カテゴリー: I C T

LINEアプリの利用者情報など 計40万件超の個人情報が流出?

LINEヤフーは11/27、サーバーがサイバー攻撃を受け、LINEアプリの利用者情報など計40万件超の個人情報が流出した可能性があると発表しました。大株主である韓国ネット大手ネイバーと一部の社員向けシステムを共通化しており、同社が攻撃を受けたことでLINEヤフーのサーバーも不正アクセスを受けたとのこと。

LINEヤフー

LINEヤフーはポータルサイトの「Yahoo!JAPAN」や各種ECサイトの運営、そして各サイトの広告枠販売を中核事業とする総合ネットサービス大手。以前のZホールディングスですね。2021年にLINEと経営統合。22年にPayPayを連結子会社化。23年10月に同社、LINE、ヤフーなどとの合併を含むグループ内再編を行い、LINEヤフーへ社名変更しています。

とうとうやっちまったか

LINEヤフーが不正アクセスを確認したのは10月中旬とのこと。旧ZHDや旧ヤフーの個人情報は流出していないようで、流出したのは、個人を特定できない範囲でのLINE利用者の年代や性別、LINEスタンプの購入履歴の情報などとしています。LINE内でやり取りしたメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないそうです。

もともと韓国にサーバーが設置されており、日本人の個人情報がダダ洩れしてる、なんて陰謀論的な話も昔からありましたが、とうとう本当に情報漏えいです。2021年、2023年にも情報漏洩もどきが起きている同社ですので、今回は間違いなく行政処分ですかね。

全銀ネット障害 送金255万件に影響

10/10から2日間、金融機関同士の資金のやり取りを担う全国銀行資金決済ネットワーク(全銀ネット)のシステムで障害が発生しました。三菱UFJ銀行やりそな銀行など10の金融機関で他行宛ての振り込みができなくなり、合計255万件の送金が滞りました。復旧したのは10/12です。

全銀ネット

全銀ネットはNTTデータにより1973年に開発され、これまで極めて安全性・信頼性の高いシステムとして順調に稼働してきました。その取扱量や加盟金融機関数等において世界に例を見ないシステムとして世界から評価されています。そのシステムでおそらく初めてとなる大規模障害だったんです。

他行あての振り込みなど一部の取引ができなくなる障害が発生したのは、三菱UFJ銀行、りそな銀行、埼玉りそな銀行、関西みらい銀行、山口銀行、北九州銀行、三菱UFJ信託銀行、日本カストディ銀行、もみじ銀行、商工組合中央金庫の10行の銀行だそうです。

全ての銀行ではなく、上記の一部の銀行で発生していることから、全銀システムそのものではなく、そこから中継されるシステムで障害が起きたことが分かると思います。今のところ報道等では、「システムの不具合は、全銀システムとつなぐために各金融機関に2台ずつある中継コンピューターで起きたとされています。

事業者さんへの影響は

255万件の送金が滞ったということですが、企業の決済や給与の振り込みが集中する「5・10日」に発生していることもあり、事業者への影響は心配です。インフレで事業が行き詰っているような時世で、この障害が引き金になって会社をたたむことになった事業者さん、、、どのくらいあるんだろうね。

富士通子会社のシステム 住民票の写しなど証明書誤交付

富士通100%子会社の富士通Japanは3/30、住民票の写しなど公的証明書をコンビニで交付する同社のサービスで27日に障害が発生し、横浜市で、申請者とは違う住民の証明書が発行されたと発表しました。

富士通Japan

富士通Japanは富士通の100%子会社で、自治体、医療・教育機関、および民需分野のソリューション・SI、パッケージの開発から運用までの一貫したサービスを提供する企業。AIやクラウドサービス、ローカル5Gなどを活用したDXビジネスの推進も。非上場企業ですが、売上高は6,000億円に迫ります。従業員数もなんと10,000人。

障害の概要

障害が起きたのは、横浜市のマイナンバーカードを使ってコンビニで住民票の写しや印鑑登録証明書などを交付できるサービス。3/27、3/28の両日で、申請者とは別人の住民票の写しを誤って交付してしまった例が5件(11人分)あったといいます。

そしてさらに、5/1には足立区でも同様の障害が確認されました。誤発行は3人分の住民票写しと、1人分の印鑑登録証明書の計2件で、いずれも足立区内のコンビニで3〜4月に発生したということです。横浜市で発生した誤交付を受けて、富士通ジャパンが他の自治体向けのサービスも点検して判明しました。

他の自治体向けサービスの点検は4月末で完了し、足立区以外の不具合はないとのこと。事実上の終結宣言ですが、マイナンバーカードやら個人の公的証明、かなり皆さん敏感な対象だけに、、、この誤交付はいただけません。親会社の富士通からも何ら開示がされてないってのも気になります。

ソースネクスト 12万件の個人情報漏洩?

ソースネクストは2/14、「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。個人情報120,982件(顧客のクレジットカード情報112,132件含む)が漏えいした可能性があることが判明したということです。

ソースネクスト

ソースネクストはパソコン用ソフト、スマホ用アプリ、IoT製品の開発・販売を手がける企業。主な製品として、「ウイルスセキュリティZERO」などのセキュリティ対策ソフト、「筆王」などのハガキ作成ソフト、Androidスマホ向けアプリ、IoT製品の「POCKETALK(ポケトーク)」などを持っています。

不正アクセスの概要

個人情報が最大12万件漏洩した可能性があるということなんですが、そのうち11万件がクレジットカード情報も洩れてるかも、という事態だそう。さらに、このクレカ情報については、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」が含まれているようです。おいおい、セキュリティ対策をビジネスにしている会社がかよ。

決算発表

不正アクセスによる情報漏えいを同社ホームページでひっそり公表した同日、適時開示では第3四半期の決算発表も行っています(つまり漏えいの事実は適時開示していない)。こちらも酷いことになっていて、業績予想を下方修正。発表翌日の2/15の株価は225円、45円安となっています。

2023年3月期はボロボロ。そこに個人情報漏えいに対する新たな損失が加わってくるとすると、いったいどんなことになっていくんでしょう。同社のセキュリティソフトも年賀状ソフトも使ったことあるぞ。またkuniの情報があちこちに売られるのか・・・?いい加減にしろや。

アダストリア サイバー攻撃(その2)

昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。

ちょっと矛盾した書きぶり

第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。

本来は、原因(脆弱だった箇所)や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う(まだよく分かっていないことがある?)、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。

確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話(原因や経路)は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。

であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。