個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

個人情報漏えい事故、3つの技術的な問題と2つの管理体制の問題が明らかに(イプサ)

インシデント・事故 インシデント・情報漏えい

株式会社資生堂の子会社である株式会社イプサは1月31日、同社が運営する通販サイト「イプサ公式オンラインショップ」において2016年11月に発生した個人情報漏えい事故について、情報流出の原因や被害範囲、再発防止策を発表した。発表当時、同サイトのWebサーバにSSIの脆弱性があり、それを悪用しバックドアを仕掛けられたこと、結果としてサイトに登録されていたクレジットカード情報56.121件を含む顧客の個人情報421,313件が流出した可能性があるとしていた。

その後、決済代行会社との連携による調査の結果、クレジットカード情報流出の可能性がないとは断定できない9,699名、個人情報流出の疑いのある150名の存在が判明、それぞれ個別に連絡したという。また、外部の情報セキュリティ専門企業(株式会社ラック)の参画により実施した詳細調査の結果、3つの技術的な問題と2つの管理体制の問題が明らかになった。

技術的な問題は、SSIに起因する脆弱性の認識が甘く、十分な対策が取られていなかったこと、同サイトのセキュリティ対策がファイアウォールのみであったこと(他のセキュリティ対策も導入済みであると誤認していた)、本来はサイト内にクレジットカード情報を保持しない設計であったのに、デバッグモードのまま運用されており、決済処理のログが残る状態になっていたことが判明した。

管理体制の問題は、同社内のサイト管理に関する責任部門が不明確であり、また委託先であるソフトウェア開発会社に対する管理監督や意思疎通が十分ではなく、技術情報の継承や正しい状況把握ができていなかった。そして、サイトの構築時は開発計画のみ共有しており、システムの詳細については確認されていなかった。システム稼働後の監査においても、毎年実施していたものの口頭や紙面による報告ベースで、詳細な内容確認はできていなかったという。同社では、これらの問題点への対策も発表している。
《吉澤 亨史》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

インシデント・事故 カテゴリの人気記事 MONTHLY ランキング

  1. 12,439件のお客さま情報が入った業務用パソコンが盗難被害(東京ガス、キャプティ)

    12,439件のお客さま情報が入った業務用パソコンが盗難被害(東京ガス、キャプティ)

  2. 「myTOKYOGAS」へ不正アクセス、ポイントの不正使用も確認(東京ガス)

    「myTOKYOGAS」へ不正アクセス、ポイントの不正使用も確認(東京ガス)

  3. 脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)

    脆弱性を突かれ不正アクセス、番組サイトに投稿した個人情報が流出(TOKYO MX)

  4. 「スピードラーニング」のデータをオークション目的でアップロードし逮捕(ACCS)

  5. スーパーフードの通販サイトでカード情報が流出、サイトは停止せず対策(フルッタフルッタ)

  6. 「ネタバレ」サイトの運営者を逮捕、アフィリエイトで3年間で3億円の収入(ACCS)

  7. 「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)

  8. 小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)

  9. 「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

  10. SQLインジェクション脆弱性を突いた不正アクセスで個人情報2,728件が流出(InterFM897)

全カテゴリランキング

特集

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×