撃とWebサイトの異常との関連性及びその他の障害の有無について調査を進めたところ、Webサイト管理システムの第三者のアクセス制限のセキュリティ機能が解除されていたことが6月11日に判明、第三者が管理システムに侵入することによる顧客の個人情報漏えいの可能性が発覚したというもの。
同社によると、Webサイト管理システムのセキュリティ機能が解除されていた2020年9月22日から2021年6月4日までの間に、第三者が管理システムに侵入することで、保管されていた顧客の個人情報が漏えいした可能性がある。管理システムへのアクセス記録に関する現段階の分析では、2021年5月22日以降は個人情報の漏えいがなかったことを確認しているが、2021年5月21日以前は、個人情報が漏えいしたか否かを確認できていない。
個人情報漏えいの可能性があるのは、「メール会員」を申込みした顧客の氏名、性別、メールアドレスと「くりっく365」を申込みした顧客の住所、氏名、生年月日、性別、電話番号、メールアドレス、職業、銀行口座、総資産、金融資産、取引経験、取引の動機、投資目的並びに方針。
同社では今後、調査結果を踏まえてシステムのセキュリティ対策及び外部委託先管理を含む監視体制の強化を行い、再発防止策を講じるとのこと。
これは6月2日に、同社Webサイトにて本来表示されるべき関係団体等の案内が表示されていないという異常を同社が認識し、Webサイト管理会社に調査を依頼したところ、5月22日に大量メール送付によるサイバー攻撃があり、同社では6月4日にWebサイトを一時閉鎖するとともにサイバー攻撃とWebサイトの異常との関連性及びその他の障害の有無について調査を進めたところ、Webサイト管理システムの第三者のアクセス制限のセキュリティ機能が解除されていたことが6月11日に判明、第三者が管理システムに侵入することによる顧客の個人情報漏えいの可能性が発覚したというもの。
同社によると、Webサイト管理システムのセキュリティ機能が解除されていた2020年9月22日から2021年6月4日までの間に、第三者が管理システムに侵入することで、保管されていた顧客の個人情報が漏えいした可能性がある。管理システムへのアクセス記録に関する現段階の分析では、2021年5月22日以降は個人情報の漏えいがなかったことを確認しているが、2021年5月21日以前は、個人情報が漏えいしたか否かを確認できていない。
個人情報漏えいの可能性があるのは、「メール会員」を申込みした顧客の氏名、性別、メールアドレスと「くりっく365」を申込みした顧客の住所、氏名、生年月日、性別、電話番号、メールアドレス、職業、銀行口座、総資産、金融資産、取引経験、取引の動機、投資目的並びに方針。
同社では今後、調査結果を踏まえてシステムのセキュリティ対策及び外部委託先管理を含む監視体制の強化を行い、再発防止策を講じるとのこと。
