利用者向けに情報発信するシステムを運用では、自社管理か開発会社管理かを問わず、本番環境とは別の開発環境、テスト環境などを運用しているのが大半だ。

開発環境等には、最上位のアクセス権を持ったエンジニアがアクセスすることが多く本番環境に比べてセキュリティー運用規制が甘い。今回はそこを突かれた不正アクセスである。

開発環境に本番データを入れることは禁じ手だが、事故を起こした企業に限らず、開発会社が無断でやることもあるため、契約で縛り開発側に周知徹底することが必至である。

これを機会に、開発環境の確認をしましょう。

――――――――――

ECC学習支援システム「インターセクション」の開発サーバーへの不正アクセスが確認された。2023年9月12日に第三者による不正アクセスを確認し、調査したところ、2023年5月16日以降、複数回の不正アクセスにより、本システム利用者のうち1,249名の生徒様の情報および教材情報の一部が流出した可能性があることが判明した。社内の開発サーバーの運用体制が不十分だったとしている。

流出した可能性のある情報には、個人情報（氏名、ID、一部受講情報)が含まれていた。ただし、メールアドレス、性別、生年月日、住所、電話番号、クレジットカード情報は含まれていないとしている。