I C T | kuniの経済徒然日記

KLab　不正アクセスによる情報漏洩

スマートフォン向けゲームを展開するKLab株式会社は7/28、同社がユーザー向けに提供している「KLab ID」2,439件に対して、パスワードリスト型攻撃と見られる不正ログイン行為が確認されたことを公表しました。今のところ適時開示はされていません。

KLab

KLabはスマートフォン向けアプリを中心にモバイルオンラインゲームの企画・開発・運営を行う東証1部上場企業です。海外展開にも注力しており、近年のヒット作には「ラブライブ！スクールアイドルフェスティバル」などがあるとのこと。あっ、この社名、「クラブ」と読みます。

52万件の不正メール送信

不正アクセスには外部から入手したと思われる約52万件もの個人データが利用されています。この「外部」というのは、おそらく他社で登録されている顧客のデータだと思われます。犯人はこのデータを「KLab　ID」に新規会員登録したようです。

「KLab　ID」では新規会員登録時に利用者がメールアドレスを登録する必要があり、そのメールアドレスに対して確認メールを自動で送信する仕様となっているため、約52万件に確認メールが送信されたようですね。つまり、他社の顧客宛に「KLab　ID」登録ありがとうございますメール、が飛んだということみたい。

2,439件の不正ログイン

その後、同社サービスに登録済と見られるユーザーのアカウントに対して、同52万件のデータを使い、パスワードリスト攻撃を行っています。この不正ログインにより閲覧された可能性のあるデータは、顧客のメールアドレス、ひみつの質問と回答、生年月日、性別、言語などです。

「ひみつの質問と回答」が流出しているのは気になりますね。不正ログインの発生に加え、他社顧客に迷惑メールが52万件も送られているのに、事態の公表は同社ホームページだけ。この開示に対する姿勢には非常に疑問が残ります。

2021年版警察白書　サイバー犯罪摘発最多　9875件

警察庁は7/20、2021年版警察白書を公表しました。2020年のサイバー犯罪の検挙件数は9,875件となり、前年より356件（3.7％）増加。過去最多を更新したそうです。

サイバー犯罪の検挙件数

9,875件の内訳をみると、不正アクセス禁止法違反（609件）、コンピュータ・電磁的記録対象犯罪（563件）、児童買春・児童ポルノ禁止法違反（2,015件）、詐欺（1,297件）、著作権法違反（363件）、上記以外の罪種（5,028件）となっています。

コンピュータ・電磁的記録対象犯罪と詐欺が過去最高を記録し、前年に比べそれぞれ127件と320件の増加となっています。

イメージというか実感との差を感じる方も多いと思いますが、この数字はあくまで警察による検挙件数です。被害届があり、警察が捜査を実施し、検挙に至った件数ですね。企業等が不正アクセスを受けたとしても検挙に至らなければこの数字に反映されません。発生件数のデータってどこか持ってないんでしょうかね。

白書の特集

白書では被害が深刻化するランサムウエアを取り上げ、「世界的に問題となっている」と指摘しています。当ブログでも何度も取り上げました。最近では、鹿島建設の海外子会社、Colonial Pipeline、東芝テックの海外子会社、カプコンなどがありましたね。

これらの情報は警察白書の特集ページ、「サイバー空間の安全の確保」で掲載されており、この他にも、「東日本大震災から10年を迎えて」、「新型コロナウイルス感染症をめぐる警察の取組」、「クロスボウの規制に向けた警察の取組」という4つの特集が組まれています。警察庁のホームページで誰でも読めますよ。

株式会社キャンディル　子会社ECサイトでクレジットカード情報漏洩

株式会社キャンディルは7/20、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」を公表しました。子会社のキャンディルデザインが運営する「ECサイトプロショップ匠」が不正アクセスを受け、クレジットカード情報（4,040件）が漏洩したようです。

