事故から学ぶ

株式会社学研プラス 不正アクセスによる情報流出の可能

事故概要

業種 出版事業
発生時期 2018/12/26
漏えい人数 最大712人
事故概要

株式会社学研プラスが運営している「Beyond Publishing」のサイトに、第三者による不正アクセスがあり、2018年12月20日に、サービス利用を停止いたしました。
流出の可能性がある個人情報は、「Beyond Publishing」で提供している「学研図書ライブラリー」サービス利用者で流出した可能性のある人数:最大712人、対象項目は氏名、ニックネーム、メールアドレスです。
個人情報の流出した可能性のある「学研図書ライブラリー」利用者には連絡済みで、お客様窓口を設置、原因の徹底究明を急ぐとともに、再発防止を徹底するとのこと。

引用元 株式会社学研プラス報道発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

脆弱性を付いた不正アクセス

 

チェックリストコード:
3-23意識付け教育

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなどのように、サービスの安全・信頼性を把握して選定していますか?

 

チェックリストコード:
1-5 パソコン利用教育

チェックリストにある要求ルール:
利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

■ 推奨対策

対策:

サーバ管理、データ管理を外部委託している場合は、委託先まかせにしないこと。

具体例:

サーバ管理、データ管理は自社管理か外部委託かに関わらず、情報露営、サイバーアタックなどの情報収集に努め、情報に敏感であり続けること。特に委託先に対して安全性について、しつこく確認をしていくこと。うるさい客であり続けること。
自社でサーバ管理を行っている場合は、運用担当者のセキュリティレベル向上に時間も費用も費やしておくこと。セキュリティーツールを最新化しておくこと。サイバーアタックを受けていることに早く気づけは防止できるケースもある。被害も最小化することができる。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。