プライバシーザムライがゆく(プライバシーマーク・ISMS最新情報)

プライバシーマーク、ISMSのことなら、当社(オプティマ・ソリューションズ)にお任せください。

個人情報漏えい事件

このエントリーをはてなブックマークに追加
2019-07-26 13.08.20
(画像はヤマト運輸Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

宅配便大手のヤマト運輸は、顧客向けWebサイト「クロネコメンバーズ」にパスワードリスト攻撃が行われ、約3500人分の個人情報が流出したと発表しました。

流出したのは、クロネコヤマトにメールアドレスを登録した利用者の
クロネコID、メールアドレス、氏名、氏名ふりがな、電話番号、性別、郵便番号、住所、クレジットカード情報(カード番号の下4桁・有効期限・氏名)、アドレス帳情報(氏名・住所・電話番号)
3,467件
とのことです。

なお、不正ログイン試行件数は約3万件であり、「特定のIPアドレスから通信が行われている」「同社に登録していないメールアドレスでのログイン試行がある」などから、同社としては「パスワードリスト攻撃」だと断定したようです。

※パスワードリスト攻撃とは、他のサービスから流出したメールアドレスとパスワードの組み合わせを使ってログインを試行することで、不正アクセスする手法のこと。

同社では、対象となった利用者のIDを停止し、パスワードを変更するよう個別に連絡をしているとのことです。

http://www.kuronekoyamato.co.jp/ytc/info/info_190724.html

(私のコメント)
ここ数年、この手のパスワードリスト攻撃がどんどん増加しています。

今年2月には、ダークウェブで22億件ものメールアドレスとパスワードの組み合わせが公開されているという報道もありました。

https://japan.cnet.com/article/35132120/

ここから入手したメールアドレスとパスワードの組み合わせを一つ一つ著名なサービスに入力していけば、かなりの割合でログインできる可能性があるわけです。実際にそのようにして多くの不正アクセスが発生しています。

今回のヤマト運輸の事例においては、まさにパスワードリスト攻撃の特徴が見られ、同社がいち早くそれを察知したことにより、問題が大きくなる前に対策を講じることができたと言えると思います。

このような事態を受けて、パスワードリスト攻撃対策は事業者側の義務となりつつあると言えると思います。

インターネットが登場して以来、多くのサービスの利用規約の中で、パスワードの管理は利用者の義務とされ、正しいパスワードが入力された場合にはその利用者の情報を表示させるのが事業者側の務めであり、たとえそれが流出したものであったとしても事業者側は関知する義務はないという事になっていました。

しかし、今回のヤマト運輸の事例では、事業者側が利用者にお詫びする形となっています。それは「過失を犯した意識のない利用者の情報が不正アクセスにより多数流出してしまった」からであり、これを「利用者側のパスワード管理ミス」と言い続けることが難しくなってきているということだと思います。

従って、事業者としてパスワードリスト攻撃に対抗する法的義務はないとは言え、今後ますます義務の様になってくると思います。

今回の事件では、パスワードリスト攻撃の特徴がかなり明確になっています。
(1)特定のIPアドレスから通信が行われている
(2)自社に登録していないメールアドレスでのログイン試行がある
(3)同一アカウントに対して何回もログイン試行がない(総当たり攻撃ではない)
(4)パスワード間違いの比率が80%から90%程度である(今回の事例では89%でした)
などの場合には、事業者側でパスワードリスト攻撃の可能性があると判断できます。このような場合には、そのIPアドレスからの通信を停止するなど、被害が広がらない対策を講じることが今後は必要になってくるのではないかと思います。

※もちろん、対策と攻撃の進化はいたちごっこですから、攻撃者側も(1)などはすぐに対抗策を講じてくるとは思いますけどね。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
7payアプリ画面
(画像は7payアプリのスマホ画面)

皆さんこんにちは。
プライバシーザムライ中康二です。

セブンイレブンが7月から始めたコード決済「7pay」が、サービス開始早々から不正に利用され、事実上のサービス停止に追い込まれている件については、メディアの報道でもご存知かと思います。

不正利用の被害者が約900名、被害金額が約5580万円とのこと。ほんの数日でこれだけの不正利用があったということは、7payというシステムにそもそも大きな問題があったと言わざるを得ません。

しかも、セブン・ペイ社が開いた記者会見において、「専門家の脆弱性診断は受けていた」というようなやり取りがあり、同社の体制にも大きな問題があったと言えると思います。

