ウェブの利便性高めるSaaSが改ざん被害 - 導入サイトで情報窃取のおそれ
「フォームアシスト」については約5000件のフォームに導入されている。他2サービスについては導入数は公表されていない。
今回の問題を受けてショーケースでは外部セキュリティ事業者によるフォレンジック調査を行った。さらに顧客にeコマース事業者が多いこともあり、クレジットカード関連事故の調査を行う認定事業者「PFI(PCI Forensic Investigator)」による調査もあわせて実施している。
同社は本誌取材に対し、被害の対象となる具体的な顧客数についてはコメントを避ける一方、今回の第三者による調査において「情報流出が生じた顧客は限定的」との報告を受けたと説明している。
同社では対象となるサービスの利用者へ個別に連絡を取り、情報流出が発生した可能性がある期間や対象顧客について案内を行っている。また警察へ被害を申告するとともに、経済産業省へ報告した。
改ざんが生じたSaaSサービスでは、サーバ側で個人情報を取得しておらず、同社経由の個人情報流出も発生していないが、個人情報保護委員会に連絡を取り、サービスの概要など説明を行っている。
同社では問題発覚後、ソースコードを修正。不正侵入対策、新設サーバへの移行など再発防止策を実施した。今回の不正アクセスにともなうサービスの停止期間はなかったとしている。
(Security NEXT - 2022/10/26 )
ツイート
関連リンク
PR
関連記事
持込用学習端末のECサイトにサイバー攻撃 - 個人情報流出の可能性
農業従事者情報を含むデータを誤送信 - フィルタ解除で閲覧可能
リモートアクセスツール「UltraVNC」に複数の脆弱性
職員が執務室内の撮影してネット投稿、顧客情報も - 益田信組
社内システムが侵害、マルウェア感染の可能性 - ハンズHD
DC向け機器「NVIDIA Networking BlueField」「ConnectX」に複数脆弱性
「JetBrains」の複数製品に脆弱性 - 「クリティカル」など修正
「IBM WebSphere Application Server」の管理画面に複数脆弱性
侵害受けたKDDIのISP向けメールシステム、ゼロデイ脆弱性が標的に
ピックルボール情報サイトに不正アクセス - プラグイン脆弱性を突かれる

