事故から学ぶ

TOP > 事故から学ぶ > セキュリティ対策の知識の向上, セキュリティ対策の知識の向上システム管理体制と方法の見直し, 外部委託の場合は契約の見直し, 研修セミナへの参加, 職員への安全管理教育 > 不正アクセス被害で個人情報最大3万1,231件に流出の可能性｜エーデルワイン

2019/07/20

不正アクセス被害で個人情報最大3万1,231件に流出の可能性｜エーデルワイン

事故概要

業種	エーデルワイン
発生時期	2019/04/23
漏えい人数	31,231人
事故概要	岩手県のワイナリーを経営する株式会社エーデルワインは2019年4月23日、同社が運営するオンラインショップサイトが不正アクセス攻撃を受け、個人情報最大3万1,231件が流出した可能性があると発表した。漏洩した可能性がある情報に関しては下記の通り。対象となるユーザーオンラインショップでカード決済したユーザー対象期間 2015年7月8日～2018年8月5日対象件数 3万1,231件対象の情報内訳カード番号カード有効期限カード名義人名セキュリティコード攻撃は2018年9月28日、決済代行会社からの通報により発覚。2015年7月8日～2018年8月5日の期間中にカード決済で取引した顧客に流出の危険があり、同社は対応を進めています。攻撃を受けた原因はシステム内に内在した脆弱性。同社は第三者機関による調査を依頼しており、被害規模の特定やセキュリティ上の報告を受け、公表に至ったとしています。サイトに関しては、一時的な閉鎖措置を決定。後日、再開の見通しを改めて公表する考え。
引用元	エーデルワイン

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード：
22-24 （第22条）委託先の監督社内規則の整備（外部サービス利用）

チェックリストにある要求ルール：

クラウドサービスなど外部サービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか？
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか？

■ 推奨対策

対策：

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。

具体例：

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。