不正アクセス!2件の事例 – ゴルフ情報メディア・協会

security_1034

2015年、2016年にはゴルフ情報メディアのサイト、そして日本女子プロゴルフ協会のサーバに不正アクセスがおこなわれ、情報が流出しました。2件の流出事故についてご紹介します。

ゴルフ情報メディアALBA.Netに不正アクセス!

1件目は、ゴルフポータルサイト「ALBA.Net」が2016年2月25日に不正アクセスを受け、会員の個人情報が流出しました。

会社情報

不正アクセスされた「ALBA.Net」の運営・システム管理は、クロスプラネット株式会社がおこなっています。

クロスプラネット株式会社(旧社名 株式会社ALBAパートナーズ)

事業内容:インターネットを活用したスポーツ関連サービス事業、スポーツ関連用品販売サービス、ゴルフ場予約サービス
設立:2015年10月
株主:ゼビオ株式会社 100%

事故の経緯

2016年2月25日7時、「ALBA.Net」サイトの一部ページが表示不可・遅延となっていることをクロスプラネット社の社員が発見

  1. 同1時に発生した不正アクセスが原因であること、顧客の個人情報が漏えいした可能性があることを確認
  2. 同12時、漏えいの原因となったプログラムを削除
  3. 同16時、特定のお客さまの個人情報の一部が漏えいしたことを調査により確認

ウイルスによる被害状況は?

情報漏えい対象の顧客

2005年9月30日以前に「ALBA.Net」へ会員登録した人 計1,000名

流出したもの

2005年9月30日以前に会員登録者した顧客の個人情報の一部:氏名(姓・名)、カナ(姓・名)、生年月日、電話番号、性別

原因は?

「ALBA.Net」の Web サーバーへ「SQLインジェクション」を使った不正アクセスを第三者がおこなったことが、漏えいの原因でした。

SQLインジェクションとは?
SQL(Structured Query Language)というデータベースを操作するための言語を使ったサイバー攻撃です。多くのショッピングサイトなどは、このSQLを使って登録者の情報を管理しています。

しかしWebアプリケーションのセキュリティが不十分だと、攻撃者がブラウザから入力した「悪意のあるSQL文」がそのままデータベース操作の一部に注入(インジェクション)され、データを盗まれてしまいます。

会社側の対応は?

説明と謝罪

  • 対象顧客へ個別のお詫びをメールで連絡、2016年2月29日より順次電話で連絡
  • ALBA.Netへお詫び文を掲載

『「ALBA.Net」への不正アクセスによる一部個人情報漏えいに関して』というタイトルにて、流出事故の経緯、状況、対策、問合せ窓口について掲載されています。

事故への対応

  • 原因となったプログラムの削除
  • 一部サービスの停止
  • 今回のアクセス元からのアクセスを不可とする設定
  • 不正アクセスについて警視庁へ被害相談

再発防止策

  • 原因となったプログラムの改修、セキュリティ対策の実施
  • Webサーバーへの不正アクセス自体を防御する仕組みの導入

日本女子プロゴルフ協会のサーバに不正アクセス

そして、2件目の不正アクセスは、日本女子プロゴルフ協会(LPGA)での不正アクセス。約2万件のファイルが流出した同協会サーバへの不正アクセスについて、詳細な調査結果を2015年2月25日に発表しました。

今回不正アクセスされたシステムは、協会のオフィシャルシステムパートナーである日本ユニシスが開発に関わったものではない、とされており、システム管理会社については公表されていないようです。

ウイルスによる被害状況は?

ネットワークの脆弱性を突いた第三者からの不正アクセスが、2015年12月5日~15日に連続的におこなわれ、情報が流出。

流出したもの

画像2万703件、テキスト1件 合計2万704ファイル(うち、氏名など個人情報が含まれるファイルは1606件)がダウンロードされていた。

流出したもののリスト

  • 報道関係者の氏名が入ったメディアパス作成用顔写真:1521件(氏名なしのもの:2200件)
  • イベント参加者の氏名入り画像:9件(氏名なしのもの:158件)
  • 大会関係者の氏名入り画像:75件
  • 住所が記された書類の画像:1件
  • 設営物の記録写真など雑多な画像・テキストファイル:1万6064件

このような多くのデータが流出してしまいました。なお、漏えいしたデータの中には重大な信用情報(クレジットカード番号・有効期限、金融機関の口座情報)や、性別・生年月日・電話番号の情報はなかったとされています。

原因は?

2015年1月14日、LPGAが内部セキュリティ強化のため確認作業をおこなったところ、不正アクセスの痕跡を発見しました。原因は、内部用にデータ管理をしていたサーバからのファイル流出でした。

日本女子プロゴルフ協会の対応は?

説明と謝罪

  • 画像ファイル名に個人の氏名が使用されていた報道関係者・大会関係者
  • 画像に住所が記されていた人

このような人へは、本人または企業の担当者に連絡し、説明と謝罪を行っています。

事故への対応

調査委員会を1月15日に設置し、外部の専門調査会社と共に事実調査と原因究明を徹底的におこなった。

再発防止策

日本女子プロゴルフ協会は、次のような再発防止策を今まで以上に強化して実施するとしています。

  • 個人データへのアクセス制御
  • 情報システムの監視
  • 安全管理についての規程や手順書の整備と運用
  • 業務上秘密と指定された個人データの非開示契約をスタッフと締結し、教育と訓練をおこなう

日頃からのセキュリティ対策が必要

セキュリティ対策は「被害が起きたとき」を想定しておこなうことが必要です。「まだ被害にあっていないのに、コストをかけて対策する必要はあるの?」このように感じるかもしれません。

攻撃されてからでは遅い!

もし、情報が漏れると…

  • 信頼を失い、利益の大きな損失、減少
  • 損害賠償の支払い、裁判などの経済的なダメージ
  • クレーム対応、謝罪などにかかる大きな負担

このように、莫大な損害を受けてしまいます。

イメージダウンにより、売上の減少が長期間続くことも考えられます。そうなると、最悪の場合倒産することも。

ハッカーは「狙いやすいサイト」を、24時間ランダムに狙っています。どんなに対策をしても病気を100%防げないように、攻撃を100%防ぐことはできないのです。

しかし、少しでも攻撃される可能性を下げ、もし攻撃されてもそれを防げるセキュリティ対策をおこなうことが必須です。

○セキュリティ診断=健康診断

攻撃者の技術は、どんどん高度になっています。日々新しい攻撃の技術が生まれているので、定期的にシステムのセキュリティチェックをする必要があります。

いま、ほぼすべての企業・団体がシステムやWebサイトを持っています。セキュリティをしっかりおこなわずに、健全な事業の運営はできない時代になっているのです。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

お客様の個人情報を守れていますか?

連日のように情報漏えい、ネット犯罪の問題が報道され世間を騒がしています。

「うちの会社は小さいから狙われないだろう」と他人事のように思っていませんか?ハッカーは自らの手だけでなく、自動攻撃ツールを使い対策を怠っている企業を無差別に狙っています。結果、知らないうちに次のような被害に遭うリスクが高くなります。

・ホームページ乗っ取り
・パソコン乗っ取り
・メールによる攻撃

情報漏えいを恐れる顧客にとって、しっかりしたセキュリティ対策を行っている企業は、とても安心です。結果として売上向上につながっている企業もあるほどです。

セキュリティ対策を行っていない、現状のセキュリティ対策に不安を感じている方はご相談ください。

お問い合わせフォーム >