マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因
マニュアル作成サービス「Teachme Biz」において顧客データが流出した可能性があると公表していたスタディストは、その後の調査で外部からの不正アクセスはなく、顧客情報の流出もなかったとする調査結果を明らかにした。
マニュアルなどを作成、共有できる同社クラウドサービス「Teachme Biz」のサーバがダウン。不正アクセスの形跡を確認し、一部顧客データが流出した可能性があるとして、同社は事態を6月26日に公表するとともに、調査を進めていた。
同社によると、サーバは6月21日19時半過ぎにダウンし、2度にわたる不正アクセスと見られる痕跡が残っていたが、その後の調査でアクセス元が社内のIPアドレスであることが判明。
アクセス元だったインフラを担当する開発部の従業員に確認したところ、開発環境を構築する過程で、誤って本番環境のデータベースを参照し、コマンドを実行。運用上禁止されているデータの取得が行われ、異常なアクセスとして痕跡がのこったという。
操作ミスによって取得されたデータは同従業員の端末内部に保存されており、外部への流出が発生していないことを確認した。
同社では、再発を防止するため、業務用端末と運用端末を分離。また本番環境への意図しない接続を防止するため、アクセスをVPN経由に制限するほか、運用ルールやマニュアルなどの見直しを実施している。
(Security NEXT - 2018/07/25 )
ツイート
関連リンク
PR
関連記事
ゲーム利用者の内部識別子を広告ツールに外部送信 - LINEヤフー
中学校の生徒情報含む私物メディアを鞄ごと紛失 - 江戸川区
札幌市内の郵便局、一部郵便物が所在不明に
行政文書の個人情報、墨塗りせず交付 - 神奈川県
保護者の同意なく子どもの個人情報をPTAへ提供 - 小田原市
PC83台が所在不明、委託先従業員が盗難容疑で逮捕 - 浦添市
新聞広告に誤った二次元コード、誘導先に個人情報 - 広島県
患者情報含むUSBメモリが所在不明 - 長崎みなとメディカルセンター
台車においた患者情報含む書類が所在不明に - 埼玉病院
市教委会議資料の個人情報にマスキング不備 - 川崎市
