プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報漏えい事件

mainichi_20170919
(画像は毎日新聞社WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

報道によりますと、リスト型攻撃で有効性を確認したアカウント情報を使って、ビックカメラ店頭でポイントを不正利用し、商品をだまし取ったとして、警視庁サイバー犯罪対策課が中国人ら3人を逮捕したとのことです。

犯人たちは、下記のステップを経ることで今回の不正利用を行ったものと思われます。
(1)何らかの方法で大量の「IDとパスワードのリスト」を入手する
(2)そのIDとパスワードをビックカメラのWebサイトにダメ元で入力してログインを試みる。(これをリスト型攻撃といいます)
(3)ほとんどの場合はログインできない。
(4)うまくログインできた場合、有効であることが分かり、保有ポイントも確認しておく。
(5)多くのポイントを保有しているIDとパスワードをスマホのビックカメラアプリに入力し、バーコードを表示させて、店頭でポイントを利用して商品をだまし取る。

ビックカメラのWebサイトでは、昨年10月に47万回の「リスト型攻撃」を受けていたとのことで、その直後の10月から11月にかけて、今回の犯人たちが200万円程度の商品をだまし取っていたとのことです。また、同様の方法で楽天ポイントの不正利用も行っており、ドラッグストアで医薬品を不正にだまし取った疑いもあるとのことです。

https://mainichi.jp/articles/20170919/dde/041/040/045000c

(以下、私のコメント)

リスト型攻撃はパスワード使いまわしから起こります。少し解説します。

今回の事件では犯人グループは47万回チャレンジして4000回成功したといいます。

どこから流出したリストなのかは分かりませんが、日本のユーザーが多く使うサービスなのでしょう。それが47万人分流出していたものを今回の犯人グループが入手した。

そして、その47万人のIDパスワードのリストをとりあえずビックカメラのWebサイトに専用のツールを使って流し込んでみると、そのうち何万人かがビックカメラにも登録していて、またそのうちの4000人が同じパスワードを使っていたということです。ビンゴ!

どうしてこういうことが起こるかというと、皆さんが複数のWebサイトに同じパスワードを登録しているからです。最近のサービスは、IDにメールアドレスを使っている場合が多いですから、IDはどこのWebサイトでも一致しているわけです。あとパスワードが同じなら、どこかでパスワードが流出した場合には同じパスワードを使っているWebサイトにログインできてしまいますよね。

どんなしょうもないWebサイトでもいいのです。そこに価値あるパスワードがあるかもしれない。ハッカーはそれを狙っているのです。

ですから、利用者としては、複数のWebサイトに同じパスワードを入れない。これを原則とするしか方法はありません。

参考記事
パスワード使い回し撲滅に向けた最後の戦いが始まる
http://www.pmarknews.info/archives/51955537.html

なお、手元のビックカメラアプリで動作を確認したところ、登録した生年月日を入力しないとバーコードが表示されないように仕様変更されていました。とりあえず同社はこの方法で今回の方法だけではポイント不正利用できないように手を打ったということのようです。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加

45
(画像はEquifax社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

米国の大手信用情報機関の一つであるEquifax社(米国ジョージア州アトランタ)は、自社のWebサイトに不正アクセスが発生し、約1億4000万人以上の社会保障番号を含む個人情報が流出したと、9月7日に発表しました。

今回流出した個人情報は、米国とカナダの在住者の名前、住所、生年月日と、社会保障番号を含む約1億4300万件とのことです。また、一部については運転免許証番号、クレジットカード番号なども含まれているとのことです。また、今回の不正アクセスは、同社のWebサイトのアプリケーション脆弱性を悪用したものであり、今年5月中旬から2017年7月まで続いていたとのことです。

同社では今回の事件に対応するための専用のWebサイトを開設し、流出の有無をオンラインで確認できるようにしています。また、流出した被害者に対しては、専用のIDを発行し、信用情報業界大手三社における自分の信用情報を無料で確認してロック/アンロックできる機能や、被害を補填する保険を提供するなど、様々な対策を行うとしています。

https://www.equifax.com
https://www.equifaxsecurity2017.com/

(私のコメント)
米国では社会保障番号が事実上の国民総背番号になっており、この番号を提示することで信用情報が検索されて、金融機関の口座開設やクレジットカードの作成など様々な金融サービスに利用されています。一方で社会保障番号にはパスワードなどの認証機能がありませんので、番号が分かるだけで他人に悪用される事件が頻発しており、従来から問題とされていたところでした。今回の大規模流出をどのように乗り越えていくのか注目していきたいです。

なお、日本のマイナンバーが、厳格に目的外利用を禁止したり、何種類ものパスワードを用意しているのは、この米国の社会保障番号と同様の問題を起こさないようにと事前に工夫された結果ということです。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加

