プライバシーマーク・ISMS最新情報

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2009年08月

大手音楽事務所アミューズの運営する通販サイトからの個人情報流出が8月10日に発表されています。

この事件に関して、アミューズは、8月25日付で情報流出した約15万人全員に500円分のクオカードをお詫び金として送付すると発表しました。

送料なども含めた一人当たりのコストが700円と仮定した場合、総コストは1億円を超えることになります。

(私のコメント)
1億円はすごいですね。さすが一部上場企業です。久しぶりのお詫び金500円の登場ですね。しかし、これ、アミューズが負担するのでしょうか?テイパーズに請求されるとすると、かなり大きな話になりそうですね。。。

http://shop.amuse.co.jp/asmart/owabi/sirusi.asp

9月1日追記:この事件に関して、被害が及んだのがアミューズだけにとどまらず、他社にも広がっていきましたので、サイト運営を請け負っていたテイパーズの社名を取り、テイパーズ事件と表記していましたが、流出の大多数はアミューズですので、改めてアミューズ事件と表記します。

大手音楽事務所アミューズの運営する通販サイトからの個人情報流出が8月10日に発表されていますが、同じシステムを使用するその他のサイトからも、同様に個人情報が流出していることが分かりました。

これは、アミューズが通販サイトの運営を委託していた株式会社テイパーズ(埼玉県川口市・プライバシーマーク取得済)が8月21日付けで発表したもので、下記のサイトからの個人情報流出が明らかになりました。

・テレビ朝日ミュージック「湘南乃風」通販サイト(約1000件)
・ヴィジョンファクトリー「VISION FACTORY OFFICIAL SHOP」(安室奈美恵他・約2000件)
・エイトデイズ「Alfred Online Shop」(アルフィー・81件)
・ロックダムアーティスツ「CHAGE and ASKA公式ファンクラブ」(約1000件)

いずれも、メールアドレスや、クレジットカードの情報が流出したと言う。

テイパーズでは、セキュリティの専門会社(ラック)に依頼して、調査と対策を進めており、クレジットカード決済システムは停止しているとのことです。

また、外部の専門家から構成される「調査・対策委員会」を発足させたとも発表しています。

(私のコメント)
予想以上に大きな話になってきましたね。テイパーズはプライバシーマーク取得事業者でもあります。目が離せません。

http://www.tapirs.co.jp/owabi/index090821.html

mufj_logo東京証券取引所(東証)は、8月11日付で、本年2月に社員が顧客情報149万人分を持ち出し、うち5万人分を名簿業者に販売した事件に関して、三菱UFJ証券に対して、取引参加者規程第34条第1項第8号に基づく戒告処分を行ったと発表しました。

(私のコメント)
東証のWebサイト上での情報によりますと、東証が、個人情報の流出事件に関して、このような処分を行うのは、初めてのケースのようです。金融庁の勧告に引き続き、厳しい処分が続きますね。

http://www.tse.or.jp/news/200908/090811_c.html

※元ネタは、まるちゃんの情報セキュリティ気まぐれ日記です。いつも情報ありがとうございます。

東京国際フォーラム
昨年11月から開始し、毎回好評を続けているのが、私たち、オプティマ・ソリューションズが主催するプライバシーマークセミナー(運用・更新編)です。

参加者満足度も毎回高い数字を実現しています。
1月15日開催分 満足度90%
2月12日開催分 満足度87%
4月7日開催分 満足度90%
6月9日開催分 満足度93%
7月16日開催分 満足度87%
8月4日開催分 満足度95%
大変、ご好評をいただいております。

まだまだ先と思っていても、確実にプライバシーマークの更新申請期限は迫ってきます。
「取得時はよかったんだけど、運用がうまくいっていない・・・」
「社内の協力が得られない・・・」
「どこから手をつけたらよいか・・・」
「通常の業務もやって、そんな時間とれない・・・」
と、内心焦っている方も多いのでは?

