Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

マニュアル作成サービスへの不正アクセスを否定 - 操作ミスが原因

マニュアル作成サービス「Teachme Biz」において顧客データが流出した可能性があると公表していたスタディストは、その後の調査で外部からの不正アクセスはなく、顧客情報の流出もなかったとする調査結果を明らかにした。

マニュアルなどを作成、共有できる同社クラウドサービス「Teachme Biz」のサーバがダウン。不正アクセスの形跡を確認し、一部顧客データが流出した可能性があるとして、同社は事態を6月26日に公表するとともに、調査を進めていた。

同社によると、サーバは6月21日19時半過ぎにダウンし、2度にわたる不正アクセスと見られる痕跡が残っていたが、その後の調査でアクセス元が社内のIPアドレスであることが判明。

アクセス元だったインフラを担当する開発部の従業員に確認したところ、開発環境を構築する過程で、誤って本番環境のデータベースを参照し、コマンドを実行。運用上禁止されているデータの取得が行われ、異常なアクセスとして痕跡がのこったという。

操作ミスによって取得されたデータは同従業員の端末内部に保存されており、外部への流出が発生していないことを確認した。

同社では、再発を防止するため、業務用端末と運用端末を分離。また本番環境への意図しない接続を防止するため、アクセスをVPN経由に制限するほか、運用ルールやマニュアルなどの見直しを実施している。

(Security NEXT - 2018/07/25 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

支援学校で生徒の一部教育支援計画が所在不明に - 大阪府
ツール設定ミスで採用関連の個人情報を誤公開 - ソフト開発会社
グループ従業員のID管理サーバがランサム被害 - 共英製鋼
国立病院機構、職員が患者情報約14万件含むPCを持ち出し - オークション落札者の連絡で判明
約10年前の紛失個人情報、11回にわたり匿名で届く - 北海道
LINE、国外の個人データ保管やアクセス状況を説明 - 「ポリシー上に記載ある」
Gmailメアドをスペルミス、個人情報が流出 - 京都市立芸術大
SMBC信託銀のクラウド設定ミス、暗号化暗証番号が平文で閲覧も
ポプラ、料金収納払込票を紛失 - 拾得者「公園のゴミ箱に捨てた」
アンケート調査回答の集計前データを誤って外部提供 - 公取委