54
(画像は同社のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

大手旅行会社の株式会社エイチ・アイ・エス(東京都新宿区・プライバシーマーク取得済み)は、自社が運営する国内バスツアーサイトにおいて、サーバー移行の際の不手際により予約者の個人情報約12000件がインターネット上からダウンロードできる状態となっており、実際に第三者がこれをダウンロードして情報が流出したと、8月22日に発表しました。

今回、流出した個人情報は、首都圏を出発地とする国内バスツアーのWebサイトで今年の3月から7月の間に、今年8月から12月までのツアーを予約した人とその同行者・緊急連絡先合わせて約12000名分で、氏名、性別、年齢、メールアドレス、住所、電話番号などが含まれているとのことです。カード番号や銀行口座の情報など決済に必要な情報は含まれていないとのことです。

同社では、観光庁、個人情報保護委員会、一般社団法人日本旅行業協会、一般社団法人日本情報経済社会推進協会(JIPDEC)に対して報告すると同時に、所轄の新宿警察署にも相談しているとのことです。

http://www.his.co.jp/
http://www.his.co.jp/material/pdf/n_co_20170822.pdf

(私のコメント)
サーバー移行のための本番データが公開領域に残されていたというのは、かなり初歩的なミスですね。バックアップデータや移行データの取扱いにはより一層の配慮が必要だと思いますので、他の会社の皆さんも他山の石としてください。

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加

34
(画像は関東財務局のWEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

外国為替取引を行っている株式会社マネースクウェア・ジャパン(東京都港区)は、今年に入ってから外部からの不正アクセスを受けて顧客の氏名とメールアドレスなど2500件が流出しており、またさらなる調査の結果、昨年に大規模な不正アクセスを受けて顧客の基本情報など11万件が流出した可能性があると、7月に相次いで発表しました。

この発表を受けて、財務省の関東財務局は、金融商品取引法に基づく報告を求め、その結果として新規口座の開設停止や被害の拡大防止などを含む行政処分を行ったと7月28日付で発表しました。

マネースクエア・ジャパンの発表文
http://www.m2j.co.jp/landing/information_1707/
関東財務局の発表文
http://kantou.mof.go.jp/rizai/pagekthp032000673.html

(私のコメント)
FX事業者からの情報流出です。投資用の資金が不正に引き出される可能性もありますので、万が一のことになれば、大変なことだと思います。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加

08
(画像は年金機構のリリースより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

日本年金機構は、特定の年金加入者の情報が不正に持ち出されていることが判明し、元職員(懲戒解雇済み)が窃盗の容疑で逮捕されたと6月29日付で発表しました。

年金機構からのリリース文ならびに報道の情報を総合しますと、下記のようになります。
・今回の事件が発生したのは大阪市の淀川年金事務所である。
・社会保険庁(年金機構の前身)の時代の上司の指示に基づいて、特定の加入者の情報を持ち出していた。
・年金機構が定期的に実施している持ち物点検の結果、プリントアウトした個人情報を持ち出していることが判明した。
・今回判明したのは20名だが、数年間にわたり400人程度の情報を持ち出していたと思われる。
ということだそうです。

年金機構としては、持ち出された加入者に対しては、お詫びすると同時に、基礎年金番号の変更を行うとしています。また、全ての拠点において「検索履歴のチェック」「執務室内への監視カメラの導入」「執務室へのクリアバック以外での私物持ち込み全面禁止」など再発防止策を実行していくとしています。

http://www.nenkin.go.jp/oshirase/press/2017/201706/20170629.files/20170629.pdf

(私のコメント)
年金機構では、前身の社会保険庁だった2004年に、著名人や政治家の年金未納がマスコミ等で話題になった際に、職員による業務目的外閲覧が発生し、多数の職員に対して懲戒処分を行った経緯があります。当時から、検索履歴をしっかりと残す仕様になっているのだなと感心しておりました。今回の事件は大変残念なことですが、いつかは発覚する運命だったのだと思います。

(追記)
続報が出ました。元職員は見返りに現金10数万円を受け取っていた疑いがあるとのことです。また元上司は行政書士と並行して探偵業もしていたとのことです。
http://www3.nhk.or.jp/news/html/20170719/k10011064411000.html

また、何か情報が入りましたら、皆様にシェアいたしますね。



このエントリーをはてなブックマークに追加

image
(画像は同行WEBサイトより)

いつもお世話になります。
オプティマ・ソリューションズ株式会社の中康二です。

佐賀銀行(佐賀県佐賀市)は、高額預金者の情報が元行員により不正に持ち出され、外部の第三者に提供されていたと、6月19日付で発表しました。

今回持ち出されたのは、同行に1億円以上の預金を預けている169人の個人情報で、住所、氏名、電話番号、預金残高、口座情報などとのことです。

持ち出した元行員は、昨年10月に同行で発生した現金窃盗事件に関与したとして起訴されており、警察による調査により今回の持ち出しが発覚したとのことです。

http://www.sagabank.co.jp/oshirase/000885.php

(私のコメント)
ひとことで言ってとんでもない事件ですが、元行員には相当の不満がたまっていたんでしょうし、それが放置されてきたところに原因があるのだと思います。ですから、このような内部犯行を防ぐためには、公平な人事制度、日常的なコミュニケーション、内部通報制度など、情報システムの対応にとどまらない対策が求められるのだと再認識させられました。

