カテゴリー: I C T

モブキャストホールディングス ゆとりの空間で個人情報漏洩

モブキャストホールディングスは3/31、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。同社の子会社である株式会社ゆとりの空間において、不正アクセスにより情報漏えいの可能性があることが判明したとのこと。

株式会社ゆとりの空間

モブキャストホールディングスは、設立当初はモバイル向けの映像制作・配信事業とゲーム開発・配信事業を手掛けていたようですが、今ではスマホゲームと栗原はるみの雑貨販売、企画制作が軸に。栗原さんってあの料理研究家の栗原さんみたいです。

そして同社の子会社にゆとりの空間があります。栗原さんと、ご長男の二人が代表取締役ですね。調理用品やキッチン雑貨などの企画・製造・販売。レストランの経営もされてるみたい。

事故の概要

ゆとりの空間が運営しているウェブサイト、「ゆとりの空間オンラインショップ」において、システムの一部の脆弱性を突いた第三者による不正アクセスを受け、新規会員登録時に顧客が入力した個人情報(5,009件)が漏えいした可能性があるとしています。

2020年12月8日~2021年3月9日の期間中の新規会員登録顧客で、住所、氏名、電話番号、メールアドレスなど(他にもいろいろ)が漏洩した可能性が。通常、クレジットカード情報は大丈夫というケースが多いですが、この事故では「現在確認中」としています。

なんでだろう

ページ遷移の異常に関する顧客からの指摘が発見の端緒になりました。指摘を受けたのは1/27。調査を開始し、3/9、第三者機関からの報告により、新規会員登録ページの改ざんが判明したとしています。

調査の開始時期が書かれていませんが、ページの改ざんを把握するまでに1か月以上も?初期対応に失敗しているようですね。当分ほったらかしに?

SCSK 社員が不正行為 松井証券システムで

松井証券の顧客口座から資金を詐取したとして、同社のシステム管理を請け負っていたSCSKのシステムエンジニア(SE)の42歳男性が3/24、警視庁に逮捕されました。顧客の株式を無断で売却した代金や口座の預かり金など約2億円が不正送金したという事件です。

事件の概要

松井証券の顧客210人分のログインIDやパスワードを不正に取得したうえ、そのうち15人の口座から不正送金を繰り返したといいます。この一連の不正行為は2017年6月から2019年11月まで、2年5カ月に及んでいます。

この社員はプロジェクトリーダー。システムの本番環境と開発環境の両方にアクセスできる権限を持っており、本番環境で顧客情報を含むバックアップファイルを作成して開発用システムに転送。開発用システムで210人分の顧客情報を抽出して私用のメールアドレスに転送することで、IDやパスワード、取引暗証番号など、取引に必要な情報を不正に入手したようです。

そもそも事件の発覚は昨年の1月だそうです。身に覚えのない取引があったと、顧客から松井証券へ問い合わせが入りました。SCSKも協力して調査を実施し、同年9月にはこの不正行為について警察に告発しています。しかし調査も捜査も何でこんなに時間がかかるんでしょうね。

委託先社員の不正

日経の記事では「委託先社員の不正をどう防ぐか」、に焦点を当てていました。日本で受託開発や運用を主な業務とするシステム会社が多いのは「国際的には独特の構造」だそうで、米国では自社開発の割合が委託より高いんだそうです。

システム投資が事業を発展させるエンジンになる時代です。にもかかわらず、システム投資をITコストだと思っている企業がいまだに多いんですね。業績が芳しくないとすぐにコスト削減対象になります。すると自社で可能な限りシステム要員を抱えずに、開発・運用等はほとんど外部業者に委託、という構図になっていきます。だからDXも進みません。

加賀電子(8154)米国子会社における資金流出事案 ビジネスメール詐欺?

加賀電子工業は3/19、「当社米国子会社における資金流出事案について」を公表しました。悪意ある第三者による虚偽の送金指示に基づき資金を流出させる事態が発生したとのこと。弁護士等による対策チームを編成し、既に現地の捜査機関に届け出ているようです。

ビジネスメール詐欺

事案の発生は今年2月。損失見込み額は最大で5億円といいます。捜査上の機密保持のため、現時点ではこれ以上の詳細情報は控えるとしています。このところあまり聞かなかったBEC(ビジネスメール詐欺)の被害にあった、と思われます。

BEC(Business E-mail Compromise)は、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして偽口座に送金させ資金を詐取するというサイバー攻撃の一種です。2017年12月にJALが3億8,000万円の被害に遭いました。

