事故から学ぶ

「よりそうeねっと」への不正ログインについて 東北電力

事故概要

業種 電力事業者
発生時期 2019/12/27
漏えい人数 未発表
事故概要

当社会員制Webサービス「よりそうeねっと」において、12月26日(木)の深夜から27日(金)の早朝にかけて、第三者が他社のサービス等から入手したと思われるログインID・パスワードを用いて、不正なログインが行われたことを確認いたしました。 このうち、お客さまの「よりそうeポイント」が、不正に電子マネー・共通ポイントに交換されたことも確認いたしました。
現時点で、当社WebサイトからログインID・パスワードが漏えいした事実は確認されておりませんが、よりそうeねっとでのポイント交換サービスを12月27日(金)14時30分に停止し、不正にログインされた原因とともに、不正にログインされている件数や不正に交換されているポイント数等について詳細に調査を行っております。

また、被害に遭われたお客さまには、当社から個別にご連絡をさせていただき、被害の状況等について説明させていただくとともに、ログインID・パスワードの変更をお願いしているところです。被害に遭われたお客さま、よりそうeねっとの会員登録をいただいているお客さまには、多大なるご心配とご不便をお掛けしておりますことを深くお詫び申し上げます。当社といたしましては、引き続き、原因の究明に努めるとともに、実効性ある再発防止対策を講じたうえで、ポイント交換サービスを再開したいと考えております。
なお、本事象については、警察にも相談を行っており、捜査には全面的に協力してまいります。

引用元 東北電力報道発表資料

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
Windows Update(マイクロソフト社が提供しているウィンドウズパソコンの不具合を修正するプログラム)を行うなどのように、常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなどのように、パソコンをウイルスから守るための対策を行っていますか?

■ 推奨対策

対策:

不正アクセスは、とくに有名サイトや大勢の会員サイトは毎日狙われており、その不正アクセスの手段も常に変化を遂げている。IT担当個人や部署だけではその知識量が不足することも知られており、安全性を担保するためには、専門サービス会社との連携をすべきである。
自社内PCのウイルス対策ソフトの最新化をタイムリーに行うこと。

具体例:

ITサービスでの安全性確認は、既知の問題に対する確認しかできない。従って確認者の知識向上が不可欠になるが、ここに力を入れる企業が少ないのも問題である。せめてニュースに取り上げられるサイバーアタックのキーワードだけは必ず押さえておき、利用しているクラウドサービス担当者とセキュリティ対策について、責任ある回答を常に得ておくべきであるし、セキュリティセミナーなどにも積極的に参加させなければならない。職員教育とは「個人情報を守りましょう」という研修だけではないことを、職場の幹部自身が理解しなければならない。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。