日本全体でキャッシュレスを推進するために設立された業界団体である一般社団法人キャッシュレス推進協議会では、昨年サービス開始したPayPayで不正利用が相次いだことをうけて、不正アクセスに対するガイドラインを作成していましたが、7payはこのガイドラインを満たしていなかったとのことです。

セブン・ペイ社ニュースリリース一覧
https://www.7pay.co.jp/news/

経産省のリリース
https://www.meti.go.jp/press/2019/07/20190705003/20190705008.html

(私のコメント)
セキュリティ・バイ・デザインという言葉があります。これはシステムを開発、設計する時点において、予めセキュリティ対策を盛り込もうという考え方です。インターネットが普及し、世界中から不正アクセスが行われている現代においては、必須の考え方と言えると思います。

今回の7payの事態を見ますと、このセキュリティ・バイ・デザインの考え方が全く取り入れられていなかったということだと思います。日本を代表する優良企業であるセブンイレブンのグループ会社で、このような事態に見舞われたことは誠に残念と言わざるを得ないと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
2019-05-31 10.43.51
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

家電量販大手のヤマダ電機は、自社が運営する通販サイト「ヤマダウエブコム」と「ヤマダモール」のカード入力画面に改ざんが行われ、最大で4万件弱のカード情報が流出した可能性があると発表しました。

流出した可能性があるのは、今年3月18日から4月26日の間に、同社の通販サイトにクレジットカード番号を入力した顧客の
「クレジットカード番号」「有効期限」「セキュリティコード」最大37,832名分
とのことです。

同社では、今回の発表にいたる流れを下記の通りと説明しています。
 4月16日 カード会社からの連絡を受けて調査を開始
 4月26日 Webサイト上でのカード情報の登録を停止
 5月7日 警察当局に報告と相談
 5月20日 調査が終了
 5月28日 個人情報保護委員会に報告
 5月29日 公表

同社では、クレジットカードの再発行にかかる費用が同社が負担するとしています。

https://www.yamada-denki.jp/information/190529/

(私のコメント)
同社のリリースによると、原因を「第三者によってWebサイトに不正アクセスがあり、ペイメントアプリケーションの改ざんが行われたため」としています。この表現が大変分かりづらい上に、また「カード番号やセキュリティコードは自社では保存していなかった」との説明を行ったようで、マスコミ報道などで少し混乱があったようです。

今回の原因を分かりやすく表現すると、「Webサイトが乗っ取られ、内容が書き換えられたために、本来は決済代行会社に直接送信されていたはずのカード情報が抜き取られた」ということです。

つまり犯人はとても慎重に同社のサーバーに入り込み、見ただけは気づかないような形でカード情報が自分たちのサーバーに流れてきて、かつ購入手続きは正しく完了できるようにWebサイトの内容を書き換え、それが実際に1ヶ月間以上そのままになっていたということなのです。

今回の事件は、流出したカード情報の一部が不正利用されたことにより、カード会社側で検知されて発覚したようです。しかし、もし犯人が不正利用をしないまま寝かせていたとしたら、もっと長い間、発覚しなかった可能性もあります。

つまり、もしかすると他の大規模な通販サイトでも罠が仕掛けられている可能性がありますね。カード決済をお使いの全ての事業者の方は、決済代行会社の画面に遷移する直前のWebページが改ざんされていないか、再度確認されることをオススメします。

また、何か情報が入りましたら、皆様にシェアいたしますね。





このエントリーをはてなブックマークに追加
2019-05-16 15.31.43
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

衣料大手ファーストリテイリングは、自社が運営する通販サイト「ユニクロ公式オンラインストア」「ジーユー公式オンラインストア」に大規模なパスワードリスト攻撃が行われ、46万件の不正ログインを許し、利用者の個人情報を流出させた可能性があると5月13日付で発表しました。

流出した可能性があるのは、通販サイト利用登録者の情報で、
「氏名」「氏名カナ」「郵便番号」「住所」「電話番号」「携帯電話番号」「メールアドレス」「性別」「生年月日」「購入履歴」「マイサイズに登録している氏名とサイズ」「配送先の氏名、住所など」「クレジットカード番号の上4桁と下4桁」「有効期限」など 約46万名
とのことです。

