サイバーセキュリティ | kuniの経済徒然日記

LINEアプリの利用者情報など　計40万件超の個人情報が流出？

LINEヤフーは11/27、サーバーがサイバー攻撃を受け、LINEアプリの利用者情報など計40万件超の個人情報が流出した可能性があると発表しました。大株主である韓国ネット大手ネイバーと一部の社員向けシステムを共通化しており、同社が攻撃を受けたことでLINEヤフーのサーバーも不正アクセスを受けたとのこと。

LINEヤフー

LINEヤフーはポータルサイトの「Yahoo!JAPAN」や各種ECサイトの運営、そして各サイトの広告枠販売を中核事業とする総合ネットサービス大手。以前のZホールディングスですね。2021年にLINEと経営統合。22年にPayPayを連結子会社化。23年10月に同社、LINE、ヤフーなどとの合併を含むグループ内再編を行い、LINEヤフーへ社名変更しています。

とうとうやっちまったか

LINEヤフーが不正アクセスを確認したのは10月中旬とのこと。旧ZHDや旧ヤフーの個人情報は流出していないようで、流出したのは、個人を特定できない範囲でのLINE利用者の年代や性別、LINEスタンプの購入履歴の情報などとしています。LINE内でやり取りしたメッセージの内容や利用者の銀行口座、クレジットカードなどの情報流出は確認されていないそうです。

もともと韓国にサーバーが設置されており、日本人の個人情報がダダ洩れしてる、なんて陰謀論的な話も昔からありましたが、とうとう本当に情報漏えいです。2021年、2023年にも情報漏洩もどきが起きている同社ですので、今回は間違いなく行政処分ですかね。

NTTドコモの顧客情報流出　利用者の個人情報　約596万件

日本経済新聞は7/23、「ドコモ顧客情報、委託先で流出疑い　元派遣社員を書類送検」と報じました。これ（情報流出の事実）ってすでに公表されてたのかな？全然知りませんでした。警視庁は22日までに、同社の内部情報を不正に持ち出したとして、業務委託先の元派遣社員で20代の男を不正競争防止法違反（営業秘密領得）容疑で書類送検しました。

NTTネクシア

容疑者の男は、NTTネクシア（札幌市）の元派遣社員。容疑は3月30日、不正に利益を得る目的で自分の業務用パソコンを使い、顧客情報を含む営業データを外部にアップロードして持ち出した疑いだそう。

NTTも、NTTドコモも今のところこの事実についてなんら公表してないようですが、NTTネクシアのホームページでは7/21付けで、「弊社元派遣社員による委託元お客さま情報の不正流出について（お詫び）」が掲載されています。

お問い合わせ先も記載されてるんですが、専用ダイヤルは「ネクシア特設ダイヤル」となっていて・・・。こんなHPにひっそりあげててもしょうがないだろうに。驚いた顧客がNTTドコモに問い合わせたらネクシアにたらいまわしかな？

もちろん、ドコモにしてみれば被害者なわけで、気持ちは分からなくもないんですが、自社の大切な顧客の情報。ドコモが先頭に立って顧客対応するべきだと思うのですが。

ちなみに、3/30に顧客データが違法にアップロードされた場面については、業務では行うことがない外部への通信が発生したとして、ドコモのネットワーク監視が検知していたそうです。

オーハシテクニカ　海外子会社における資金流出事案

オーハシテクニカは6/15、「当社海外子会社における資金流出事案に関する調査結果及び再発防止策の策定並びに役員報酬の一部自主返上に関するお知らせ」を公表しました。4/25に、「当社海外子会社における資金流出事案について」、を公表してたんですね。見落としていました。

オーハシテクニカ

オーハシテクニカは、エンジン部品など数万点に及ぶ自動車関連部品を主体に、携帯電話機用ヒンジ（ちょうつがい部品）、ゲーム機用ヒンジ等の情報・通信関連部品の設計開発、製造、販売、物流業務を行う独立系サプライヤー。東証プライム上場企業です。

事案の概要

海外子会社であるメキシコ法人の代表者が、親会社代表者の代理人を騙る悪意ある第三者から M&A 案件に係る資金を内密かつ緊急に送金するよう虚偽の指示を受け、3 月 30 日から 4 月 3 日の間、3 回に渡り合計 2,094 千米ドル（約280 百万円）の送金を実行し、資金を流出させたというもの。

