事故から学ぶ

「みんなのデジブック広場」で、カード決済したユーザー情報が不正閲覧

事故概要

業種 株式会社DigiBook
発生時期 2009/03/1~2019/02/20
漏えい人数 15,370人
事故概要

株式会社DigiBookは2019年7月3日、同社が運営する「みんなのデジブック広場」にて第三者による不正アクセスが発生したと発表した。
不正アクセスの原因は、システム内部に内在していた脆弱性で同社が第三者調査機関を通じて調べたところによると、攻撃によりクレジットカード情報15,370件が流出した他、2次被害として一部では既に不正利用被害が生じた可能性がある。
株式会社DigiBookによると不正アクセスは2019年2月20日、決済代行会社から「カード情報流出の懸念」について連絡を受け発覚したとしている。
連絡を受けた同社は該当サービスのカード決済機能を停止。第三者調査機関に調査を依頼するなど対応をすすめたところ、2009年3月1日~2019年2月20日の期間中に「みんなのデジブック広場」にて、カード決済したユーザー情報が不正閲覧された可能性があることが分かった。
約10年間ものデータが流出し、影響を受けたカード情報は合計1万5,370件と膨大。
漏えいした情報は、カード番号・カード有効期限・カード名義人など。

引用元 株式会社DigiBook

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
20-1 (第20条)安全管理措置

チェックリストにある要求ルール:

パソコン設定 Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSやソフトウェアを安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れてウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

365日24時間監視を行うサーバの共有サービス提供者であるため以下の対策をすぐに講じることができた。
・速やかな攻撃検知
・手順に沿って踏み台となったIDの利用停止
・不正ファイルをすべて削除
・影響度調査を直ちに実施し、他の顧客の利用領域にも不正なファイルが設置されたことも確認、削除
・踏み台以外の顧客のIDやパスワードが不正利用がないことの確認
・顧客が管理しているホームページコンテンツの改ざんは一切ないことの確認。
以上の対応を直ちに取れる体制を整え運用していたことは対策としては評価できる。

具体例:

レンタルサーバ(サーバ共有サービス)の提供者は多数あるが、サービス形態も多岐にわたり、その事業者のホームページから、実際に情報漏えいに有効な安全管理措置を講じている事業者であるのかの見極めは難しい。高ければ安全というわけではないが、安全管理体制が維持できないような、あまりに格安である事業者を利用するのは、個人情報を取り扱うホームページの掲載は控えるべきであろう。利用前に前述の対策に記載されたような対応が取れる事業者であるのかコールセンタなどに問い合わせをすることで、ある程度の判断は付くと思われる。
今回の事例では、これだけ監視体制を取っていてもアカウントの乗っ取りと不正ファイルの送り込みをされてしまうほど、外部アタックの攻撃力が高いことを認識し、不用意に個人情報をため込まないことも漏えい防止策の基本動作としてとらえておくべきである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。