事故から学ぶ

「Beyond Publishing」不正アクセスで個人情報漏えい

事故概要

業種 ネットサービス
発生時期 2018/12/26
漏えい人数 712人
事故概要

「Beyond Publishing」の環境下で提供している「学研図書ライブラリー」サービスに不正アクセスがあり、最大712名の氏名、ニックネーム、メールアドレスが漏えいした可能性がある。不正アクセスはサイトの脆弱性を突かれたもので、現在はサービスを停止している。

引用元 Beyond Publishing

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1 (第20条)安全管理措置

チェックリストにある要求ルール:

パソコン設定 Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSやソフトウェアを安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

自社のサービス展開であったが、サイト構築時の開発会社からの通知で不正アクセスを認識したとのこと。脆弱性の存在も無論重要であるが、監視体制の不備へのリカバリーが最優先であろ。

具体例:

レンタルサーバ(サーバ共有サービス)の提供者は多数あるが、サービス形態も多岐にわたり、その事業者のホームページから、実際に情報漏えいに有効な安全管理措置を講じている事業者であるのかの見極めは難しい。高ければ安全というわけではないが、安全管理体制が維持できないような、あまりに格安である事業者を利用するのは、個人情報を取り扱うホームページの掲載は控えるべきであろう。利用前に前述の対策に記載されたような対応が取れる事業者であるのかコールセンタなどに問い合わせをすることで、ある程度の判断は付くと思われる。
今回の事例では、これだけ監視体制を取っていてもアカウントの乗っ取りと不正ファイルの送り込みをされてしまうほど、外部アタックの攻撃力が高いことを認識し、不用意に個人情報をため込まないことも漏えい防止策の基本動作としてとらえておくべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。