個人情報保護マネジメントシステムを計画的に運用して、スムーズにプライバシーマークを更新するための方法とコツを大公開するプライバシーマーク「運用・更新」セミナーを開催いたします。

【セミナー名】:
「プライバシーマーク運用・更新セミナー」
〜次の更新までに何をすればいいのかを教えます〜
【日 時】:
2009年9月3日(木)14:20〜16:30 (14:00受付開始)
【対象者】:
プライバシーマーク取得済み事業者のご担当者様
【会 場】:
東京国際フォーラム ガラス棟G408会議室
東京都千代田区丸の内3丁目5番1号(各線有楽町駅よりスグ)
【受講料】:
事前申込:8,000円 当日申込:10,000円(ともに税込)

※事前にお申込みいただくことにより、割引になります。
お早めに、お申し込み下さい。

詳しい情報はこちら:
http://www.optima-solutions.jp/seminar/090903.html

※1社2名様までご参加いただけます。
※同業者様はお申込ご遠慮ください。

tokyomarine-nichido東京海上日動火災保険株式会社(東京都千代田区)と東京海上日動あんしん生命保険株式会社(東京都中央区)は、7月31日付で、同社の代理店の社員が自宅マンション廊下で仮眠していた際に顧客の個人情報を含むパソコンとメモリースティックが盗まれたと発表しました。

報道によると、この社員は酒に酔って廊下で寝込んでいたということです。

盗まれたパソコン本体には顧客の個人情報4名分、メモリースティックには約400名分の個人情報が含まれていたという。パソコンには起動時のパスワードがかけられ、メモリースティックにはファイルにパスワードがかけられていたという。

(私のコメント)
ありがちですねえ。両社ほどの規模で事業を営んでいる会社であれば、こういう失敗をする社員が代理店のどこかに一人くらいいてもおかしくない話です。しかし、そういう笑い話では許されないのが今の厳しい現実。アリコジャパン事件の関係もあるし、同様の事例に対する一罰百戒の効果も狙ってあえて毅然とした対応を取ったということだと思います。

なお、経済産業省ガイドラインでは、影響を受ける可能性のある本人全員に連絡がついた場合、紛失したデータを第三者に見られることなく速やかに回収した場合、高度な暗号化等の秘匿化が施されている場合には、必ずしも公表しなくてよいとなっています(平成20年2月版27ページ)。今回の両社は、いずれも金融庁の管轄下ですので、直接の対象とはなりませんが。

http://www.tokiomarine-nichido.co.jp/j0201/pdf/090731.pdf

alico_logo
7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)は、8月7日、流出したクレジットカード情報を不正に利用しようとした照会件数が3500件に達したと発表した。

7月31日の時点から650件増加しており、毎日100件程度の不正利用が行われている計算になる。

また、報道によると、これらの不正利用は、インターネット通販によるもので、商品券など換金しやすい商品が多く購入されているとのこと。ただし、実際にはカード会社に照会がかかった時点で利用停止になるため、多くの場合では実際には購入にいたっていないのではないかとのことだ。

(私のコメント)

やはり、不思議なことが続いています。クレジットカードの大量流出は事実としても、日本国内でこのように不正利用が続くことは通常は考えられません。

1)そもそも、不正に入手したクレジットカード情報を使用して商品を購入することは詐欺行為にあたりますので、違法行為を犯していることになります。犯人は、違法であることを承知した上で、行っていることになります。

2)次に、不正に入手したクレジットカード情報を使用して通信販売で商品を注文しても、本当に商品を入手しようとすれば、受け取りの住所を本当の住所にせざるを得ず、そこから犯人が判明することになります。すなわち、依然として犯人が捕まっていないということは、自分とは無関係の住所を入れて、無関係の人の自宅に商品を送らせるような迷惑行為をしていると推測されます。

3)また、インターネットで購入操作を行うということは、操作しているパソコンのIPアドレスから身元がばれる可能性が高く、警察が本格的に捜査することで、どこかの時点で犯人は判明するはずです。

4)このような違法で危険な行為を一日100回も行うということは、大規模な犯罪組織が絡んでいるか、または捕まることを覚悟しながら、騒ぎを大きくすることを目的とした確信犯がやっているかということになります。

また、このような不正利用が続く限り、そのカードで決済が行われた場合には、本人が利用しているのかどうかの判断がつきませんので、カード会社としては一旦止めざるを得ません。ですから、流出したカードの所有者はどこかの時点でカード番号の再発行を受けざるを得ないと思います。報道によりますと、カード番号の再発行はあまり進んでいないようですが、もうここまで来たら全員分再発行しないとどうにもならないんじゃないかと思います。

結論的に、犯人は「わざと」今の行為をやっており、それは金銭が目当てではなく、騒ぎを大きくし、アリコジャパン並びにカード会社の業務を妨害することを目的としているのではないかということです。

ま、私が推理しても仕方ないのですが、とにかく一見、経済合理性にあわないので、不思議に思っています。

http://www.alico.co.jp/about/09_0723.htm

wzr-hp-g300nh_m1_bw情報サイト「Gigazine」の記事によりますと、昨年10月に無線LANの暗号化方式「WEP」の瞬時の解読に成功した神戸大学の森井教授たちのグループが、WEPの問題点を解決したとされていた「WPA(TKIP)」という暗号化方式に関しても、瞬時の解読に成功したと、8月7日に台湾で開催された国際会議で発表するとのことです。

