株式会社サンドラッグ 不正アクセスにより情報流出

株式会社サンドラッグは7/12、「サンドラッグ e-shop 本店及びサンドラッグお客様サイトへの不正ログインについてのお詫びとお知らせ」を公表しました。海外の IPアドレスからの不正アクセスを受け、不正にログイン、一部会員については会員情報が閲覧された可能性があるということです。

株式会社サンドラッグ

サンドラッグは、「サンドラッグ」などのドラッグストアを全国規模で展開する大手小売チェーンです。ドラッグストアは首都圏中心。国道などの幹線道路沿いに建つ郊外型店舗と駅前型店舗の2タイプを主に展開しています。売上高でみると、ウエルシアHD、ツルハHD、コスモス薬品に続く、業界第4位の企業ですね。

不正アクセスの概要

今回行われた不正ログインの手法は、他社サービスから流出した可能性のあるユーザ ID・パスワードを利用した「リスト型アカウントハッキング(リスト型攻撃)」の手法で行われていると推測しているということです。狙われたサイトは「サンドラッグ e-shop 本店」及び、「サンドラッグお客様サイト」だそうです。

7/9~7/11の間に、19,057件の顧客アカウントに不正アクセスがありました。閲覧された可能性がある会員情報は、氏名、住所、電話番号、メールアドレス、パスワード、生年月日、購入履歴、現在の保有ポイントなど。クレジットカード情報は、カード番号頭6桁及び下2桁のみ。

顧客が他社での取引で使用しているIDやパスワードを使いまわしていると、簡単に本人になりすましてアクセスされてしまうんですね。パスワードの使い回し、、、これだけ多くのネットサービスを使用していると、ついつい使いまわしてしまう気持ちはよく分かります。けど、こういうことが起きるんです。気を付けましょうね。

大阪ガス グループ投資先における火災事故の影響

少し前の話になりますが、大阪ガスは7/4、「投資先における火災の発生による当社グループへの影響について」を公表しました。同社グループの投資先であり、かつ LNG 調達先の一つであるフリーポートLNGプロジェクトの液化基地において火災が発生し、基地の操業が停止しているとのこと。

大阪ガス

大阪ガスって正式名称は「大阪瓦斯株式会社」なんですよね。「瓦斯」という漢字、もう日本で使われてないでしょうに。大阪ガスは大手都市ガス会社の一角で業界第2位。主力のガス事業では、泉北(大阪)と姫路(兵庫)でLNGを受け入れ、都市ガスを製造。関西圏の近畿2府5県83市35町を供給区域とし、ガス供給件数は503万件という会社です。

火災事故

日本時間の6/9、LNG 調達先の一つであるフリーポートLNGプロジェクトの液化基地において火災が発生し、基地の操業が停止しているとのこと。7月になって、同プロジェクトより今後の操業再開に向けた見通しとして、2022年10月上旬に部分的な操業再開を見込む旨が発表され、同プロジェクトの操業停止期間が当初見込みから延長されることになったという開示です。

火災発生当時はもっと甘い見通しを持っていたということのようですね。そのため、火災発生に関する開示はしておらず、1ヶ月経っての開示となっています。どうなんでしょうね、これ。隠ぺい体質というのは言い過ぎでしょうか。

今度は LNG(液化天然ガス)

ちょっと前まで半導体不足で大騒ぎしていましたが、なぜか当時は半導体工場の火災やら事故が相次ぎました。で、ここへきて「節電」ならぬ「節ガス」が叫ばれ始めるなか LNG(液化天然ガス)供給基地での火災事故。悪いことは続くと言いますが、もうそろそろって感じですね。

Sony オランダで従業員が不正行為?

ソニーのオランダ従業員がPS(プレイステーション)を転売して横領、、、なんていう記事をネットで見付けました。あくまでネットの記事ですので、信憑性のほどは何とも言えないんですが、もし本当ならなかなかの不正行為です。ソニーはこの件に関して開示等はしてなさそうです。

不正行為の概要

オランダの倉庫で在庫管理を任されていたソニー従業員(53)が2010年〜2018年の間に数千台のPlayStationを盗取。デパートや量販店から返品された新品も含んでおり、彼は組織的にこれらをゲーム屋に売り払う生活を送っていたということです。最新モデルのPS5は2020年の発売ですから、PS4までの時代のお話のようです。

オランダ税務調査局は推定6,500台のソニー製品が持ち出されたと見ているそうで、裁判所によれば、この男性従業員は累計120万〜140万ユーロの利益を得ていたことが判っているとのこと。現在の為替(1ユーロ=140円)で換算すると、16,800万円~19,600万円の利益。

