不正アクセス | kuniの経済徒然日記

三菱電機　子会社で不正アクセスによる情報流出

三菱電機は10/22、「不正アクセスによる情報流出について」を公表しました。三菱電機が管理するネットワークが第三者から不正アクセスを受け、三菱電機インフォメーションシステムズ株式会社の国内の顧客に関する情報の一部が外部に流出したということです。

またまた

今国内であの青い銀行と競うように不正・不祥事を連発する三菱電機。またまたやらかしました。情報が抜かれてしまったのは三菱電機インフォメーションシステムズ。10/8に通常とは異なる海外からのアクセスを検知し、10/18に流出した情報を特定したとのこと。

プレスリリースを読むといかにも子会社の問題のように見えたりするんですが、あくまでこのネットワークを管理しているのは三菱電機ですね。よろしくないニュースが止まりません。まぁ、幸い三菱電機インフォメーションシステムズは B to B の会社のようですから、流出した情報は個人情報ではなさそうです。

三菱電機インフォメーションシステムズ

親会社のネットワークに相乗りしてたら情報を抜かれてしまったんですが、この会社もセキュリティに関する事業もやっていて、「ネットワーク機器の構成情報を元に、ネットワークの可視化、セキュリティ分析・強化を行えるソリューション」なんてのも売りになってます。

「Webサーバ上で動作するアプリケーションに存在する脆弱性を検出するサービス」なんてのもあります。自社が管理してなかったかもしれませんが、それにしてもこういう会社がアッサリ情報を抜かれてしまうというのはシャレになりませんね。

なお、三菱電機によると、攻撃者のIPアドレスは特定してるようですが、どの国の誰が不正アクセスを行ったかについては、企業防衛のために公開しない方針だそうです。ん？、ってことは、公開しちゃうと報復攻撃を受けそうな相手ということですか。

株式会社キャンディル　子会社ECサイトでクレジットカード情報漏洩

株式会社キャンディルは7/20、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」を公表しました。子会社のキャンディルデザインが運営する「ECサイトプロショップ匠」が不正アクセスを受け、クレジットカード情報（4,040件）が漏洩したようです。

キャンディル

キャンディルは建材・家具等の補修材及びメンテナンス剤の卸売業者です。2018年に上場を果たしていて、従業員数は連結ベースでも600人以下という小ぶりな企業です。

事件の概要

「ECサイトプロショップ匠」が第三者による不正アクセスを受け、顧客のクレジットカード情報（4,040件）が漏洩した可能性があるということなんですね。で、漏洩した情報が、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」となっています。

これだけ情報が揃えば、どこのECサイトでも本人になりすまして買い物できちゃいます。実際に、開示の中でも「一部のお客様のクレジットカード情報が不正利用された可能性があることを確認した」とあります。

開示の遅さ

実はこの不正アクセスによる漏えい、今年1/26に判明しています。第三者調査機関による調査も4/2に完了しています。で、開示が7月という遅さ。公表が遅れた経緯について、同社は次のように説明しています。この対応は正しいと言えるんですかね。

「決済代行会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。」

婚活アプリのネットマーケティング　会員情報の一部流出に伴う特別損失を計上

婚活アプリのネットマーケティングは7/16、「特別損失の計上及び通期業績予想の修正に関するお知らせ」を公表しました。会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上する見込みとなったとのこと。

情報流出

5/21、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、171万件にのぼる会員情報の一部が流出した可能性が高いという事故でしたね。

その翌々日には、コーポレートサイトの管理システムの不具合により、他の顧客の記載内容の一部が、別の顧客から閲覧できる状況になっていたという事故も起きていました。

特別損失　業績予想修正

で、同社のメディア事業における「Omiai」サービスの会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上することに。顧客からの問い合わせ対応窓口設置・運営及びシステム調査並びに情報セキュリティ対策等に係る費用ということです。

この開示では、通期業績予想の修正も行われているんですが、96百万円の特別損失を計上したうえで、経常利益192百万円、当基準利益で66百万円の増益修正となりました。

「Omiai」サービスにおける新規会員獲得を目的とするデジタル広告の出稿を全面的に一時休止。この措置に伴い広告費が削減された結果、販売促進費が当初想定を下回ったことにより増益となったようです。皮肉な結果ですね。

ただし、この開示を受けて株価はあらためて売りなおされています。直前に上昇していたからですかね。これまた皮肉な結果です。

PR TIMES　発表前情報への不正アクセス発生

PR TIMESは7/9、「PR TIMES、発表前情報への不正アクセスに関するお詫びとご報告」を公表しました。不正アクセスにより、公表直前のプレスリリース情報が不正に取得されていたとのこと。不正アクセスによる被害は毎日のように聞こえてきますが、この事件は特別かも。

PR TIMES

同社はプレスリリース、ニュースリリースの配信サービス会社です。月間5200万PV、国内最多のプレスリリース件数　月間21,000件、上場企業の40％超が利用、、、などと宣伝されてます（同社ホームページにて）。

東証が運営するTDnetの民間版といったところでしょうか。ざっと眺めた感じでは適時開示よりは、もっと砕けた感じというか、誰かに伝えたいことであればなんでも発信できる媒体といった感じですね。

以前当ブログでも取り上げましたね、売り上げの期間帰属の適正性に疑義があるとして決算発表を延期したベクトルという会社の子会社です。毎期売り上げがものすごい勢いで伸びている成長真っ盛りの企業です。

不正アクセスの概要

特定IPアドレスから不正アクセスを受け、会員企業13社14アカウントのプレスリリース230件に紐づく画像データ230点と、同13社のうち会員企業4社のプレスリリース28件に紐づくドキュメント28点だそうです。

少し砕けた感じの情報とはいえ、決算短信を検索してみるとちゃんと出てきますし、公表前情報にアクセスできたというのは、これは大きな問題です。公表前の好決算を利用して株式市場で大きく儲けていた、なんてことになると、インサイダー取引ですし、かなりのインパクトになりますね。

今回の開示では漏えいした情報の内容については触れていません。ここ、一番知りたいところなんですけどね。

岡藤日産証券HD　不正アクセスの被害公表　トレードワークスも

岡藤日産証券ホールディングスは6/10、「不正アクセスによるオンライントレードシステムの障害発生に関するお知らせ（4）」を公表しました。やはり、システムをASPで提供しているのはトレードワークスだったようで、同社も同日、「当社提供システムにおける不正アクセス事象の調査結果のご報告」を公表しています。

被害の状況

第三者の外部専門機関による調査を行った結果、これまで実施した調査においては、情報へのアクセスや収集、内外部への転送等、流出を示唆する痕跡は確認できなかったということです。以下、判明している事実です。

不正アクセスの状況全般、データ通信記録、個人情報の保管状況、及びデータ流出経路の可能性の考察の結果、不正アクセスにより暗号化されたファイルに個人情報は含まれていなかった。

持ち出し可能であったデータは存在するものの、これらが持ち出されたという痕跡は確認されなかった。データベースに保管された個人情報が持ち出された可能性は極めて低いものであると考えられる。

システムの状況

ファイルを暗号化されるという被害はあったものの、個人情報は無傷で、持ち出された可能性もほぼなし。どうやらそういうことのようです。まぁ、不幸中の幸いでしたね。

ただし、その後のシステムの状況についてですが、「システム復旧、サービス再開時期につきましては、決定次第、改めてお知らせいたします。」となっています。トレードシステムはまだ復旧してないんですね。