事故から学ぶ

新日本造形株式会社 運営する「ZOWHOW」への不正アクセスによる個人情報流出に関するお詫びとお知らせ

事故概要

業種 図工・美術教材の製造販売
発生時期 2018/4/25~2018/7/18
漏えい人数 397人
事故概要

(1)原因
弊社が運営する「ZOWHOW」のシステムの一部の脆弱性をついたことによる第三者の不正アクセス。
(2)個人情報流出の可能性があるお客様
2018 / 4 /25~2018 / 7 /18 の期間中に「ZOWHOW」においてクレジットカード決済をされたお客様の流出した可能性のある情報は以下のとおりです。
・カード名義人名
・クレジットカード番号
・有効期限
・セキュリティコード

引用元 「ZOWHOW」2018 /11/27

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
1-2 パソコン設定

チェックリストにある要求ルール:

パソコンにはウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

 

チェックリストコード:
1-4 パソコン設定

チェックリストにある要求ルール:
ネットワーク接続の複合機やハードディスクの共有設定を必要な人だけに限定するなどのように、重要情報に対する適切なアクセス制限を行っていますか?

 

チェックリストコード:
2-9 パソコン設定

チェックリストにある要求ルール:
無線LANを利用する時は強固な暗号化を必ず利用するなどのように、無線LANを安全に使うための対策をしていますか?

 

チェックリストコード:
1-3 パソコン利用教育

チェックリストにある要求ルール:
パスワードは自分の名前、電話番号、誕生日など推測されやすいものを避けて複数のウェブサイトで使いまわしをしないなどのように、強固なパスワードを設定していますか?

 

チェックリストコード:
1-5 パソコン利用教育

チェックリストにある要求ルール:
利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

 

チェックリストコード:
2-10 パソコン利用教育

チェックリストにある要求ルール:
業務端末でのウェブサイトの掲載や閲覧、SNSへの書き込みに関するルールを決めておくなどのように、インターネットを介したトラブルへの対策をしていますか?

 

チェックリストコード:
2-6 パソコン利用教育

チェックリストにある要求ルール:
受信した不審な電子メールの添付ファイルを安易に開いたり本文中のリンクを安易に参照したりしないようにするなど、電子メールを介したウイルス感染に気をつけていますか?

■ 推奨対策

対策:

大きく分けて、システムセキュリティ専門家によるシステム防壁の堅牢化と、従業者が作る可能性があるセキュリティホール防止の2面から対策を講じる必要がある。

具体例:

ある程度規模の大きなシステムを運用している場合、信頼のおける大手ITサービス会社のデータセンタにシステムを預けセキュリティも含めた保守運用を委託するのがコストパフォーマンスが高い。この場合でも従業者が作ってしまうセキュリティホールリスクがあるため、従業者の利用者を制限する、教育を徹底する、システム違反行為を検知する監視ツールを入れて運用する、など複合的な対策が必要である。まずはセキュリティの専門家やセキュリティサービス会社に相談することをお勧めします。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。