また、何か情報が入りましたら、皆様にシェアいたしますね。


このエントリーをはてなブックマークに追加


人材派遣大手の株式会社スタッフサービス(東京都千代田区)は、3月末に退職済みの社員が登録者の情報約1万5千人分を持ち出しており、社外に流出したと発表しました。

同社によると、流出したのは登録者・エントリー者の「氏名」「住所」「電話番号」「メールアドレス」など15,368名分とのことです。一部「時給金額」なども含まれているとのことです。


(私のコメント)
退職者による個人情報の持ち出し、以前からある問題です。名刺は誰のものかというような議論もありました。ただし、今回のように明らかにデータベースをごっそりと持ち出すような行為は法的にも道義的にも許されるものではありません。それは明らかなことです。










このエントリーをはてなブックマークに追加

20170403 145743
(画面は同社のリリースより)

株式会社ジンズ(東京都千代田区・4月1日付でジェイアイエヌから社名変更)は、同社が運営する通販サイト「JINSオンラインショップ」に不正アクセスが行われたことにより、個人情報118万件が流出したと3月24日付で発表しました。

同社の発表によると、今回流出したのは
(1)メールアドレス、氏名、住所、電話番号、生年月日、性別 749,745件
(2)メールアドレスのみ 438,610件
とのことです。

同社では、今回の不正アクセスがWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を利用されたものであるとしています。

同社のプレスリリース
http://pdf.irpocket.com/C3046/o1Tt/dBxT/Avd4.pdf

(私のコメント)
「Apache Struts2」の脆弱性をついた攻撃が相次いでいます。GMOペイメントゲートウェイ社の事件もそうだったようです。自社のWebサーバーでこのフレームワークを使用されている場合には、今すぐに最新版へのアップデートを行ってください。

※関連情報
https://www.lac.co.jp/lacwatch/alert/20170310_001246.html
https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html
http://d.hatena.ne.jp/Kango/20170311/1489253880




このエントリーをはてなブックマークに追加

20170310 225823
(画面は同社のリリースより)

GMOペイメントゲートウェイ株式会社(東京都渋谷区・プライバシーマーク認定事業者、ISMS認証取得済み、PCI-DSS準拠済み)は、同社のサーバーに不正アクセスが行われたことにより、東京都税クレジットカードお支払サイトと住宅金融支援機構の団体信用生命保険特約料クレジットカード支払いサイトの利用者のクレジットカード情報と個人情報70万件以上が流出したと3月10日付で発表しました。

同社の発表によると、今回流出したのは
(1)東京都税クレジットカードお支払いサイトの利用者 約68万人
 クレジットカード番号、有効期限、メールアドレス
(2)住宅金融支援機構・団信特約料クレジットカード払いサイトの利用者 約4万人
 クレジットカード番号、有効期限、セキュリティコード、
 住所・氏名・電話番号・生年月日、メールアドレス
とのことです。

同社では東京都ならびに住宅金融支援機構、カード会社に報告して対策を協議しているとしています。また、セキュリティ専門会社によるシステム調査と警察への捜査協力も行うとしています。

同社のプレスリリース
https://corp.gmo-pg.com/news_em/20170310.html

(私のコメント)
今回の事件では、クレジットカード番号とカード有効期限、また一部はセキュリティコードがセットで大量に流出しており、かつ都税という公的な目的の支払いのために登録された情報が流出しているという点からも、かなり重大な事故と言えます。今後、カード情報の不正利用や個人情報の悪用が発生しないかなど、警戒が必要です。





このエントリーをはてなブックマークに追加

20161031 104944
(画面は同社のリリースより)

公的住宅ローン「フラット35」の提携金融機関である株式会社優良住宅ローン(東京都新宿区)は、同社の社内メールの内容が外部に転送設定されたことにより、顧客の信用情報を含む個人情報約37,000名分が流出したと10月26日付で発表しました。同社に対しては、金銭を要求する脅迫メールも届いているとのことです。

同社の発表によると、9月10日から30日までの間、役職者5名のメールアドレスに届いたメールが、全て外部の特定のメールアドレスに転送する設定が行われており、大量の個人情報が流出したそうです。

流出した個人情報は、返済中の顧客の銀行口座情報・引落金額など、借入申込者の審査に必要な情報(連帯保証人など含む)、抵当権設定者の情報、つなぎ融資の利用者の情報、問い合わせ者の情報などで、基本情報の他に信用情報、メールアドレスなども含まれています。

