タグ: サイバーセキュリティ

アダストリア 個人情報104万件流出か

アダストリアは1/24、「当社サーバーへの不正アクセス発生について(第二報) お客さまの個人情報流出の可能性に関するお知らせとお詫び」を公表しました。同社が管理運用するサーバーが第三者による不正アクセスを受け、約104万件の個人情報が流出した可能性があるとのこと。

アダストリア

アダストリアは、カジュアルファッション専門店チェーン。主力ブランドに「グローバルワーク」、「ニコアンド」、「ローリーズファーム」等があるんだそう。20~30代向け女性をターゲットとした複数ブランド店アパレルに加え、生活雑貨や化粧品、飲食店など多様な分野で事業を展開する企業です。合計1,544店舗を運営しているといいますから、かなりの規模ですね。

不正アクセスの概要

1/18に不正アクセスを確認し、19日には第一報を公表しています。その後、外部専門機関の協力のもと、影響範囲の特定、原因や侵入経路の調査、復旧作業等の対応を開始し、既に警察へも相談しているとのこと。

そして、24日の第2報で、「サーバー等に保存されているお客さまの個人情報流出の可能性を完全に否定できないことが判明した」と公表しました。流出した可能性があるのは、「個人情報 1,044,175件(氏名・住所・電話番号・メールアドレス・会員識別番号)」だそうです。クレジットカード情報などの決済情報は含まれていないとのこと。

しかし、電話番号やメールアドレスが流出していると、該当する人は大変なのよ。漏れた情報はどこかで売買等され、それを手に入れた悪党から、毎日のように身に覚えのない「取引等を確認してください」みたいなフィッシングメールが届くようになります。コレ、マジでシャレになりません。

日本へのサイバー攻撃 3年間で倍増

少し前になりますが1/22付け日本経済新聞の1面に、「サイバー攻撃、日本に矛先 攻撃数3年で倍増 対応丸投げ、脆弱性放置」という記事がありました。あれだけランサムウエア攻撃などを受けた企業のニュースが流れるなか、日本企業の対応の遅さはいまだに解消してないようです。

3年間で倍増

記事で取り上げていた「3年間で倍増」というのは、「警察庁が公表した22年1~6月に検知された不審なアクセス通信」のことを指しているようで、実際に被害につながった件数ではありません。防御ができているから被害に繋がらなかった不審なアクセスも含んでるわけですね。

とはいえ、狙われてるのは事実

記事の書きぶりがやや誤解させそうなものとなっていますが、日本企業への攻撃は今後も増加すると思われます。記事では「IT(情報技術)開発のベンダーへの丸投げが多く、サイバー防衛への当事者意識が希薄」であることをその要因として指摘しています。この点については異論はありません。

では、丸投げせず、当事者意識をしっかり持つ、、、ためには何が必要なんでしょう。これは前にも書いたことありますが、システム関係費用をコストと考えないということに尽きると思います。これ、今の世の中、コストではなく「最重要な資源」と考えるべきなんです。

コストと考えるから経営は「削減」という方向を意識(検討)しますが、経営目標を達成するための重要な資源という認識になれば、「投資」を意識することができるでしょう。そうすることで日経が指摘する当事者意識も向上し、ベンダーへの丸投げを止めて、自社でのシステム要員育成といった方向付けも可能になります。

ということで、DXしかり、サイバーセキュリティしかり。経営陣の意識(コストから資源へ)の改革が一番重要ということです。

Amazon 楽天などからのフィッシングメールに注意

タイトル通り、各社からのフィッシングメールが急増中です。っていうか、kuniのところへ似たようなフィッシングメールがバンバン届いてるんです。最近のフィッシングメールは日本語もかなりまともな表記がされており、見てすぐに偽物とわかるようなメールではありません。困ったものです。

おさらい

フィッシングメールというのは、フィッシング詐欺とも呼ばれ、実在する企業やサービスを装ったメールを送りつけ、登録情報の確認などの名目で、IDやパスワード、クレジットカード番号などの個人情報を窃取する悪質な詐欺です。

「登録しているクレジットカードの期限が切れてる」とか、「通常とは異なる、カード等の不審な利用が確認されたため」といった理由で、フィッシングサイトへ誘導。そこで確認のためとかと称して、IDやパスワードを再入力させてその情報を抜き取ろうとします。

