不正アクセス | kuniの経済徒然日記

モブキャストホールディングス　ゆとりの空間で個人情報漏洩

モブキャストホールディングスは3/31、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。同社の子会社である株式会社ゆとりの空間において、不正アクセスにより情報漏えいの可能性があることが判明したとのこと。

株式会社ゆとりの空間

モブキャストホールディングスは、設立当初はモバイル向けの映像制作・配信事業とゲーム開発・配信事業を手掛けていたようですが、今ではスマホゲームと栗原はるみの雑貨販売、企画制作が軸に。栗原さんってあの料理研究家の栗原さんみたいです。

そして同社の子会社にゆとりの空間があります。栗原さんと、ご長男の二人が代表取締役ですね。調理用品やキッチン雑貨などの企画・製造・販売。レストランの経営もされてるみたい。

事故の概要

ゆとりの空間が運営しているウェブサイト、「ゆとりの空間オンラインショップ」において、システムの一部の脆弱性を突いた第三者による不正アクセスを受け、新規会員登録時に顧客が入力した個人情報（5,009件）が漏えいした可能性があるとしています。

2020年12月8日～2021年3月9日の期間中の新規会員登録顧客で、住所、氏名、電話番号、メールアドレスなど（他にもいろいろ）が漏洩した可能性が。通常、クレジットカード情報は大丈夫というケースが多いですが、この事故では「現在確認中」としています。

なんでだろう

ページ遷移の異常に関する顧客からの指摘が発見の端緒になりました。指摘を受けたのは1/27。調査を開始し、3/9、第三者機関からの報告により、新規会員登録ページの改ざんが判明したとしています。

調査の開始時期が書かれていませんが、ページの改ざんを把握するまでに1か月以上も？初期対応に失敗しているようですね。当分ほったらかしに？

SBI証券で顧客資金流出　9864万円

ドコモ口座からゆうちょ銀行や地銀の偽口座へ顧客資金が流出。続いてペイペイなど他社でも。そして今度はSBI証券でも同様に資金流出が確認されました。顧客の6口座から計9864万円だそうです。ドコモ口座の報道以来、一気に他社へも拡大しています。

SBIも9月上旬

最初にドコモ口座絡みの不正出金について公表したのは七十七銀行でしたか、9/7のことです。そこから数日の間に30行以上に拡大していきました。SBIのケースも犯行自体は7月～9月初旬の間に行われたようですが、この事件をSBI証券が公表したのは9/16です。

共通しているのはいずれも不正出金されている事実はありながら、公表はしていなかったということ。七十七銀行が公表したことにより、他行もこれに追随したわけですね。被害顧客数や金額が大きくなかったため、個別対応で済ませようとしたのではと思われます。そしてSBI証券もこれ以上公表が遅れることのリスクを恐れ、、、。

整理してみると

ドコモ口座のケースでは、狙われたのは銀行の預金残高で、お金の出口は偽のドコモ口座でした。SBI証券のケースは、狙われたのが証券口座の残高で、お金の出口が銀行の偽口座です。似ているようで流れが逆なんですね。

一方で、共通している問題は犯人がお金の出口にあたる偽口座を簡単に作れてしまったことです。ドコモ口座を持つためのdアカウントはメールアドレスだけで作成できるそうですね。では銀行の偽口座も簡単に作れちゃうということなんでしょうか。ココは問題です。

もしそうだとすると、SBI証券と同様の事故が既に他でも起きていそうな気がしますね。金融庁もさっそく日本証券業協会を通じて全会員（証券会社）に調査を指示しました。

新型コロナの影響でオンラインでの口座開設が増加。。。。行員が口座開設者の顔色がうかがえる対面取引と違い、偽造免許証等による偽口座の開設が容易になっているのではないかと。テレワークの弊害ですね。

パルスセキュアのVPNサービス　テレワークで38社サイバー攻撃

心配していたことが、やはり起こりました。8/25付け日本経済新聞の一面トップ。「テレワーク　暗証番号流出　国内38社に不正接続」という記事。パルスセキュア社のVPNサービスを使っていた38社が修正プログラムを適用することなく使用し、不正アクセスを受けたようです。

パルスセキュアのVPNサービス

世界で2万社以上の顧客を持つ業界大手であり、昨年4月に自ら脆弱性について情報を公表、修正プログラムも提供されています。国内においてもJPCERTなどが再三注意喚起を行っていました。

昨年8月時点の情報では、この脆弱性を抱えたまま運用されているVPNサーバは世界で1万4500台あり、そのうち1511台が日本国内にあるといわれていました。

その後各社とも対策を講じ、今年3月末時点では国内にあった未対応の1511台は298台にまで減少しました。とはいえ、まだ300台も、、、この辺りからテレワークが盛んになってきます。

そして今回日経が伝えるところによると、国内では38社が不正アクセスを受けたとしています（海外を含めると900社超）。38社のうち日経が把握した被害企業としては、日立化成、住友林業、ゼンショーホールディングス、オンキョー、全薬工業、岩谷産業、ダイヘン、自動車総連などの名前があがっています。

フォーティネット、パロアルトネットワークス

今回はパルスセキュアのVPNが狙われ、脆弱性に対する適切な対応を怠った企業がその被害にあったというお話です。実は他にも脆弱性が注意喚起されていたVPN製品として、フォーティネット、パロアルトネットワークスの名前が4月時点であがっていました。

パルスセキュアほど多くはないかもしれませんが、この両社の製品に関しても、既知の脆弱性に対してパッチの適用や必要なシステムアップデートが行われず、不正アクセスを受けてしまったというニュースも、、、たぶんこのあと出てくるんでしょうね。

アイ・オー・データ　サイバー攻撃で6万件情報流出

一昨日の日経に続き、今度はアイ・オー・データでも不正アクセスを受け、サービス利用者の個人情報約6万件が流出したと報道されました。不正アクセスを受けたのは5/7。5/8には専門機関と調査を進めており、同日に開示も行っています。

NarSuS（ランディスク遠隔管理サービス）

同社が運用するランディスク遠隔管理クラウドサービス「NarSuS（ナーサス）」に関わるサーバが第三者による不正アクセスを受け、約6万件の個人情報が流出しました。

流出した情報は、メールアドレス、氏名、郵便番号、住所、電話番号、FAX番号、会社名、部署名、製品型番、MACアドレス、製品シリアルナンバー。。。どうやら法人顧客のIT担当者の個人情報のようです。

NarSuSというのは法人向けサービスで、同社の法人向けNAS（ネットワーク接続のハードディスク）であるランディスク（商品名）という商品を購入した企業に対し、同社のサーバから遠隔で監視し、顧客側IT担当者に監視情報を提供するサービスです。

遠隔・複数のランディスクを一括管理できたり、障害発生時に素早く正確に状況が把握できる。という無料のサービスです。システム会社なんかでは、そのシステムのバッチ処理とか、ジョブの実行状況を運行・監視するチームがあるものですが、これを代行してくれるサービスですね。

NarSuSサービスは停止

外部調査機関とともに本件調査を継続するようで、NarSuSサービスは停止したままのようです。影響範囲の限定にはやむをえませんね。ただ、公表文の中に、「他の弊社システムへの不正アクセスの有無も調査し、、、」というくだりがあります。だけじゃないのかも・・・。

顧客側のハードディスクの情報等は流出していません。迅速な公表は良い感じですし、ホームページ上での周知も良し。公表文には顧客への真摯な姿勢も見て取れました。どこかのサイバー対策ソフト販売の〇〇〇〇マイクロとかとは大違いです。