同社では、10月14日から新規の融資申し込みを中止するとともに、警察・監督官庁・住宅金融支援機構(フラット35の実施者)などへの報告、セキュリティの専門会社への調査の依頼、お客様対応窓口の設置などの対応を取っているとのことです。

同社のプレスリリース
http://www.yuryoloan.jp/wp/wp-content/uploads/2016/10/20161026news_topics.pdf

(私のコメント)
社内メールを全て転送されての情報流出の事例は、あまり聞いたことがありません。特にこの会社の場合には、信用情報を含む、かなり重要な情報を電子メールで大量に送受信していたために、大きな被害になっています。内部の情報に詳しい人が関与している可能性もあるのではないかと思われます。







このエントリーをはてなブックマークに追加

jtb
(画面は同社のリリースより)

旅行代理店大手の株式会社ジェイティービー(東京都品川区・プライバシーマーク認定事業者)は、3月にグループ会社が標的型攻撃を受け、顧客の個人情報739万人分が外部に流出した可能性があると、6月14日付で発表しました。

同社の発表によると、3月15日に取引先を装ったメールの添付ファイルを開いたことにより、グループ会社のi.JTB(アイドットジェイティービー)の担当者のパソコンがウイルスに感染したことをきっかけに、外部からの不正アクセスが行われたといいます。不正アクセスが検知され、JTB社内で調査した結果、3月21日に739万人分の顧客情報がデータベースから出力されてテキストファイル化されていたことが判明しました。その後、外部の専門家と共同して事態の詳細な把握を行い、社内検討を経て今回の発表に至ったとのことです。

ただし、現在までの調査において、出力されたテキストファイルが外部に持ち出されたかどうかは確認されておらず、同社としては流出の可能性としており、また被害の報告もないとしています。

なお、流出した可能性がある(データベースから出力されたテキストファイルに含まれる)個人情報は「氏名(漢字、カタカナ、ローマ字)」「性別」「生年月日」「メールアドレス」「住所」「郵便番号」「電話番号」「パスポート番号」「パスポート取得日」739万人分であり、そのうち有効なパスポート情報が含まれているのは約4,300件とのことです。

同社のプレスリリース
http://www.jtbcorp.jp/jp/160614.html

詳細な解説記事
http://itpro.nikkeibp.co.jp/atcl/column/14/346926/061500549/

(私のコメント)
年金機構事件に引き続いて、また標的型攻撃による大規模な流出事件です。どのような組織であれ、標的型攻撃が行われれば、簡単に外部からの侵入を許してしまうということを前提に、社内のネットワークや情報システムの構成を考え直すことが喫緊の課題と言えます。「自分たちは大丈夫」という考えは捨て去らなければなりません。。。





このエントリーをはてなブックマークに追加

torikizoku
(画面は鳥貴族からのリリースより)

焼き鳥チェーン店「鳥貴族」を展開している株式会社鳥貴族(大阪市浪速区・東証一部上場)は、加盟企業である株式会社ダンク(大阪市北区)が3月21日に車上荒らしにあい、社員のマイナンバー430件が流出する事件が発生していたと4月26日付で発表しました。

同社の発表によると、車上荒らしにあったのは3月21日の未明で、株式会社ダンクの社員が、税理士に郵送するために同社の社員430名分の扶養控除等異動申告書を段ボール箱に梱包し、大阪市中央郵便局へ移動する途中、大阪市内のコンビニエンスストアに立ち寄ったところ、路上で車上荒らしにあったといいます。

株式会社ダンクとしては、
(1)警察署へ被害届を提出(即日)
(2)鳥貴族への報告(4月5日)
(3)マイナンバーの取扱いに関する「重大な事態」として個人情報保護委員会へ報告(4月7日)
(4)社長から各従業員へ直接の謝罪と報告(4月14日以降)
などを行ったとのことです。

http://dank1.co.jp/ (本件に関しては公表していません)
https://www.torikizoku.co.jp/company/ (IRの一環としての情報開示を行っています)
http://v4.eir-parts.net/v4Contents/View.aspx?cat=tdnet&sid=1347156 (リリース文)

(私のコメント)
昨年10月にマイナンバーの発行が始まって以来、この規模の流出事件は初めてではないかと思われます。100件以上のマイナンバーが流出した場合には「重大な事態」として個人情報保護委員会への報告(認定個人情報保護団体や主務大臣経由も可能)が必要となり、同社もそれに従ったものです。一方で、影響を受ける可能性のある本人すべてに連絡がついたので、公表の必要はないと判断したものと思われます。今後、対象者については、マイナンバーの再発行の手続きが行われるのではないかと思われます。


このエントリーをはてなブックマークに追加

↑このページのトップヘ