事故から学ぶ

有名デートアプリから13万人の個人情報取得した”独学ハッカー”20代男性、逮捕=韓国

事故概要

業種 民間企業
発生時期 2021/9/30
漏えい人数 130,000
事故概要

韓国で有名デートアプリをハッキングし13万人の個人情報を取得後、脅迫した20代の男性が逮捕された。
ソウル警察庁サイバー捜査課はことし9月末、デートアプリのサーバーに無断侵入、会員13万人の財産・学歴・職業の認証資料、写真など個人情報を取得後、これを流布すると脅迫したIT開発者A(26、男)を去る18日に逮捕、拘束したと25日、発表した。
被疑者は被害企業に25億ウォン(約2億4000万円)の暗号資産を要求し、一部会員らの個人情報をインターネットに流出した容疑(情報通信網法・刑法違反)をもたれている。 警察は9月27日、告訴状を受け付けた後、被害企業のサーバーのログ記録、ハッカーが発送した脅迫メールなどを追跡して被疑者を特定した。
Aは国内外のコミュニティサイトなどに数回にわたって計21人の会員情報を流布しており、警察はサイト運営企業と協力して会員情報が含まれた掲示物を直ちに遮断・削除措置した。
Aは独学でITを勉強した後、開発者として勤務した。ハッキング大会で受賞するほど、相当な実力をもっているとわかった。
警察はハッキングした会員情報のすべてを確保しており、追加流出の疑いがあるのか捜査する予定だ。

引用元 Edaily wowkorea

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

システムの脆弱性と思慮されるが、システムの運用環境は常に変化するため、昨日まで安全でも今日には漏えいする、という状況が発生する。最低でも日単位でセキュリティー動向の最新情報を把握するとともに、サーバ管理会社とも密接な連絡を取り、安全対策を最新化しておくことが必要である。

具体例:

セキュリティーシステムは「自社も必ず攻撃を受ける」という意識で毎日ニュースをチェックし、その対策を考えるべきである。インターネットを利用したサービス提供事業者ならば、社内にもセキュリティーのエキスパートを育成し、セキュリティー専門会社との組み合わせでサービス全体の安全管理措置を講じていく必要がある。業者任せにしてはいけない。分からないまま済ませてはいけない。ユーザ数の多いサイトは最新ハッキング手法を試す実験場になっており、対策が後手に回るリスクを抱えている。常に最新対策情報を自ら得る体制を整えておくべきであろう。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。