カテゴリー: I C T

ワコム クレジットカード情報流出

ワコムは11/21、「弊社が運営する『ワコムストア』への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ」を公表しました。しかし、適時開示は行っていません。kuniがこのことを知ったのは、日本経済新聞が記事で取り上げていたためです。

ワコム

ワコムは、映画、アニメ、オートデザイン、マンガなど様々な分野の制作現場で、電子ペンを使って、自由に文字や絵を描ける入力機器であるタブレットを製造・販売する企業です。ペンタブレット、液晶ペンタブレットなどデジタルインターフェース機器では世界シェアトップの東証プライム上場企業です。

情報流出の概要

2022年2月19日から2022年4月19日午前中の期間に「ワコムストア」で製品等を購入された顧客のクレジットカード情報が漏洩し、その対象件数は最大で1,938件になるといいます。流出したのは、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、Eメールアドレス。

さらに、過去に「ワコムストア」を利用した顧客147,545名について、2021年2月22日~2022年4月19日午前中の期間中に個人情報について、外部からアクセスが行われ漏洩した可能性があるということです。こちらはクレジットカード情報は漏れていないようです。

開示の遅さ

とにかく開示が遅い。っていうか、適時開示はしておらず、同社のホームページで公表しただけなんですが、クレジットカードが悪用されたという第一報が同社に入ったのは今年8/19のことだそうです。なにやら言い訳はしていますが、3ヶ月もこの事実を公表していません。この3ヶ月で難を逃れた人がいたはず。公表せずとも対象となる顧客一人一人に連絡するという方法はあったのでは?

大阪急性期・総合医療センター サイバー攻撃

大阪府立病院機構が運営する大阪急性期・総合医療センター(大阪市住吉区)で10/31午前に、電子カルテを管理するシステムに大規模な障害が発生し、同センターは緊急以外の手術や外来診療などを停止したと発表しました。またしてもサイバー攻撃です。

攻撃の概要

同日夜の記者会見では、「ランサムウエア(身代金要求型ウイルス)によるサイバー攻撃を受けたとみられる」と公表しています。サーバー機器の画面上に、英語で暗号資産(仮想通貨)ビットコインを要求する文言が表示されたということです。復旧のめどは立っておらず、翌日も診療の全面再開は難しいと説明していました。

徳島県 半田病院でも

2021年10月末には、徳島県つるぎ町の町立半田病院でも同様に、電子カルテを管理するサーバーが狙われました。やはりランサムウエアで、暗号化したデータを復元する代わりに身代金を要求されていましたね。同病院では身代金は払わず、約2か月かけてサーバーを復旧させています。

大阪のケースも

大半の診療が停止したままの大阪急性期・総合医療センターは11/7記者会見し、「センターに給食を納入している業者のシステムからウイルスが侵入した可能性が高い」と公表。電子カルテなどのシステム完全復旧は2023年1月になるとしています。

やはり同センターも2か月以上の期間を要すると想定しているようです。他人事じゃないですよ。全国の医療機関の皆さん。完全に防ぐことは困難ではありますが、いざという時のための備えは十分ですか?

日邦産業 グループ会社のシステム復旧のお知らせ

日邦産業株式会社は9/20、「不正アクセスを受けた当社グループ会社のシステム復旧等に関するお知らせ」を公表しました。8/29に発生した、同社ベトナム工場に対する外部からの不正アクセスについて、システムを完全に復旧し、本日より、すべての業務を再開することになった、という開示です。

4月にはマレーシア工場でも

1ヶ月弱でシステム復旧、ベトナム工場で保存していた情報が外部に流出した事実もなし。ということでスルーしていたニュースなんですが、よくよく見てみるとこの会社、今年4/8にもマレーシア工場のネットワークが第三者によって、不正アクセスを受けてるんですね。

この時も4/22には、同工場のシステムを復旧し、すべての業務を再開しています。いずれも1ヶ月以内にシステム復旧、業務再開ということで評価できる面もあろうかと思いますが、一方で何を学んだの?とか、4カ月間で他の工場の態勢強化とかできなかったの? といった疑問の方が強いですね。

