事故から学ぶ

不正アクセス被害で個人情報最大3万1,231件に流出の可能性|エーデルワイン

事故概要

業種 エーデルワイン
発生時期 2019/04/23
漏えい人数 31,231人
事故概要

岩手県のワイナリーを経営する株式会社エーデルワインは2019年4月23日、同社が運営するオンラインショップサイトが不正アクセス攻撃を受け、個人情報最大3万1,231件が流出した可能性があると発表した。
漏洩した可能性がある情報に関しては下記の通り。
対象となるユーザー オンラインショップでカード決済したユーザー
対象期間 2015年7月8日~2018年8月5日
対象件数 3万1,231件
対象の情報内訳 カード番号
カード有効期限
カード名義人名
セキュリティコード
攻撃は2018年9月28日、決済代行会社からの通報により発覚。2015年7月8日~2018年8月5日の期間中にカード決済で取引した顧客に流出の危険があり、同社は対応を進めています。攻撃を受けた原因はシステム内に内在した脆弱性。同社は第三者機関による調査を依頼しており、被害規模の特定やセキュリティ上の報告を受け、公表に至ったとしています。

サイトに関しては、一時的な閉鎖措置を決定。後日、再開の見通しを改めて公表する考え。

引用元 エーデルワイン

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。