事故から学ぶ

J SPORTSオンデマンドウェブシステム不具合による個人情報漏洩

事故概要

業種 J SPORTSオンデマンドウェブ
発生時期 2019/03/27
漏えい人数 344人
事故概要

ジェイ・スポーツは、3月27日に発生したJ SPORTSオンデマンドのシステム不具合による個人情報漏洩について、調査報告を行ない、最大で344人のユーザーの個人情報の漏洩と、ユーザーが意図しない商品の購入・解約、新たに発見された事象としてクレジットカード情報の上書きがあったと発表した。

このシステム不具合は、2019年3月27日午前5時30分頃~3月28日午後0時(正午)頃まで発生したもので、この障害時間内にJ SPORTSオンデマンドWebサイトにログインしたユーザーのセッションが、同時間帯にログインした他のユーザーと共有される状態となることで、ユーザーの名前、視聴履歴、購入商品、クレジットカード下4桁と有効期限(年月)が閲覧可能となり、購入・解約処理が、他のユーザーのものとして扱われたというもの。

ID・パスワードの漏洩、不正アクセスなどによって発生したものではなく、J SPORTSオンデマンドのWebサイトのキャッシュ処理の不具合が原因だったという。

調査の結果、個人情報の漏洩は最大で344人で、該当のユーザーには、既にJ SPORTSオンデマンドで登録されているメール宛に案内を送付したという。

ユーザーが意図しない商品の購入・解約は、購入が3件、解約5件の合計8件発生。これも、該当ユーザーにメールで案内済み。

新たに発見されたのは、クレジットカード情報の上書き。これは、2人のユーザーがクレジットカード情報の登録変更手続きを行なった際に、システム不具合により誤って他のユーザーのIDにクレジットカードの情報が上書きされ、J SPORTSオンデマンドの商品が購入されたというもの。ただし、カード番号全体やセキュリティコードが他のユーザーに知られる、ということはないという。

変更を行なったユーザー2人、その結果クレジットカードの情報が上書きされたユーザー2人の、合計4人に影響が出た。上書きされたユーザーのカード情報は、消去済で、現在は参照されない状態になったという。上書き時に参照され得た情報は、カード番号の下4桁と有効期限のみ。該当する4人には、メールで案内済みだという。

今回の不具合を受けてジェイ・スポーツでは、設計、テストレビュー体制の見直し、人的チェックに加えて、ツールを用いた機械的チェック機能の強化を、再発防止策として発表している。

引用元 AVWATCH

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。