一度目のマレーシア工場の時は、侵入経路を「VPN 機器の脆弱性を悪用された」と開示しているんですが、二度目のベトナム工場については「当局から秘匿するように指導を受けているため、詳細の開示は控える」としている辺りも少々怪しい感じがします。一度起きたことに対しては二度と起こさないための対応が必要ですが、マレーシア事案を受けた改善対応については一切触れられていません。

訴訟なんかも

日邦産業ってフリージア・マクロスから訴えられてるんですね。株主総会決議事項(買収防衛策)の無効を訴えるものです。わきが甘いからこういう面でも攻められちゃうんですな。4月の不正アクセス、8月の不正アクセス。同じ4月と8月に控訴されてるっていうのは、何か関係あるんでしょうかね(考えすぎだと思いますが)。

株式会社サンドラッグ 不正アクセスにより情報流出

株式会社サンドラッグは7/12、「サンドラッグ e-shop 本店及びサンドラッグお客様サイトへの不正ログインについてのお詫びとお知らせ」を公表しました。海外の IPアドレスからの不正アクセスを受け、不正にログイン、一部会員については会員情報が閲覧された可能性があるということです。

株式会社サンドラッグ

サンドラッグは、「サンドラッグ」などのドラッグストアを全国規模で展開する大手小売チェーンです。ドラッグストアは首都圏中心。国道などの幹線道路沿いに建つ郊外型店舗と駅前型店舗の2タイプを主に展開しています。売上高でみると、ウエルシアHD、ツルハHD、コスモス薬品に続く、業界第4位の企業ですね。

不正アクセスの概要

今回行われた不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しているということです。狙われたサイトは「サンドラッグ e-shop 本店」及び、「サンドラッグお客様サイト」だそうです。

7/9~7/11の間に、19,057件の顧客アカウントに不正アクセスがありました。閲覧された可能性がある会員情報は、氏名、住所、電話番号、メールアドレス、パスワード、生年月日、購入履歴、現在の保有ポイントなど。クレジットカード情報は、カード番号頭6桁及び下2桁のみ。

顧客が他社での取引で使用しているIDやパスワードを使いまわしていると、簡単に本人になりすましてアクセスされてしまうんですね。パスワードの使い回し、、、これだけ多くのネットサービスを使用していると、ついつい使いまわしてしまう気持ちはよく分かります。けど、こういうことが起きるんです。気を付けましょうね。

アジアでのサイバー攻撃 自社で気付けない

日本経済新聞は7/8、「アジアのサイバー攻撃、4分の3が外部指摘で発見」という記事を掲載しました。日本を含むアジア太平洋地域の組織がサイバー攻撃を受けた際、76%は外部からの指摘で気づいているとの調査結果が出たということです。これ、結構ショッキングなお話です。

米セキュリティー大手、マンディアント

米セキュリティー大手、マンディアントが公表したレポートなんですが、アジア太平洋地域では自社組織内で攻撃を検知できた割合が24%、外部からの指摘で気づいたのが76%だったとのこと。ちなみに、米大陸では自社組織内での検知が60%、外部指摘が40%だったそうです。

ここでいう「外部からの指摘」とは、警察機関やセキュリティー企業からによる通知のほか、ランサムウエア(身代金要求型ウイルス)を仕掛ける犯罪集団からの脅迫状も含まれています。要するにアジアの企業では、サイバー攻撃を受けたことを自社で検知できていないということですね。

いかに早く検知するか

世界全体で攻撃者が組織内のシステムに侵入してから検知までに要した日数を調べたところ、組織内検知では平均18日程度、外部指摘では28日だったそう。攻撃への対処が10日ほど遅れることで、攻撃者が組織内のシステムを動き回り、企業の被害を拡大させることにつながります。

レポートは「アジア太平洋地域」としてまとめられているようですが、日本だけで見てもこの傾向は当てはまると思われます。システムへの投資をコストと考える傾向の強い日本では、自社システムの運用状況の監視に関しても不十分な企業が多いと思います。

このようなレポートが出れば当然、攻撃側もアジアを狙ってくるわけで、守る側も同じ感覚で防御や監視を強める必要があります。企業のシステムリスクの管理状況(経営陣の認識)を見ていると、その企業のガバナンス全体の状況が見えてくるような気がします。