子会社代表者が単独で送金手続を実行したもので、他の当該子会社及び同社グループ役職員が本事案へ関与した事実や、当事者が関与した不正行為である可能性も認められなかったとしています。ビジネスメール詐欺だったの？

調査と開示のあり方

調査にあたったのは、社外取締役を責任者とし、外部の弁護士を含む「調査・対策チーム」だそう。社外取締役にしても、外部の弁護士にしても、同社に都合の良い理屈や結論をいくらでも用意するだろうし、こんな対応で良かったんでしょうかね。

百歩譲って良かったとしても、調査結果の開示内容があまりに抽象的過ぎ。なんでこんなアホみたいな詐欺に引っかかったのか、が理解ができません。役員報酬も返上して、とにかくさっさと幕を引きたかったんでしょうけど・・・。こんなんじゃダメでしょ。

またトヨタ　クラウド設定ミスで215万人分の顧客情報漏えい

トヨタ自動車は5/12、「クラウド環境の誤設定によるお客様情報の漏洩可能性に関するお詫びとお知らせについて」を公表しました。例によってホームページでひっそりと。子会社トヨタコネクティッドが管理する顧客約215万人分のデータの一部が、誤ってインターネット上で外部から10年近く閲覧できる状態になっていたとのこと。

事案の概要

トヨタのお知らせによると、「トヨタコネクティッド株式会社に管理を委託するデータの一部が、クラウド環境の誤設定により、公開状態となっていた」ということです。外部より閲覧された可能性がある顧客情報は、車載端末ID、車台番号、車両の位置情報、時刻などで、約215万人分だそう。

外部からアクセスできる状態にあった期間は2013年11月6日～2023年4月17日。なんと約10年にわたってです。トヨタは、「これらのデータのみでは、お客様が特定されるものではない」としていますが、だから問題ないというものではありません。

昨年10月に

トヨタでは22年10月にも、顧客約29万6000人分のデータが閲覧できる状態になっていたことが判明しています。メールアドレスや顧客を管理するための番号で、開発の委託先企業がプログラムを誤って公開設定にしていたことが原因だったとしていました。

当時、クラウドにおけるアクセス設定のミスによる情報漏えい問題が多発しており、総務省が、「クラウド設定ミス対策のガイドライン」を公表するなどの騒ぎになっていました。そのような状況下でトヨタでも上記の問題が発覚しています。

問題は何故この時、10年も続いていた誤設定については見逃してしまっていたのかというところです。その辺りについてはトヨタも一切触れていません。やっぱりダメですか、この会社。

ソースネクスト　12万件の個人情報漏洩？

ソースネクストは2/14、「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。個人情報120,982件（顧客のクレジットカード情報112,132件含む）が漏えいした可能性があることが判明したということです。

ソースネクスト

ソースネクストはパソコン用ソフト、スマホ用アプリ、IoT製品の開発・販売を手がける企業。主な製品として、「ウイルスセキュリティZERO」などのセキュリティ対策ソフト、「筆王」などのハガキ作成ソフト、Androidスマホ向けアプリ、IoT製品の「POCKETALK（ポケトーク）」などを持っています。

不正アクセスの概要

個人情報が最大12万件漏洩した可能性があるということなんですが、そのうち11万件がクレジットカード情報も洩れてるかも、という事態だそう。さらに、このクレカ情報については、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」が含まれているようです。おいおい、セキュリティ対策をビジネスにしている会社がかよ。

決算発表

不正アクセスによる情報漏えいを同社ホームページでひっそり公表した同日、適時開示では第3四半期の決算発表も行っています（つまり漏えいの事実は適時開示していない）。こちらも酷いことになっていて、業績予想を下方修正。発表翌日の2/15の株価は225円、45円安となっています。

2023年3月期はボロボロ。そこに個人情報漏えいに対する新たな損失が加わってくるとすると、いったいどんなことになっていくんでしょう。同社のセキュリティソフトも年賀状ソフトも使ったことあるぞ。またkuniの情報があちこちに売られるのか・・・？いい加減にしろや。