事故から学ぶ

ネット社会の洗礼 GMDコンピュートラック神戸

事故概要

業種 オートバイ販売
発生時期 2020/8/24
漏えい人数 未発表
事故概要

ネット社会の洗礼を受ける事になりました。
被害を受けられた方々には、深くお詫びいたします。
朝起きたらメールサーバーがスパムメールの踏み台になってしまいました。brute force attackによるパスワードの突破と推測されます。あわせて、被害のあったメールアドレスの削除致しました。
弊社へのお問合わせ方法に関して
『フォームでのお問合わせ、お電話、ご来店』の3パターンで引き続き対応させて頂きますので、引き続きよろしくお願い致します。

引用元 GMDコンピュートラック神戸

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

brute force attackによるパスワードの突破と推測としているので、初期の対策はシンプルですぐに導入できるものから始めると良い。
brute force attackは、ダイヤルキーをひとつひとつ数字を合わせて解錠キーを探す手口であり、原始的な攻撃方法の一つである。

具体例:

攻撃の手口が原始的であるがゆえに、防止策も比較的明快である。突破されたということは、パスワードの桁数不足(組み合わせ数不足)や、数字だけ、あるいは数字とアルファベットの組み合わせなど、簡単なものであった可能性もあるので、パスワード設定も見直されたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。