最近の傾向

昔のようにメールの日本語がちょっと変みたいなことはもうありません。全然マトモです。加えてメール差出人に実在するサービスのメールアドレス (ドメイン) を使用したものまで。正直メールの内容等をチェックしても本物のメールにしか見えないんです。マジで困ったもんです。

対策

上記のような理由で、あなたを惑わせるようなメール(SMSも同様)が届いた場合、当該業者の信頼できるサイトにアクセスし、本当にその業者が送信したメールかどうかを確認しましょう。例えばAmazonの場合、Amazonにログインし、右上の「アカウント&リスト」に入ります。「メッセージセンター」をクリックすると、Amazonがあなたに向けて発信したメールの一覧が現れます。

この中に怪しいメールが含まれていなかったら、それはフィッシングメールということになるわけです。皆さん気を付けましょうね。(追伸)、、、直近のフィッシングメールの特徴。とにかくしつこい。何回も同じ内容のメールを送り付けてきます。根競べです。

ラック 金融犯罪をAI技術で検知

ダイヤモンドオンラインで「金融犯罪の知見を最新AI技術に搭載し驚異の不正取引検知率を実現」という記事を読みました。様々な金融取引において、AI技術を駆使して異常取引、不正取引を非常に高い確率で検知するという技術の紹介記事です。

株式会社ラック

ラックは情報セキュリティ分野の各種サービス、およびシステムの開発などを法人向けに提供するITサービス企業です。ネットワークセキュリティ分野では、官公庁や大手企業を中心とした豊富な実績を有している東証スタンダード上場企業です。以前当ブログでは、同社の応札に関する不正を取り上げたことがありました。

最近めちゃくちゃ増えました

ちょっと脱線、個人的な話ですが、最近怪しいメールが非常に増えていて困っています。Amazonや楽天、三井住友カードなどから、「異常な取引を検知したから」とか、「カードの有効期限がどうのこうの」って理由でサイトにアクセスさせて、kuniの個人情報を抜き取ろうとするメールだと思われます。以前と違ってまあしつこいこと。

AIで検知

ラックのこの技術はこうしたフィッシング詐欺とはちょっと違って、取引先や経営幹部を装って送金を指示するビジネスメール詐欺や、本人になりすましてATMを操作する不正な金融取引を対象としたものと思われますが、とにかく金融周りの不正を未然に防止する、起きたとしても最小限で食い止める機能は非常に重要です。

AIを使ったシステムで、従来は60%程度だった不正の検知率を94%まで向上させるという技術、素晴らしいです。このような社会課題を解決する企業、kuniも応援したいと思いました。詳細は書けませんでしたが、このダイヤモンドオンラインの記事、推奨です。

ワコム クレジットカード情報流出

ワコムは11/21、「弊社が運営する『ワコムストア』への不正アクセスによる 個人情報漏洩に関するお詫びとお知らせ」を公表しました。しかし、適時開示は行っていません。kuniがこのことを知ったのは、日本経済新聞が記事で取り上げていたためです。

ワコム

ワコムは、映画、アニメ、オートデザイン、マンガなど様々な分野の制作現場で、電子ペンを使って、自由に文字や絵を描ける入力機器であるタブレットを製造・販売する企業です。ペンタブレット、液晶ペンタブレットなどデジタルインターフェース機器では世界シェアトップの東証プライム上場企業です。

情報流出の概要

2022年2月19日から2022年4月19日午前中の期間に「ワコムストア」で製品等を購入された顧客のクレジットカード情報が漏洩し、その対象件数は最大で1,938件になるといいます。流出したのは、クレジットカード名義人名、クレジットカード番号、有効期限、セキュリティコード、Eメールアドレス。

さらに、過去に「ワコムストア」を利用した顧客147,545名について、2021年2月22日~2022年4月19日午前中の期間中に個人情報について、外部からアクセスが行われ漏洩した可能性があるということです。こちらはクレジットカード情報は漏れていないようです。

開示の遅さ

とにかく開示が遅い。っていうか、適時開示はしておらず、同社のホームページで公表しただけなんですが、クレジットカードが悪用されたという第一報が同社に入ったのは今年8/19のことだそうです。なにやら言い訳はしていますが、3ヶ月もこの事実を公表していません。この3ヶ月で難を逃れた人がいたはず。公表せずとも対象となる顧客一人一人に連絡するという方法はあったのでは?