体制不備を指摘、事後対応では類似被害防止に貢献 - J-WAVE調査報告書

J-WAVEのウェブサイトが不正アクセスを受け、サーバ上に保存されていたリスナーに関する個人情報が、外部へ流出した可能性があることが判明した問題で、同社では、内部調査委員会の報告書を公開した。

問題となった不正アクセスは、同社がウェブサイトで使用していたソフトウェアが不正アクセスを受け、リスナーの個人情報約64万件が外部に流出した可能性があることが判明したもの。同社では外部弁護士や同社取締役など3名による特別調査委員会を設置、同委員会が報告書を取りまとめた。

今回の不正アクセスは、プラグインとして導入していた「ケータイキット for Movable Type」の脆弱性が攻撃を受けたもの。同報告書では、攻撃発生当時は未知の脆弱性であり、攻撃を未然に防止することは困難だったとする一方、ウェブアプリケーションの脆弱性を保護する対策を導入時に実施すべきであったとし、体制整備が大きく欠けていたと指摘。

さらに保有していた個人情報が約64万件と大量だったことについて、メールなどの情報は定期的に消去する一方、ウェブサーバのログとして保存された情報の危険性を認知しておらず、累積した個人情報を放置してしまったことに起因するとし、体制の改善を求めている。

一方、同報告書では発覚後の原因究明や再発防止対策については前向きに評価。事実を隠すことなく迅速に対応したとし、ソフトウェアの開発会社へ通知したことから、早期のパッチの開発や公表、情報処理推進機構（IPA）による注意喚起へつながったと説明。他事業者における事故の発生防止に貢献したと述べている。またリスナーへの周知徹底も十分とし、再発防止へ効果的だったと結論付けた。

同社は今回の報告を受け、不正アクセス対策や個人情報の暗号化などを導入。管理体制の再構築や、必要に応じて業務監査を実施するなど、個人情報の管理体制を常時監視する体制を整備したという。

（Security NEXT - 2016/06/16 ） ツイート

PR

関連記事

福岡飲食店のECサイトに不正アクセス - 個人情報流出の可能性
人事情報の不正閲覧で職員2人を処分、以前から漏洩のうわさ - 筑前町
eモータースポーツ公式アカウントの乗っ取りで個人情報流出の可能性
問合フォームに別人の個人情報、キャッシュ設定不備で - ソフト開発会社
JRA海外駐在員事務所でフィッシング被害 - メールボックスに不正アクセス
メール覗き見職員を処分、PWなど推測して不正アクセス - 宇陀市
サポート詐欺被害でイベント参加者名簿が流出の可能性 - 山口市
総務省、LINEヤフーに行政指導 - 「電気通信事業全体の信頼を損なった」
学生服通販サイトの旧サイトに不正アクセス - クレカ情報流出の可能性
なかほら牧場の通販サイトに不正アクセス - 個人情報流出の可能性