体制不備を指摘、事後対応では類似被害防止に貢献 - J-WAVE調査報告書

J-WAVEのウェブサイトが不正アクセスを受け、サーバ上に保存されていたリスナーに関する個人情報が、外部へ流出した可能性があることが判明した問題で、同社では、内部調査委員会の報告書を公開した。

問題となった不正アクセスは、同社がウェブサイトで使用していたソフトウェアが不正アクセスを受け、リスナーの個人情報約64万件が外部に流出した可能性があることが判明したもの。同社では外部弁護士や同社取締役など3名による特別調査委員会を設置、同委員会が報告書を取りまとめた。

今回の不正アクセスは、プラグインとして導入していた「ケータイキット for Movable Type」の脆弱性が攻撃を受けたもの。同報告書では、攻撃発生当時は未知の脆弱性であり、攻撃を未然に防止することは困難だったとする一方、ウェブアプリケーションの脆弱性を保護する対策を導入時に実施すべきであったとし、体制整備が大きく欠けていたと指摘。

さらに保有していた個人情報が約64万件と大量だったことについて、メールなどの情報は定期的に消去する一方、ウェブサーバのログとして保存された情報の危険性を認知しておらず、累積した個人情報を放置してしまったことに起因するとし、体制の改善を求めている。

一方、同報告書では発覚後の原因究明や再発防止対策については前向きに評価。事実を隠すことなく迅速に対応したとし、ソフトウェアの開発会社へ通知したことから、早期のパッチの開発や公表、情報処理推進機構（IPA）による注意喚起へつながったと説明。他事業者における事故の発生防止に貢献したと述べている。またリスナーへの周知徹底も十分とし、再発防止へ効果的だったと結論付けた。

同社は今回の報告を受け、不正アクセス対策や個人情報の暗号化などを導入。管理体制の再構築や、必要に応じて業務監査を実施するなど、個人情報の管理体制を常時監視する体制を整備したという。

（Security NEXT - 2016/06/16 ） ツイート

PR

関連記事

健康商材のB2Bマッチングサイトに不正アクセス - 顧客情報が流出
サーバに不正アクセス、取引先や株主情報など流出 - 研創
ネックストラップ通販サイトに不正アクセス - 個人情報流出の可能性
獣医学本販売サイトに不正アクセス - 個人情報流出の可能性
スポーツ用品通販サイトに不正アクセス - 個人情報流出の可能性
日本茶の通販サイトに不正アクセス - 個人情報流出の可能性
食肉通販サイトに不正アクセス - 顧客情報が流出した可能性
市施設サイトに不正アクセス、メール配信CGIの脆弱性が標的に - 小諸市
製麺通販サイトに不正アクセス - 不正プログラム除去も被害継続
飲食店向け備品通販サイトに不正アクセス - 個人情報流出のおそれ