同社のリリースによると、4月23日から5月10日にかけてパスワードリスト攻撃が行われて46万件の不正アクセスを許してしまったといいます。顧客から「身に覚えのない登録情報変更の通知メールが届いた」という連絡を受け取って社内で調査したところ、事実が発覚したといいます。

https://www.fastretailing.com/jp/group/news/1905132000.html

同社では、対象ユーザーのパスワードを無効化し、パスワード再設定をするようにメールで連絡したとのことです。

(私のコメント)
これほどの規模のパスワードリスト攻撃の成功例は珍しいのではないかと思います。

そもそもパスワードリスト攻撃の場合には、
(1)まず、IDが一致しない可能性があります。ユニクロのWebサイトがいくら人気だと言っても、日本のネット利用者の1割程度だと思いますから、少なくともここで10回に9回くらい失敗するはずです。
(2)次に、パスワードが一致しない可能性があります。いくらパスワードを使いまわしている人が多いとはいえ、その比率はどんなに高くても3割程度にとどまるのではないかと思います。

そうすると、ログインに成功できるのは30回に一回という仮定が成立します。46万回の成功を許すには、単純計算で1380万回、少なくとも1000万回以上のチャレンジが行われているはずです。

1000万回の不正アクセスのチャレンジが機械的に行われれば、通常は管理者側で異常に気付くと思われます。しかし、今回はそれが見過ごされ、不正アクセスに成功してしまいました。

ということは、今回の攻撃者は、分散したIPアドレスから不正アクセスを行ったり、一定の時間をあけてゆっくりと不正アクセスを行うなど、検知を逃れるために工夫を凝らした可能性があると思います。

同社のリリース文にもURLが貼り付けられていますが、今後は大規模なWebサイトを構築する際には、「二要素認証」や「特定のIPアドレスからの通信の遮断」「普段と異なるIPアドレスからの通信の遮断」などが必須になってくると思います。
http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000063.html

先日からメディアで報道されているように、
何億件ものIDとパスワードの組み合わせが出回っている訳ですから、
このままでは、この手の事件がまだまだ続きそうです。ほんとに。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2019-04-19 09.44.37
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

JR九州は、自社が運営する通販サイト「ななつ星Gallary」の利用者のカード情報を含む個人情報約8000件が流出したと、4月12日付で発表しました。

流出したのは、2013年の開設以来の利用者の情報で、
「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード(暗号化処理済)」「秘密の質問の答え(暗号化処理済)」約6,000名分
・「カード番号」「有効期限」「セキュリティコード」約3,000名分
・「氏名」「住所」「郵便番号」「電話番号」約2,000名
とのことです。

同社のリリースによると、Webサーバーに不正アクセスがあり、情報が盗まれた可能性があるとのことです。3月11日にカード会社からの不正利用の連絡があり、即日Webサイトを閉鎖したとのことです。

同社では、クレジットカードの再発行費用については自社で負担するとしています。

http://www.jrkyushu.co.jp
http://www.jrkyushu.co.jp/news/__icsFiles/afieldfile/2019/04/12/nanatsuboshi_gallery_4.pdf

(私のコメント)
Webサイトを即日閉鎖したことは素晴らしいのですが、一般公表まで1か月かかっているのは少し遅いかなと思います。


また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2019-02-03 15.01.48
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライ中康二です。

株式会社オージス総研(大阪ガス100%出資・プライバシーマーク取得済み)は、自社が運営するファイル転送サービス「宅ふぁいる便」の利用者のパスワード(平文のまま)を含む個人情報約480万件が流出したと、1月25日付で発表しました。

流出したのは、利用者の情報で
・2005年以降、会員登録をした会員の氏名、性別、住居の都道府県、生年月日、職業、ログインID(メールアドレス)、パスワード(暗号化していない平文のまま)などの情報 約480万件
・2005年〜2012年の間に、会員が答えた住居の郵便番号、職場の都道府県、職場の郵便番号、家族構成の情報 件数未公表
とのことです。

同社でサービスを全面的に停止し、トップ画面のURLでお詫び文を掲載して、利用者との対応に当たっているようです。

https://www.filesend.to/

(私のコメント)
今回の流出が致命的なのは
・ログインID(メールアドレス)
・パスワード(暗号化していない平文のまま)
がセットになって流出していることです。


メールアドレスとパスワードがセットになっている場合、世の中の人の何割かは同じ組み合わせを他のサービスでも使いまわししていますから、この情報をセットにしてGoogle、Facebook、楽天、Yahoo!などの著名サービスに入れてみると、あれよあれよという間に不正アクセスができてしまいます。480万件流出なら100万件くらいはどれかにログインできてしまうんじゃないかと思います。

