タグ: 情報漏えい

不正にSansanの名刺情報を入手した会社員が逮捕

名刺管理サービス会社「Sansan」の社員を装い、他社の名刺情報を不正入手したとして、警視庁と愛知県警は、不正アクセス禁止法違反容疑で、渋谷区の不動産販売会社「GRANDCITY」次長を逮捕したということです。

Sansan

Sansanは名刺管理を軸とする営業DXサービス「Sansan」などを展開する企業。機械学習などのデジタル技術と人力を組み合わせることで、大量のアナログ情報を正確かつ効率的にデータ化する仕組みやノウハウが強みです。東証プライム上場企業です。

逮捕容疑

容疑者は複数の部下に指示し、2022〜23年、少なくとも十数社の名刺情報約400万件に不正アクセスしたということです。Sansanの社員を装い、同社のサービスを利用する企業(GRANDCITY社の営業先など十数社)の社員に「二要素認証のため、IDとパスワードを返信してほしい」と偽メールを送信。取得したIDなどで名刺情報にアクセスしていました。

つまり、Sansanも被害者ということですね。この名刺管理ソフトSansan、犯罪を犯してでも手に入れたい素晴らしい情報を持っている、、、ということですかね。このニュースを受け同社株は一時5%以上上昇しました。

ちなみに、この原稿を書いている時点では、GRANDCITY社のホームページ「スタッフ紹介」欄で、容疑者と思われる人物の顔写真が確認できました。

NTT西日本子会社での900万件情報漏えい (続報)

日本経済新聞は10/28、「元派遣社員が3重の内規違反 NTT西系の情報流出」と伝えました。例のNTT西日本の子会社から派遣社員により顧客の個人情報約900万件が不正に持ち出された事件の続報ですね。初報はたしか10/17でした。

3重の内規違反

元派遣社員の少なくとも3つの行為が情報セキュリティーに関する社内ルールに違反していたといいうこと。顧客データの取り扱いに関し確認された社内ルール違反は、①業務外で作業端末にダウンロード、②私物USBメモリーに保存、③承認を得ず持ち出し、の3つだそうです。

まぁ、いずれも皆さんの会社でも同様に決められているルールだと思いますが、問題はどれだけ本気でそのルールを作っていたかということ。本気ならそのルールを厳守できるような環境を整えているはずです。

業務外で(業務時間外で)のアクセスを検知する仕組みをなぜ設けていなかったのかってことです。そして最もビックリなのは、②の私物USBメモリーにデータをダウンロードできちゃってることです。kuniが勤めていた金融機関では少なくとも10年前にはUSB用ソケットを殺していましたよ。

データのダウンロードはできなくしていたけど、通電だけはしていて、そのソケットでスマホを充電するのはアウトかセーフか、、、みたいな笑い話のようなことも同業さんでは起きていました。

世界を先導しようとしている情報通信企業で

ネットワークだけでなく端末処理まで光化する「オールフォトニクス・ネットワーク」(IOWN構想)を進めるNTTのグループ内企業で、社内ルールで禁止してはいたものの、社内端末のUSBソケットが生きたままでした。ごめんなさい、では、あまりにシャレになりません。

マイナビ マイナビ転職で不正ログイン ウェブ履歴書約21万件流出

マイナビは2/12、同社が運営する総合転職情報サイト「マイナビ転職」を管理するWebサーバーに対し、外部からの不正ログイン発生があったことを公表しました。2000年から現在までに「マイナビ転職」へ登録した方のうち、212,816名分の Web履歴書が不正ログインされたもようです。

マイナビ

マイナビは毎日新聞社の関連会社として設立された、就職・転職・進学情報の提供や人材派遣・人材紹介などを主業務とする日本の大手人材・広告企業です。現在では毎日新聞との資本関係は薄くなっているようですね。

不正ログインの概要

不正ログインが確認された期間は、2021年1月17日~2月9日までとのこと。約3週間攻撃され続けていたんですね。普通アクセス数の急増でもう少し早く気付きそうなもんですが。

もう一つ普通じゃないのが、不正ログインされた件数を「212,816名分の Web履歴書」と言い切っているところ。普通なら「最大で212,816名分の Web履歴書」と発表するもんです。

同期間の間に21万件のアクセスがあったとしても、中には正規の利用者のアクセスまで含んでいるはずです。今回の不正アクセスは「リスト型アカウントハッキング(リスト型攻撃)」のようですから、正規の登録者によるアクセスと不正なアクセスは簡単には判別できません。

平時のアクセスが1週間あたり3万件程度あるなら、3週間で9万件。このくらいは21万件から差し引いて考える必要があります。なので最大〇〇件と表現するんですね。ひょっとしてこの21万件は差し引いたのちの実数なんでしょうか。

転職はキモかも

新卒者の履歴書と違って、転職者の履歴書は重いです。学生がA社以外にB社、C社にエントリーしていても大した問題じゃないけど、転職希望者の履歴書情報は本人にとっては閲覧されたくないでしょう。今所属している会社にそのことを知られたら、、、と心配している人も多いと思われます。抜かれたデータ、意外に悪用されるかもです。

EXILE LDH JAPAN サイバー攻撃 クレジットカード情報流出

LDH JAPANは12/8、同社が運営するオンラインショップ「EXILE TRIBE STATION ONLINE SHOP」がサイバー攻撃を受け、同サイトでクレジットカード情報の登録を行った4万4,663名のカード情報について流出が確認されたことを公表しました。

流出の概要

個人情報流出の可能性があるのは、8/18~10/15の期間中に同SHOPにおいて、新規にクレジットカード情報を会員登録した顧客、又は既に会員登録により登録済みのクレジットカード番号を変更した顧客、計44,663名のクレジットカード情報だそうです。

流出した情報は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコードとしています。サイバー攻撃を受けて個人情報が流出する事件は増加していますが、多くの場合クレジットカード情報は別会社で管理されており、流出を免れていました。

今回のケースはモロにクレジットカード情報が流出。おまけにセキュリティコードまで。さらに、11/27時点で、少なくとも209名の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けているとのこと。

既にそこから2週間が経過しており、不正利用の被害は拡大していると思われます。これは相当ヤバい事故ですね。実際に不正利用が確認されているだけに、4万名を超える情報流出は、「可能性」ではなく、確実に流出していそうです。

「EXILE TRIBE STATION ONLINE SHOP」といいますから、エグザイルのチケットやらグッズを販売するサイトなんだと思われます。今現在は情報漏えいに関するQ&Aなど、しっかりした情報提供がされていますが、いかんせん情報開示が遅すぎでした。