ギャンブル依存症であるこの男性は、転売で得た利益をネットカジノに全額投じてしまっており、事件発覚時点では横領したお金は全て溶かしてしまっていたということです。まぁ、どこの国でも動機は似たようなものですね。異性への貢ぎ物、ギャンブル、遊興費・・・。検察官は懲役26ヶ月の刑罰を求めており、判決は今月21日に言い渡されるんだそう。

開示の件

既に裁判が進んでいる事案みたいですから、ソニーとしてのこの事件の開示は数年前に行われているのかもしれません。今月21日の判決をもって再度開示を行うんでしょうかね。現行機のPS5もかなり品薄が叫ばれてますし、こうした不正の動機(転売すりゃ必ず儲かる)はメチャ存在し続けてます。

アジアでのサイバー攻撃 自社で気付けない

日本経済新聞は7/8、「アジアのサイバー攻撃、4分の3が外部指摘で発見」という記事を掲載しました。日本を含むアジア太平洋地域の組織がサイバー攻撃を受けた際、76%は外部からの指摘で気づいているとの調査結果が出たということです。これ、結構ショッキングなお話です。

米セキュリティー大手、マンディアント

米セキュリティー大手、マンディアントが公表したレポートなんですが、アジア太平洋地域では自社組織内で攻撃を検知できた割合が24%、外部からの指摘で気づいたのが76%だったとのこと。ちなみに、米大陸では自社組織内での検知が60%、外部指摘が40%だったそうです。

ここでいう「外部からの指摘」とは、警察機関やセキュリティー企業からによる通知のほか、ランサムウエア(身代金要求型ウイルス)を仕掛ける犯罪集団からの脅迫状も含まれています。要するにアジアの企業では、サイバー攻撃を受けたことを自社で検知できていないということですね。

いかに早く検知するか

世界全体で攻撃者が組織内のシステムに侵入してから検知までに要した日数を調べたところ、組織内検知では平均18日程度、外部指摘では28日だったそう。攻撃への対処が10日ほど遅れることで、攻撃者が組織内のシステムを動き回り、企業の被害を拡大させることにつながります。

レポートは「アジア太平洋地域」としてまとめられているようですが、日本だけで見てもこの傾向は当てはまると思われます。システムへの投資をコストと考える傾向の強い日本では、自社システムの運用状況の監視に関しても不十分な企業が多いと思います。

このようなレポートが出れば当然、攻撃側もアジアを狙ってくるわけで、守る側も同じ感覚で防御や監視を強める必要があります。企業のシステムリスクの管理状況(経営陣の認識)を見ていると、その企業のガバナンス全体の状況が見えてくるような気がします。

この日本で元首相が撃たれる?(その2)

安倍元首相が銃撃され亡くなってしまいました。各テレビ局は特番を組んでゴールデンタイムは全てこのニュースで埋め尽くされてましたね。皆さんはどんなふうにご覧になりましたか?kuniもすべてを見たわけではありませんが、大きな違和感を覚えました。

民主主義の根幹を・・・

各メディアの伝える特番で、いやというほど聞いたのが、「民主主義の根幹を揺るがす蛮行・・・」みたいな論調。確かにおっしゃってることに間違いはないと思うのだけれど。それ以前に日本の最も優秀な政治家の命が奪われてしまったことの方を全面に出してほしかったです。

海外の元首脳や現首脳たちが口をそろえて安倍さんの政治的な手腕や人柄を褒めたたえ、彼を失ったことへの失望を嘆いているのと対称的に、日本のメディアは「民主主義の根幹を・・・」と伝えていたように感じました。日本のメディアは、それでもまだ彼を叩いてきた軸足を残したまま。そんな感じ。

犯行を誘発したのは

歴代最長政権を維持した安倍元首相。その終盤では、「もりかけ」やら「桜を見る会」など、どうでもいいような問題がメディアによって大々的に取り上げられ、視聴率のためのエサにされていました。結局日本のメディアは安倍降ろしに心血を注いできたわけです。

そうしてメディアが作り上げた安倍氏の虚像に対して、一部の国民は憎悪を抱いたのでしょう。そしてその中には、完全に壊れた奴も混じってきます。こんなふうにメディアの論調に担がれるかのように憎悪を増幅し、犯行に及んだんじゃないのか。って考えていくと、メディアの責任は重大だなと。

だから報道特番では日本の稀有な政治家安倍氏ではなく、民主主義の根幹を・・・、に置き換えて大々的に取り上げてたんじゃないかと。そんなふうに感じた次第です。あっ、それからもう一つ。20年も前に辞めてるのに、犯人を元自衛官と報道するメディアの感覚も異常としか・・・。