北海道JR北海道(北海道札幌市)は、11月28日付で、同社ウェブサイトが不正アクセスにより改ざんされ、アクセスした人が他のサイトに自動的に誘導されるようになっていたため、一部のウェブサイトを停止したと発表した。

その後、12月5日付で、不正アクセスによる個人情報流出はなかったと発表した。

そして、12月11日付で、他のサイトに自動的に誘導された人がウイルスに感染した可能性があることならびにその対策を公表すると同時に、安全が確認されたページを再開した。

12月12日現在に至るも、一部のページは停止されたままである。

(私のコメント)
今回の不正アクセスについては、詳細はほとんど公表されていませんが、SQLインジェクション攻撃によるものであることはほぼ間違いないものと思われます(これは私の推測です)。

今回の事件の興味深いところは、犯人は個人情報の持ち出しは一切行っていないということです。むしろ、ウイルスをダウンロードするように設定したウェブサイトへの自動転送のみを実施したということです。

個人情報の流出が一切なく、自動転送のみが実施されたSQLインジェクションによる不正アクセスの被害というのは国内では初めてのケースだと思われます。そのため、何となくJR北海道も何をすればいいのかよく分かっていないのではないかと思います。

JR北海道からは、ウイルスに感染させてしまったことに対するお詫びの言葉は全くなく、むしろ「個人情報の流出はありませんでした」というような公表をして、あたかも今回の事件が軽いものであったかのような打ち出しをしています。

しかし、「ウイルスに感染させてしまう」という行為は、「個人情報を流出させてしまう」という行為との比較において、どちらも大きいとも小さいとも言えない、重大な行為であることは間違いありません。今回の事件は軽視されるべきではありません。JR北海道は、今回の被害の原因とその対策をもっとはっきりと情報開示するべきだと思います。


http://www.jrhokkaido.co.jp/info081211-1.html

http://www.jrhokkaido.co.jp/press/2008/081209-1.pdf
http://www.jrhokkaido.co.jp/press/2008/081128-2.pdf



週に一回程度、更新情報をお届けします

こちらからメールアドレスをご登録ください。
(まぐまぐのシステムを利用しています)

メンバー募集

オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!

✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報

興味がある方、ぜひこちらからご連絡ください!