ビジネスメール詐欺は、「経営幹部になりすます方法」と「取引先になりすます方法」の2つのタイプに分類されます。JALのケースは取引先になりすましていました。攻撃者が送信する(送金指示)メールの信憑性を高めるために、事前に業務用のメールを盗み見して準備します。

最終的には攻撃者が用意した口座に送金を指示しますので、取引先になりすましたうえで、それまで使用していた口座とは違う偽口座を指定してきます。ここが重要です。振込先口座の変更依頼があったときに、メール以外の方法でその変更依頼の信憑性を確認することですね。

加賀電子は

とまぁ、情報がない中でありそうな想定を書きましたが、同社の開示の中には「資金流出後まもなく、指示が虚偽であることに気付き、犯罪に巻き込まれた可能性が高いと判断し」とあります。ビジネスメール詐欺に違いないと思うのですが。。。

マイナビ マイナビ転職で不正ログイン ウェブ履歴書約21万件流出

マイナビは2/12、同社が運営する総合転職情報サイト「マイナビ転職」を管理するWebサーバーに対し、外部からの不正ログイン発生があったことを公表しました。2000年から現在までに「マイナビ転職」へ登録した方のうち、212,816名分の Web履歴書が不正ログインされたもようです。

マイナビ

マイナビは毎日新聞社の関連会社として設立された、就職・転職・進学情報の提供や人材派遣・人材紹介などを主業務とする日本の大手人材・広告企業です。現在では毎日新聞との資本関係は薄くなっているようですね。

不正ログインの概要

不正ログインが確認された期間は、2021年1月17日~2月9日までとのこと。約3週間攻撃され続けていたんですね。普通アクセス数の急増でもう少し早く気付きそうなもんですが。

もう一つ普通じゃないのが、不正ログインされた件数を「212,816名分の Web履歴書」と言い切っているところ。普通なら「最大で212,816名分の Web履歴書」と発表するもんです。

同期間の間に21万件のアクセスがあったとしても、中には正規の利用者のアクセスまで含んでいるはずです。今回の不正アクセスは「リスト型アカウントハッキング(リスト型攻撃)」のようですから、正規の登録者によるアクセスと不正なアクセスは簡単には判別できません。

平時のアクセスが1週間あたり3万件程度あるなら、3週間で9万件。このくらいは21万件から差し引いて考える必要があります。なので最大〇〇件と表現するんですね。ひょっとしてこの21万件は差し引いたのちの実数なんでしょうか。

転職はキモかも

新卒者の履歴書と違って、転職者の履歴書は重いです。学生がA社以外にB社、C社にエントリーしていても大した問題じゃないけど、転職希望者の履歴書情報は本人にとっては閲覧されたくないでしょう。今所属している会社にそのことを知られたら、、、と心配している人も多いと思われます。抜かれたデータ、意外に悪用されるかもです。

原子力規制委員会 またまた情報漏洩

原子力規制委員会は1/15、同委員会が開催を予定している説明会の案内メールを送付する際に、誤送信が発生し、核燃料等使用者のメールアドレス111件が外部流出したことを明らかにしました。同委員会、これで情報漏洩3発目ですね。

2020年6月

6/2 放射線防護企画課の職員が、在宅勤務中の課内職員の個人用メールアドレス宛にメールを送信。その際、当該個人用メールアドレスに誤りがあり、第三者(1名)に誤送信してしまいました。この第三者あてに送信したメールは4月以降計48通で、個人情報も含まれていたとのこと。

2020年10月

10/27 同委員会が運用する内部情報システムがサイバー攻撃を受けたことを公表。その1か月後には非公開資料などが閲覧された可能性があることが分かった。この時点ではまだ外部との連絡にメールが使えていない状況でした。警視庁が不正アクセス禁止法違反容疑で捜査を開始したとされていましたが、、、その後新しい公表されていません。

2021年1月

そして今回1/15、メールの誤送信です。ここ半年間ほどの間に情報セキュリティ絡みの事件がこれだけ起きているのに、なんと今回の誤送信の原因、「BCC」形式で送信するべきところ「TO」形式で送信したというもの。超脱力系誤送信ですね。加えて「BCC」以外の入力がないことを複数名で確認するというルールも守られてなかったと。。。

ちなみに、、、もう少し遡ると、2019年7月にもメール誤送信により、新卒採用活動における個人情報(メールアドレス)250件の漏えいを起こしています。この時も全てのメールアドレスを「宛先(TO)」に入力して送信したためでした。。。ん~、この組織ダメみたい。