そうです。これがパスワード使いまわしによるパスワードリスト攻撃というもので、本Blogでも何回も警鐘を鳴らし続けてきていますが、それが大規模に起こる危険性がまさに「今そこにある危機」となっています。

最大限、警告します。宅ふぁいる便を使ったことがある人で、同じパスワードを他の著名サービスでも使っている人は、今すぐにその著名サービスのパスワードを変更してください。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
キャセイパシフィック航空
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

香港のキャセイパシフィック航空は、利用者のカード情報を含む個人情報最大940万件が流出した可能性があると、10月25日付で発表しました。

流出したのは、利用者の情報で
・氏名、国籍、生年月日、電話番号、 Eメールアドレス、住所、パスポート番号、IDカード番号、フリークエントフライヤープログラムの会員番号、カスタマーサービス上の注記、過去のフライト利用履歴 最大940万件
・クレジットカード情報 430件
とのことです。

同社では、不正アクセスの遮断と外部のセキュリティ専門家による調査を行うほか、利用者に対しては個別に連絡を取るとしています。

https://news.cathaypacific.com/%E3%82%AD%E3%83%A3%E3%82%BB%E3%82%A4%E3%83%91%E3%82%B7%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E8%88%AA%E7%A9%BA-%E6%97%85%E5%AE%A2%E3%83%87%E3%83%BC%E3%82%BF%E3%81%AB%E5%BD%B1%E9%9F%BF%E3%81%99%E3%82%8B%E3%83%87%E3%83%BC%E3%82%BF%E3%82%BB#

(私のコメント)
先日、英国ブリティッシュエアウェイズからも個人情報流出があったばかりですが、今回の香港キャセイパシフィックの件も、GDPRとの関係でどのような取扱いになるか、注目が集まります。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
SOKAオンラインストア
(画像は同社Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

聖教新聞社は、自社が運営する書籍等の通販サイト「SOKAオンラインストア」の利用者のカード情報を含む個人情報10万件弱が流出したと、10月9日付で発表しました。

流出したのは、利用者の情報で
・会員登録をした会員の氏名、住所、電話番号、性別、生年月日、職業、メールアドレスなどの個人情報 約10万件
・2014年のオープンから今年8月までに会員登録をせず購入した人や問い合わせフォームから問い合わせた人の氏名、住所、電話番号、性別、生年月日、職業、メールアドレスなどの個人情報 約8万件
・今年7月30日から8月24日にカード情報を入力して商品を購入した人のカード番号、名義、有効期限、セキュリティコード 約2500件

同社のリリースによると、Webサーバーに不正ファイルが混入され、商品を購入しようとした際に偽のカード決済画面に遷移し、カード情報が抜き取られたそうです。その後、エラーが出て本来の画面に戻る仕組みになっていたためになかなか発覚せず、カード会社からの不正利用の連絡が来るまで気づかなかったとのことです。

また、それ以外にもデータベースに保存されていた多くの個人情報が盗まれたとのことです。

同社ではオンラインストアを全面的に停止し、トップ画面のURLでお詫び文を掲載して、顧客との対応に当たっているようです。

https://www.seikyoonline.com/intro/information/oshirase.html
https://www.sokaonlinestore.jp/


(私のコメント)
状況から判断すると、サーバーを完全に乗っ取られていたようですね。コンテンツの書き換えと、データベースからも全データを抜き取られています。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
2018-10-23 16.13.47
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、大規模な不正アクセス事件を起こしているFacebook社に対して、個人情報保護法に基づく指導を行ったとWebサイト上で発表しました。

2017 年に改正施行された個人情報保護法で、外国法人であっても、国内にいる人に対してサービスを提供している場合には、国内の個人情報取扱事業者と同等の義務規定の適用を受けることとされました(第75条)。今回は事実上これが初めて適用された例ではないかと思われます。

今回の指導は3つのポイントに関するものとなっています。

⑴ ソーシャルプラグイン(いいね!ボタン)
⑵ ケンブリッジアナリティカ事案
⑶ 不正アクセス事案

(1)については、「いいね!」ボタンが設置されているWebサイトにアクセスするだけで、ボタンを押すかどうかに関わらずアクセスした事実がFacebook社に送信され、閲覧データとして蓄積されていることを問題視しています。個人情報保護員会は以前からこの問題に関心を持っており、Webサイト上で利用者並びにWebサイトの開設者に対して注意喚起を行ってきました。今回の指導の中で、この件に関しては利用者への分かりやすい説明の徹底と本人同意の取得を行うようにとの内容が含まれています。

