Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

体制不備を指摘、事後対応では類似被害防止に貢献 - J-WAVE調査報告書

J-WAVEのウェブサイトが不正アクセスを受け、サーバ上に保存されていたリスナーに関する個人情報が、外部へ流出した可能性があることが判明した問題で、同社では、内部調査委員会の報告書を公開した。

問題となった不正アクセスは、同社がウェブサイトで使用していたソフトウェアが不正アクセスを受け、リスナーの個人情報約64万件が外部に流出した可能性があることが判明したもの。同社では外部弁護士や同社取締役など3名による特別調査委員会を設置、同委員会が報告書を取りまとめた。

今回の不正アクセスは、プラグインとして導入していた「ケータイキット for Movable Type」の脆弱性が攻撃を受けたもの。同報告書では、攻撃発生当時は未知の脆弱性であり、攻撃を未然に防止することは困難だったとする一方、ウェブアプリケーションの脆弱性を保護する対策を導入時に実施すべきであったとし、体制整備が大きく欠けていたと指摘。

さらに保有していた個人情報が約64万件と大量だったことについて、メールなどの情報は定期的に消去する一方、ウェブサーバのログとして保存された情報の危険性を認知しておらず、累積した個人情報を放置してしまったことに起因するとし、体制の改善を求めている。

一方、同報告書では発覚後の原因究明や再発防止対策については前向きに評価。事実を隠すことなく迅速に対応したとし、ソフトウェアの開発会社へ通知したことから、早期のパッチの開発や公表、情報処理推進機構(IPA)による注意喚起へつながったと説明。他事業者における事故の発生防止に貢献したと述べている。またリスナーへの周知徹底も十分とし、再発防止へ効果的だったと結論付けた。

同社は今回の報告を受け、不正アクセス対策や個人情報の暗号化などを導入。管理体制の再構築や、必要に応じて業務監査を実施するなど、個人情報の管理体制を常時監視する体制を整備したという。

(Security NEXT - 2016/06/16 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

通販サイトで情報流出、不正プログラムでクレカ情報も窃取か - JR九州傘下のドラッグストア
小学校の代表メールが乗っ取り、スパムの踏み台に - 取手市
サーファー向け情報サイトでパスワードなど流出
WP用プラグインの開発者サイトに不正アクセス、顧客にメール - 元従業員が侵入か
「宅ふぁいる便」への不正アクセス、顧客情報約480万件の流出を確認
つり番組サイトに不正アクセス - 「脆弱性診断ツール」を悪用か
学生の個人情報含むPCが海外で盗難被害 - 長岡技術科学大
学研の電子書籍配信サービスに不正アクセス - 個人情報流出の可能性
しょうが関連製品通販サイトに不正アクセス - クレカなど個人情報が流出
「DLmarket」への不正アクセス、顧客のクレカ情報も被害か