事故から学ぶ

TOP > 事故から学ぶ > ホームページの書き換え, 不正アクセス, 安全管理措置の不備 > 不正アクセス被害で顧客情報9,800件超が漏洩か｜株式会社リガク

2018/12/07

不正アクセス被害で顧客情報9,800件超が漏洩か｜株式会社リガク

事故概要

業種	報道機関
発生時期	2018/8/9-2018/9/7
漏えい人数	9,800人
事故概要	外部から2回にわたる不正アクセスにより、会員の個人情報が流出。安全性が確保できるまで会員サイトを閉鎖している。＜会員情報流出の範囲＞１．該当データベース：会員サイト会員情報流失日時：2018年8月9日流出件数：9,655件流出範囲：メールアドレスおよびパスワード（氏名、所属等のその他の登録情報は含まれていません）２．該当データベース：会員サイト会員情報流失日時：2018年9月7日流出件数：140件流出範囲：メールアドレス、氏名、所属、所属先住所・電話番号・ FAX番号、役職、年齢層、専門分野、分析対象・材料、興味のある分析手法、リガク製品使用の有無（内、50件についてはパスワードも含まれています）３．該当データベース：弊社Webからのお問い合わせ、および弊社セミナー申し込み情報流失日時：2018年9月7日流出件数：90件流出範囲：メールアドレス、氏名、所属、所属先住所・電話番号・ FAX番号、お問い合わせ製品またはお申し込みセミナー情報等
引用元	株式会社リガク発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
1-5 パソコン利用教育

チェックリストにある要求ルール：

利用中のウェブサービス（インターネットバンキング、ソーシャルネットワーキングサービス（SNS）、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称）や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するなどのように、新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか？
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか？

■ 推奨対策

対策：

システムの脆弱性だが、常に環境が変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。常にセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。

具体例：

セキュリティーシステムは「よくわからない」から「最低限やっておいて」という判断が散見されるが、インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。