事故から学ぶ

サーファー向け情報サイトでパスワードなど流出

事故概要

業種
発生時期 2018/12/05
漏えい人数 19,700人
事故概要

サーファー向けに海の状況をリアルタイムで提供するサービス「波通」において、登録ユーザーのメールアドレスとパスワードが流出したことがわかった。不正アクセスの可能性が高いとしている。
同サービスを運営するデジサーフによれば、2018年1月5日以前に同サービスに登録した会員のメールアドレスと平文のパスワード1万9700件が外部に流出したもの。2018年12月5日に会員情報の流出について外部より指摘があり、同月7日に流出を確認した。原因については断定できないものの、不正アクセスによる流出の可能性が高いと説明している。
同社では、対象となる会員に連絡して謝罪するとともに、パスワードを変更するよう呼びかけた。

引用元 Security NEXT

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-3 (第20条)安全管理措置 パソコン設定

チェックリストにある要求ルール:

利用中のウェブサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するとともに、専門家の意見を踏まえた防御策を構築と監視をしていますか?
新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか?

■ 推奨対策

対策:

再発防止策として、外部から定期的にサイトへのアクセスを実施し、意図しないキャッシュの発見及び異常が発生した場合には自動で関係者に通知を行うシステムを導入するとしている。
また個人情報保護及び情報セキュリティ教育内容を再度見直し、全社的な情報管理体制の更なる強化に取り組む。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。社員教育とは「個人情報を守りましょう」という研修だけではないことを、企業の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。