事故から学ぶ

TOP > 事故から学ぶ > HP更新後の確認体制を真剣に考える。 > PayPayアクセス権限の設定不備でブラジルから不正アクセス

2020/12/10

PayPayアクセス権限の設定不備でブラジルから不正アクセス

事故概要

業種	PayPay
発生時期	2020/12/1
漏えい人数	20076016
事故概要	一部表現の修正と、ユーザー影響に関して追記いたしました。（12月7日 23:00追記） 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。＜アクセスされた可能性のある情報＞ (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、営業対応履歴 (2)加盟店営業先の店名、住所、連絡先、代表者名、営業対応履歴 (3)当社従業員の氏名、所属、役職、連絡先 (4)当社パートナー・代理店の社名、連絡先、担当者名、売上振込先 (5)加盟店向けアンケート回答者の氏名、電話番号、メールアドレスアクセスされた可能性のある最大件数：20,076,016件原因は、当該情報へのアクセス権限の設定不備です。（不備のあった期間：2020年10月18日～12月3日）加盟店管理システムにおいて、アクセスモニタリングやシステム変更時の監視を強化します。今回の事象を重く受け止め、再発防止に努めてまいります。
引用元	PayPay

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

21-19（第21条）従業者の監督　作業ルールの徹底
（ホームページ誤開示防止）

チェックリストにある要求ルール：

法律が改正されクッキーの利用方法が制限されました。法律に則ったクッキーの利用方法になっていますか？
ホームページやSNS、同報メール、FAXに情報を掲載する際、個人情報、社外秘情報が含まれていないこと、添付ファイルに誤りがないことを、複数回、複数の人でチェックしていますか。
ホームページへの情報掲載直後に、アップロードした資料などに個人情報が掲載されていないか、複数の人で確認していますか。
ホームページからデータ検索をしたときに、不要な情報が開示されていないか複数のブラウザで確認していますか？
Webから登録させる仕組みの中で、過去履歴を検索させたときに他人の履歴や他人の情報が開示されていないかかくにんしていますか？
ホームページ掲載時に不適切な掲載がないか、複数の人で確認をしていますか？
会報、取引先を含めたグループニュース、企業が発信者のSNSなどへの掲載時に個人情報が含まれていないか確認し、あるいは掲載対しての許可など本人の承認を得ていますか？
システム開発時にデータが関係者以外からアクセスできるようになってたり、不要な情報開示がされていませんか？
偽りのドメインを利用したページとの混同を避ける制御、注意喚起をしていますか？
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか？

■ 推奨対策

対策：

原因は、当該情報へのアクセス権限の設定不備です。（不備のあった期間：2020年10月18日～12月3日）

HPを更新したら掲載内容を確認する、という基本動作ができていない。漫然と見ているだけでは見落としがあるので、複数の目で確認することが必要である。

具体例：

加盟店管理システムにおいて、アクセスモニタリングやシステム変更時の監視を強化します。今回の事象を重く受け止め、再発防止に努めてまいります、としている。
組織的に更新確認を行う意識と確認体制づくりが必要である。複数の目で見ることでミスを見つけられる確率が高まる。