今回の個人情報流出の経緯と原因はどこにあったのでしょうか?個人情報を管理していたサーバーが外部に委託していたセキ株式会社の経緯報告の内容から、どこよりも早く、千趣会子会社の個人情報流出の詳細をまとめました。
千趣会子会社、13万人の個人情報流出
通信販売大手の千趣会(大阪市)は15日、子会社のベルネージュダイレクト(東京都千代田区)が運営するインターネット通販サイトで不正アクセスがあり、氏名や住所、クレジットカードの番号などの個人情報13万1096件が流出した可能性があると発表した。
産経ニュース
通販大手の千趣会は15日、子会社が運営する通販サイトで不正アクセスがあり、氏名や住所、クレジットカードの番号などの個人情報13万1096件が流出した可能性があると発表しました。
現在、個人情報流出による被害報告なし
2012年9月20日~2015年8月26日の間にサイトを利用して注文した顧客情報の一部が流出。現在のところ、被害は確認されていないとのことです。
千趣会、子会社にて緊急お客様センターを設置
対象サイトは「ベビパラハッピーギフト」「Pre-mo ギフト」「TOMATOMA ギフト」「ベビパラギフト」。対象者には謝罪メールを送付し、子会社のベルネージュダイレクトは緊急問い合わせ窓口を設置しています。
番号は0800-1111-022(フリーコール)。
個人情報流出の被害規模
千趣会が公開している個人情報流出内容と流入数は以下の通り。
21,994 件 (内クレジット情報あり 13,713 件)
氏名・住所・電話番号・メールアドレス・パスワード・クレジットカード情報等
2.ギフト送り先
110,564 件
氏名・住所・電話番号 総件数(当該サイト会員数のうちギフト送り先の重複を除いた件数) 131,096 件
どんな個人情報を収集していたのか?
こちらが、現在別サーバーで稼働しているベルネージュダイレクトの会員登録ページ。ここに入力された内容がそのままだだ漏れになっている模様。
このように一般的な住所、電話番号から、
お子様情報まで保存していたようです。自分の情報ならまだしも、子どもの情報が流出すると、「気持ちが悪い」と思われる方、多いのではないでしょうか?
個人情報が流出した原因は?事件の経緯
今回ややこしいのが、個人情報を管理していた会社が千趣会でも、子会社のベルネージュダイレクトでもないということ。その個人情報を管理しているサーバーは委託先として、愛媛県の上場企業のセキ株式会社 にて管理・運営されていたそうです。
そのため、下記に、セキ株式会社が公表している、今回の個人情報流出の経緯から個人情報流出の原因を検証してみます。
出典元:セキ株式会社『当社お客様情報の流出に関するお詫びとお知らせ』
個人情報流出の経緯
問題発覚の経緯と警察等への報告状況
8 月 21 日:弊社社員(複数)に対し、サイトの一つで不審な商品勧誘メールが送られてきたことから不正アクセスの形跡を確認。弊社サーバーからの情報流出を疑い、弊社サーバー管理会社に異常の有無の確認を依頼しましたが、この段階では異常は見つけられませんでした。
しかし管理者権限IDとパスワードの変更を行い、個人情報対策本部を設置の上、管理会社に監視レベル水準の引き上げを指示しました。
8 月 24 日:通常のログ調査においては、情報流出の形跡は見られなかったものの、疑念が解消されなかったため、外部の第三者であるフォレンジック調査会社に調査を依頼しました。
8 月 26 日:調査会社より Web アプリケーションの脆弱性を突いたサイバー攻撃が実施され、侵入者によってコマンド実行やデータベースアクセスが行われた可能性を排除 できないとの報告がありました。この時点で、調査会社の指導の下、即日、バックドアプログラムの削除、サーバー内の権限分離を実施し、攻撃に対するセキュリティを確保しました。
8 月 31 日:調査会社より一部含まれるクレジットカード情報について情報流出の可能性を排 除できないとの報告を受け、調査会社の指導の下、決済代行会社、クレジットカ ード会社との連携による取引のモニタリングを開始しております。(現状カード の不正利用を疑う報告は確認されておりません。)
9月3日: 8月26日の対応にて以降の個人情報流出懸念はないものと認識しておりますが、 今後の未知の攻撃に対する備えを強化するため、IPS(侵入防止システム)およ び WAF(Web アプリケーションファイヤーウォール)を導入し、第三者である調 査会社よりソフトウェアが確実に適用されていることの確認を得ました。
9月4日: 主務官庁への第一次報告を実施しました。
9月9日: 警察署へ被害状況の相談を実施しました。
注目すべきは、8月26日の報告。
「調査会社より Web アプリケーションの脆弱性を突いたサイバー攻撃が実施され、侵入者によってコマンド実行やデータベースアクセスが行われた可能性を排除できないとの報告がありました。この時点で、調査会社の指導の下、即日、バックドアプログラムの削除、サーバー内の権限分離を実施し、攻撃に対するセキュリティを確保しました。」
ここがすごく気になるところですね。
つまり、大事な個人情報を大量に扱っておきながら、サーバー内の権限分離も実行していなかった。おそらく、サーバー管理者のログインID、PASSを一発くぐり抜けられたら、全個人情報にアクセス可能な状態になっていたということでしょう。顧客情報の暗号化もされていないように見えます。サイバー攻撃というたいそうな言葉を使われますが、真相は分かりません。
顧客IDへのブルートフォースアタックではなかった
ブルートフォースアタックとは、パスワードの取得のため、辞書ツールを使いあらゆる文字の組み合わせで総当たりを試みるといった一種のサイバー攻撃。
ベルネージュダイレクトが「ログインID」と「Password」を用いて会員ページにログインする仕組みを採用しているため、どこかで流出したログインIDとPasswordを使ってアタックを試みたのかと考えたのですが違いました。
LINE乗っ取りのような顧客のID、Passwordの使い回しが原因なら話が別ですが、これはサーバー管理会社の考えの甘さが露呈した結果である可能性が高いでしょう。
この個人情報流出の経緯報告を見たところ、セキ株式会社が100%の賠償責任を負わざるをえないと考えられます。
千趣会、株価に影響も・・・
千趣会、3日続落している。後場に下げ幅を拡大して、一時前日比13円(1.8%)安の702円まで下げ、年初来安値を更新した。個人情報が流出した恐れがあると発表したことを嫌気した売りが出ている。
日本経済新聞
個人情報の流出は千趣会の株価にも影響し、15日の個人情報の流出を発表後、年初来最安値まで更新している様子。
問題のセキ株式会社については、9/15現在、まだ株価に影響が出ていない様子。上場企業ではあるが、時価総額60億の会社。重要顧客である千趣会グループへ甚大な被害を与えた影響は、今後の賠償問題にも発展すれば、経営にも大きなインパクトを与えそうです。