tripla株式会社は12月12日、12月8日に公表した連結子会社への不正アクセスについて、第2報を発表した。
同社の連結子会社である PT. tripla BookandLink Indonesia(インドネシア法人)では12月6日に、インドネシア法人のサーバへの外部から不正アクセスが発覚し、その後、影響範囲等の調査を進める過程で予約情報を管理するシステムへの不正アクセスの形跡を確認し、個人情報の一部の漏えいが判明していた。
同社および外部専門家による調査を進めた結果、外部からの不正アクセスで、一部予約情報が外部から閲覧可能となったが、発覚直後にネットワークを切り離すなどの措置を実施し、当該画面を削除し、被害拡大防止に必要と考える措置はすべて実施している。
漏えいしたのは、宿泊者氏名、宿泊日、予約ID、宿泊施設名、電話番号、メールアドレス、住所を含む個人情報。
インドネシア法人では、顧客である全ての宿泊施設に対し、通知と注意喚起を実施している。
また、tripla及び旭海國際科技股份有限公司(台湾法人)、tripla Singapore Pte. Ltd.(シンガポール法人)、tripla(Thailand)Co., Ltd.(タイ法人)を含む同社グループ内の他の子会社・サービスについても、本件に起因する影響がないことを確認している。
triplaでは、本件を重要な経営課題と捉え、親会社である同社ですでに運用されている、より厳格なセキュリティ基準をインドネシア法人にも即時適用し、下記の技術的・組織的な再発防止策を実施・強化する。また、同社グループのグループ標準として全子会社に導入するとのこと。
1.不正アクセスの遮断と監視強化:原因となった脆弱性への対処および不正利用されたアカウントの無効化を完了。triplaグループ標準の監視体制に合わせ、IDS/IPS(不正侵入検知・防御システム)を導入し、異常な通信やアクセス試行を早期に検知・遮断する体制を構築。
2.認証システムの抜本的強化:なりすましログインを防止するため、tripla同様に多要素認証(MFA)の適用範囲拡大とパスワードポリシーの厳格化を進める。全ユーザーに対し認証情報の変更とMFA設定を強く推奨・依頼している。
3.継続的なセキュリティ評価:グループ全体のセキュリティガバナンス方針に基づき、外部専門
家による定期的なペネトレーションテスト(侵入テスト)を義務化し、客観的な視点での脆弱性診
断と継続的なシステム改修を実施。
なおtriplaでは、本件にかかる連結業績について、現時点では重大な影響は見込んでいない。
