事故から学ぶ

個人情報8000人分流出か JR九州、「ななつ星」関連サイト

事故概要

業種 JR九州
発生時期 2013/10/5-2019/3/11
漏えい人数 7,996人
事故概要

JR九州は12日、豪華寝台列車「ななつ星in九州」の関連商品を販売するインターネットサイト「ななつ星ギャラリー」に外部から不正アクセスがあり、登録会員最大7996人分の氏名、住所などの個人情報が流出した恐れがあると発表した。うち2816人分は、クレジットカードのカード番号やセキュリティーコードなどの情報を含む可能性があるとしている。
流出の可能性があるのは、サイトを開設した2013年10月5日から、不正の情報を受け閉鎖した19年3月11日までの間に利用した顧客の情報。JR九州によると、利用者からカード会社を通じて「身に覚えがない利用記録がある」との連絡があったという。調査の結果、18年10月24日に不正アクセスされた記録があった。JR九州はインターネットでのななつ星の乗車予約なども中止している。
被害の状況は、「流出の可能性が高い個人情報(最大7,996名)※クレジットカード情報の流出(最大3,086件(2,816名))を含む」としており、最大2,816名分に関しては、
①「カード番号」「有効期限」「セキュリティコード」が流出
②「氏名」「住所」「郵便番号」「電話番号」「FAX番号」「性別」「生年月日」「メールアドレス」「職業」「パスワード(暗号化処理済)」「秘密の質問の答え(暗号化処理済)」について流出の可能性が高いとしており、この情報が悪用されると、深刻な被害が及ぶ可能性頑張ってある。

引用元 西日本新聞

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

顧客の指摘により不正アクセスに気づかなかった、さらにその脆弱性は6年近く存在していた、というのはあまりにお粗末である。不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。