(2)については、性格診断アプリを使った利用者とその友達の個人情報が、英国のケンブリッジアナリティカ社で不正に利用されていた件ですが、これについても利用者への説明、本人からの削除要求への対応、今後のサードパーティーアプリの監視などを徹底することしています。

(3)については、まさに今発生している問題ですが、これについては本人通知、原因究明、再発防止策の策定と個人情報保護委員会への報告などを求めています。

https://www.ppc.go.jp/news/press/2018/20181022/

(私のコメント)
外国法人に対しても、個人情報保護委員会が毅然とした対応を取ることができるようになって、よかったなと思います。

なお「いいね!」ボタンについては、当Webサイトでも利用しております。注意書きなどに関して早急に検討し、掲載するようにしたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。






このエントリーをはてなブックマークに追加
UBER
(画像は日経新聞社ニュースサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中康二です。

米国ライドシェア大手の「Uber」社は、2016年に発生した大規模な個人情報流出事件を1年間隠ぺいしていた事件に関して、全米50州と総額1億4800万ドル(約170億円)の和解金を払うことで合意したとのことです。情報流出に関連する和解金としては米国で過去最大規模とのこと。

Uber社に関しては、当時から不祥事が相次いでおり、本件は経営陣が交代した後に発覚したもののようです。

https://www.nikkei.com/article/DGXMZO35808780X20C18A9TJ2000/

(私のコメント)
個人情報の取り扱いにおける違法行為に関して、今回のように多額の制裁が課せられることは、すでに米国や欧州では当たり前のこととなっています。欧州でのGDPR全面施行も話題になりましたが、海外にもビジネス展開されている場合には、より一層、しっかりした個人情報保護対策が求められることを意識していただきたいと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。




このエントリーをはてなブックマークに追加
公益通報
(画面は個人情報保護委員会Webサイトより)

皆さんこんにちは。
プライバシーザムライことオプティマ・ソリューションズの中です。

個人情報保護委員会が、個人情報の取扱いに関する公益通報窓口を開設したとWebサイト上で発表しました。

2004年に定められた公益通報者保護法において、労働者が業務上知りえた違法行為に関して、社内外に通報したとしても、一定の条件を満たしている場合には不利益を一切受けないこととされました。

今回の個人情報保護委員会の公益通報窓口の開設は、個人情報保護法やマイナンバー法を管轄する行政機関として、公益通報を受け付ける体制を整備したものと言えます。

●公益通報の方法

(郵送の場合)
〒100-0013
東京都千代田区霞ヶ関3-2-1
霞が関コモンゲート西館32階
個人情報保護委員会事務局総務課宛
※「公益通報」と明記する

(電子メールの場合)
kojyoui_tsuuhou@ppc.go.jp
※添付ファイルは不可

(FAXの場合)
個人情報保護委員会事務局総務課宛
FAX:03-3593-7962
※「公益通報」と明記する

https://www.ppc.go.jp/application/internalreport/

(私のコメント)
今後、個人情報の流出事件・事故などが発生した場合に、会社がしっかりとした対応を取らない場合に、内部の関係者が個人情報保護員会に公益通報するケースが出てきそうですね。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加
SAY企画
(画面はプライバシーマーク公式Webサイトより)

皆さんこんにちは。
プライバシーザムライこと、オプティマ・ソリューションズの中です。

プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、日本年金機構から受託した業務で大きな問題を発生させた株式会社SAY企画(東京都豊島区)に対して、プライバシーマークの一時停止措置とすると、6月1日付で発表しました。

同社は、日本年金機構から受託した年金情報の処理業務を、中国の関連会社に無断で再委託したうえで、31万件以上の入力ミスを発生させ、今年2月の年金の支払い時に間違った金額で支給されるという事態を招いたとして、問題となっていました。

https://privacymark.jp/news/system/2018/0601.html

(私のコメント)
誠に残念な事態だと思います。プライバシーマーク制度としても、日本のビジネス社会全体としてもこのような事態を再発させないことが必要だと思いますし、私(プライバシーザムライ)としても、当社(オプティマ・ソリューションズ株式会社)としても、その一助となれるようさらに努力してまいります。

また、新しい情報が入りましたら、シェアしますね。



↑このページのトップヘ