キャンディル

キャンディルは建材・家具等の補修材及びメンテナンス剤の卸売業者です。2018年に上場を果たしていて、従業員数は連結ベースでも600人以下という小ぶりな企業です。

事件の概要

「ECサイトプロショップ匠」が第三者による不正アクセスを受け、顧客のクレジットカード情報（4,040件）が漏洩した可能性があるということなんですね。で、漏洩した情報が、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」となっています。

これだけ情報が揃えば、どこのECサイトでも本人になりすまして買い物できちゃいます。実際に、開示の中でも「一部のお客様のクレジットカード情報が不正利用された可能性があることを確認した」とあります。

開示の遅さ

実はこの不正アクセスによる漏えい、今年1/26に判明しています。第三者調査機関による調査も4/2に完了しています。で、開示が7月という遅さ。公表が遅れた経緯について、同社は次のように説明しています。この対応は正しいと言えるんですかね。

「決済代行会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。」

婚活アプリのネットマーケティング　会員情報の一部流出に伴う特別損失を計上

婚活アプリのネットマーケティングは7/16、「特別損失の計上及び通期業績予想の修正に関するお知らせ」を公表しました。会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上する見込みとなったとのこと。

情報流出

5/21、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、171万件にのぼる会員情報の一部が流出した可能性が高いという事故でしたね。

その翌々日には、コーポレートサイトの管理システムの不具合により、他の顧客の記載内容の一部が、別の顧客から閲覧できる状況になっていたという事故も起きていました。

特別損失　業績予想修正

で、同社のメディア事業における「Omiai」サービスの会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上することに。顧客からの問い合わせ対応窓口設置・運営及びシステム調査並びに情報セキュリティ対策等に係る費用ということです。

この開示では、通期業績予想の修正も行われているんですが、96百万円の特別損失を計上したうえで、経常利益192百万円、当基準利益で66百万円の増益修正となりました。

「Omiai」サービスにおける新規会員獲得を目的とするデジタル広告の出稿を全面的に一時休止。この措置に伴い広告費が削減された結果、販売促進費が当初想定を下回ったことにより増益となったようです。皮肉な結果ですね。

ただし、この開示を受けて株価はあらためて売りなおされています。直前に上昇していたからですかね。これまた皮肉な結果です。

名ばかりCIO、場当たりDX

7/13付け日本経済新聞の記事に、「名ばかりCIO、場当たりDX　『情シス』消え人材不足、丸投げ変えられず」というのがありました。この記事お勧めです。思わず笑ってしまうような、「ハハ、これうちの会社や」みたいな話がたくさん出てきます（kuniはもう退職してますが）。

情報システム部門の放出

「過去のリストラで実動部隊の情報システム部門を手放し、司令塔であるはずの最高情報責任者（CIO）も名ばかりという実態がある」と書かれています。この文章の前半部分。

「日本企業におけるIT（情報技術）人材の不足は、平成バブル崩壊後の1990年代に情報システム部門が本体から切り離された影響が大きい。当時「ノウハウ集約」や「専門性の向上」といった大義名分で設立された情報子会社の多くは、コスト削減目的のアウトソーシング（外部委託）が実態だった。」とも。

そうなんですよね、コスト削減目的で子会社として切り離す。まぁ、それ以前の話として、システムがコストだと思っている経営者が多すぎるのも大問題なんですけどね。

親会社からの厳しい要求

おまけに、システムの開発においては、「開発期限は何が何でも厳守」とか、「開発費の増額は一切許さない」といったプレッシャーが掛けられ続けます。日経が同じく指摘していた「丸投げ」の実態です。丸投げゆえにユーザー側にシステムに精通した人員も育ちません。

で、いざ障害発生となると、手も足も出ない状態（どこかの銀行みたいに）になってしまうんですね。どこかの銀行の場合など、障害の責任取ってCIOが更迭されましたね。これって今まで（それなりに）一番精通していた人がド素人に交代するってことです。

日本企業のDX、狂ってしまった歯車はどう戻せばよいのでしょうか。