事故から学ぶ

TOP > 事故から学ぶ > セキュリティ対策の知識の向上, 研修セミナへの参加, 職員への安全管理教育 > Peing-質問箱で不正アクセスにより個人情報漏えい

2019/04/02

Peing-質問箱で不正アクセスにより個人情報漏えい

事故概要

業種	Webサービス
発生時期	2019/01/29
漏えい人数	1,497,967人
事故概要	株式会社ジラフで運営を行っているPeing-質問箱-において、第三者のAPIトークンを用いて該当アカウントの情報にアクセスできる事象が確認された。漏洩した情報の詳細と件数は次の通り。＜Peing-質問箱-内の情報＞ – トークン – トークンシークレット – Peing-質問箱-に登録したメールアドレス – ハッシュ化されたPeing-質問箱-のパスワード – salt※ – デバイストークン ※salt：パスワードを暗号化する際に付与されるデータのこと。＜Peing-質問箱-と連携した他サービスにおける情報＞（連携した方のみ）＜漏洩した可能性のある最大件数＞・Peing-質問箱-内のハッシュ化されたパスワード：９４９，４８０件・Peing-質問箱-内に登録のメールアドレス：１，４９７，９６７件
引用元	株式会社ジラフ

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
20-3 （第20条）安全管理措置パソコン設定

チェックリストにある要求ルール：

利用中のウェブサービス（インターネットバンキング、ソーシャルネットワーキングサービス（SNS）、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称）、クラウドサービス（サーバ等のレンタルや運用サービス、決済サービス等）や製品メーカーが発信するセキュリティ注意喚起を確認して社内共有するとともに、専門家の意見を踏まえた防御策を構築と監視をしていますか？
新たな脅威や攻撃の手口を知り対策を社内共有する仕組みはできていますか？

■ 推奨対策

対策：

再発防止策として、外部から定期的にサイトへのアクセスを実施し、意図しないキャッシュの発見及び異常が発生した場合には自動で関係者に通知を行うシステムを導入するとしている。
また個人情報保護及び情報セキュリティ教育内容を再度見直し、全社的な情報管理体制の更なる強化に取り組む。

具体例：

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。