「WPA(T-KIP)」については、昨年11月の段階で、限定された環境において、15分程度の時間をかければ解読できるとされていました。今回はそれが瞬時に解読できるというものです。これは、事実上、無線LANの暗号化方式としては無意味になったことを意味します。

2009.8.12追記:今回の発表内容は「瞬時の解読」ではなく、「瞬時の操作で端末に不正なパケットを受け取らせることができる」ということのようです。ですから、WEPが暗号鍵を瞬時に解読されてしまうのとはレベルが違うようです。お詫びして訂正いたします。


(私のコメント) 私は、昨年10月に「WEPは死んだ」と題した記事を書きましたので、今回の題名はそのもじりです。ただし、「WPA(TKIP)」方式がもう使えなくなることは事実でしょう。無線LANの暗号化方式は、メーカーによっても記述方法が異なるなど、分かりにくいのですが、とにかく「TKIP」と書かれた方式は今後使用しない方がいいでしょう。「AES」という方式を選択してください。

2009.8.12追記:上記の通り、今すぐに「TKIP」方式が解読されるわけではないようですが、早晩そのようになるでしょう。ですから、心の準備はしておいてください。

http://gigazine.net/index.php?/news/comments/20090805_attack_on_wpa/

http://ameblo.jp/prof-morii/entry-10314721276.html

http://blog.optima-solutions.jp/archives/51247575.html

http://blog.optima-solutions.jp/archives/51238625.html


※なお、画像はバッファローの最新機種「WZR-HP-G300NH」です。もちろんAESに対応しています。

サザンオールスターズ、福山雅治なども所属している東証一部上場の音楽事務所である株式会社アミューズ(東京都渋谷区)は、8月10日付で、自社の通販サイト「アスマート」から顧客のカード情報を含む顧客情報が流出したと発表した。

7月28日にカード会社から通報があり、同社では即日、セキュリティ専門会社(株式会社ラック)に調査を依頼して事実が判明したもの。

流出が確認されたのは、登録された個人情報が116,911件、うちクレジットカード番号、カード有効期限を含むものが34,097件流出したという。

同社では、2005年4月から今年7月までに同社のサイトで商品を購入した最大15万名の住所、氏名などを含む個人情報も流出した可能性があるとしている。

原因は、7月20日から海外(中国)のIPアドレスを発信源とする不正アクセスが行われ、データベース上の個人情報が盗み出されたという。

同社では、過去に登録された個人情報を全て削除するという対策を取ったという。そのため、今後新たな商品の購入を希望する人は再登録を行うようにとしている。また、クレジットカードは当面使用できないため、代引きでの販売を継続するとしている。

(私のコメント)
おそらく、SQLインジェクション攻撃でしょうねえ。昨年のサウンドハウス事件と同様の内容と思われます(現段階ではあくまで推測です)。同社では、カードの不正利用で顧客に直接金銭的被害が及んでいるケースはないとしていますが、現にカード会社から連絡があって判明したということですので、不正利用はされているということですよね。

http://shop.amuse.co.jp/asmart/owabi/index.asp
http://ir.amuse.co.jp/press/2009/20090810.pdf
http://www.amuse.co.jp/index.php

alico_logo7月23日にカード情報を含む顧客情報の流出の可能性を発表したアリコジャパン(東京都千代田区)は、8月3日付けでその後の対応を公表した。

(要旨)
・情報流出の可能性のある顧客には、同社から順次、個別に通知している。
・流出した情報の特定を現在専門家、警察とも連携して行っている。
・カード会社と連携し、クレジットカードの不正利用の防止策をとっている。
・顧客にもカード会社からの請求明細に注意を払って欲しい。
・不正利用の紹介件数は7月31日現在で2850件。
・不正利用があったとしても、顧客には負担が発生しないようにしている。
・無料でカードの再発行が可能である。

(私のコメント)
やはり、カード情報が流出すると本当に大変なことになりますね。そもそもクレジットカード制度が大きな「脆さ」を持っているということだと思います。ちなみに、カードの再発行手数料は、だいたい1000円程度かかるとされていますので、13万人全員の再発行をしたとしたら、1億3000万円かかるということになりますね。

http://www.alico.co.jp/about/press/09_0803.pdf

↑このページのトップヘ