サイバーセキュリティ | kuniの経済徒然日記

NTTドコモの顧客情報流出　利用者の個人情報　約596万件

日本経済新聞は7/23、「ドコモ顧客情報、委託先で流出疑い　元派遣社員を書類送検」と報じました。これ（情報流出の事実）ってすでに公表されてたのかな？全然知りませんでした。警視庁は22日までに、同社の内部情報を不正に持ち出したとして、業務委託先の元派遣社員で20代の男を不正競争防止法違反（営業秘密領得）容疑で書類送検しました。

NTTネクシア

容疑者の男は、NTTネクシア（札幌市）の元派遣社員。容疑は3月30日、不正に利益を得る目的で自分の業務用パソコンを使い、顧客情報を含む営業データを外部にアップロードして持ち出した疑いだそう。

NTTも、NTTドコモも今のところこの事実についてなんら公表してないようですが、NTTネクシアのホームページでは7/21付けで、「弊社元派遣社員による委託元お客さま情報の不正流出について（お詫び）」が掲載されています。

お問い合わせ先も記載されてるんですが、専用ダイヤルは「ネクシア特設ダイヤル」となっていて・・・。こんなHPにひっそりあげててもしょうがないだろうに。驚いた顧客がNTTドコモに問い合わせたらネクシアにたらいまわしかな？

もちろん、ドコモにしてみれば被害者なわけで、気持ちは分からなくもないんですが、自社の大切な顧客の情報。ドコモが先頭に立って顧客対応するべきだと思うのですが。

ちなみに、3/30に顧客データが違法にアップロードされた場面については、業務では行うことがない外部への通信が発生したとして、ドコモのネットワーク監視が検知していたそうです。

オーハシテクニカ　海外子会社における資金流出事案

オーハシテクニカは6/15、「当社海外子会社における資金流出事案に関する調査結果及び再発防止策の策定並びに役員報酬の一部自主返上に関するお知らせ」を公表しました。4/25に、「当社海外子会社における資金流出事案について」、を公表してたんですね。見落としていました。

オーハシテクニカ

オーハシテクニカは、エンジン部品など数万点に及ぶ自動車関連部品を主体に、携帯電話機用ヒンジ（ちょうつがい部品）、ゲーム機用ヒンジ等の情報・通信関連部品の設計開発、製造、販売、物流業務を行う独立系サプライヤー。東証プライム上場企業です。

事案の概要

海外子会社であるメキシコ法人の代表者が、親会社代表者の代理人を騙る悪意ある第三者から M&A 案件に係る資金を内密かつ緊急に送金するよう虚偽の指示を受け、3 月 30 日から 4 月 3 日の間、3 回に渡り合計 2,094 千米ドル（約280 百万円）の送金を実行し、資金を流出させたというもの。

子会社代表者が単独で送金手続を実行したもので、他の当該子会社及び同社グループ役職員が本事案へ関与した事実や、当事者が関与した不正行為である可能性も認められなかったとしています。ビジネスメール詐欺だったの？

調査と開示のあり方

調査にあたったのは、社外取締役を責任者とし、外部の弁護士を含む「調査・対策チーム」だそう。社外取締役にしても、外部の弁護士にしても、同社に都合の良い理屈や結論をいくらでも用意するだろうし、こんな対応で良かったんでしょうかね。

百歩譲って良かったとしても、調査結果の開示内容があまりに抽象的過ぎ。なんでこんなアホみたいな詐欺に引っかかったのか、が理解ができません。役員報酬も返上して、とにかくさっさと幕を引きたかったんでしょうけど・・・。こんなんじゃダメでしょ。

またトヨタ　クラウド設定ミスで215万人分の顧客情報漏えい

トヨタ自動車は5/12、「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」を公表しました。例によってホームページでひっそりと。子会社トヨタコネクティッドが管理する顧客約215万人分のデータの一部が、誤ってインターネット上で外部から10年近く閲覧できる状態になっていたとのこと。

事案の概要

トヨタのお知らせによると、「トヨタコネクティッド株式会社に管理を委託するデータの一部が、クラウド環境の誤設定により、公開状態となっていた」ということです。外部より閲覧された可能性がある顧客情報は、車載端末ID、車台番号、車両の位置情報、時刻などで、約215万人分だそう。

外部からアクセスできる状態にあった期間は2013年11月6日～2023年4月17日。なんと約10年にわたってです。トヨタは、「これらのデータのみでは、お客様が特定されるものではない」としていますが、だから問題ないというものではありません。

昨年10月に

トヨタでは22年10月にも、顧客約29万6000人分のデータが閲覧できる状態になっていたことが判明しています。メールアドレスや顧客を管理するための番号で、開発の委託先企業がプログラムを誤って公開設定にしていたことが原因だったとしていました。

当時、クラウドにおけるアクセス設定のミスによる情報漏えい問題が多発しており、総務省が、「クラウド設定ミス対策のガイドライン」を公表するなどの騒ぎになっていました。そのような状況下でトヨタでも上記の問題が発覚しています。

問題は何故この時、10年も続いていた誤設定については見逃してしまっていたのかというところです。その辺りについてはトヨタも一切触れていません。やっぱりダメですか、この会社。

ソースネクスト　12万件の個人情報漏洩？

ソースネクストは2/14、「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。個人情報120,982件（顧客のクレジットカード情報112,132件含む）が漏えいした可能性があることが判明したということです。

ソースネクスト

ソースネクストはパソコン用ソフト、スマホ用アプリ、IoT製品の開発・販売を手がける企業。主な製品として、「ウイルスセキュリティZERO」などのセキュリティ対策ソフト、「筆王」などのハガキ作成ソフト、Androidスマホ向けアプリ、IoT製品の「POCKETALK（ポケトーク）」などを持っています。

不正アクセスの概要

個人情報が最大12万件漏洩した可能性があるということなんですが、そのうち11万件がクレジットカード情報も洩れてるかも、という事態だそう。さらに、このクレカ情報については、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」が含まれているようです。おいおい、セキュリティ対策をビジネスにしている会社がかよ。

決算発表

不正アクセスによる情報漏えいを同社ホームページでひっそり公表した同日、適時開示では第3四半期の決算発表も行っています（つまり漏えいの事実は適時開示していない）。こちらも酷いことになっていて、業績予想を下方修正。発表翌日の2/15の株価は225円、45円安となっています。

2023年3月期はボロボロ。そこに個人情報漏えいに対する新たな損失が加わってくるとすると、いったいどんなことになっていくんでしょう。同社のセキュリティソフトも年賀状ソフトも使ったことあるぞ。またkuniの情報があちこちに売られるのか・・・？いい加減にしろや。

アダストリア　サイバー攻撃（その2）

昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。

ちょっと矛盾した書きぶり

第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。

本来は、原因（脆弱だった箇所）や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う（まだよく分かっていないことがある？）、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。

確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話（原因や経路）は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。

であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。