著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年2月下旬から3月頭の注目ニュースは3件。最初に、日本貸金業協会からの情報漏洩を取り上げる。
外部のセキュリティー企業から流出データの存在を指摘されて情報漏洩が発覚(2月22日)
日本貸金業協会が不正アクセスを受けて、協会員のメールアドレスやパスワードが流出した件について、調査結果を報告した。
日本貸金業協会は2019年2月13日に、この不正アクセス被害の第1報を出していた。第1報には、同協会のWebサイトからメールアドレスとパスワードのセットが流出していると外部のセキュリティー企業から指摘を受けて事態を把握と書かれていた。流出データを調べたところ、2018年1月ごろに登録されていた969件のメールアドレスとパスワードが含まれていたことが分かったという。
今回の調査結果では、不正アクセスの時期が明らかにされ、流出データの内容が訂正された。不正アクセスは、2018年1月に3回、2018年9月に1回の合計4回受けていた。また流出データは1066件で、2018年9月に登録されていたメールアドレスとパスワード、協会員の管理者の名前も含まれていたとしている。
日本貸金業協会は、不正アクセスの具体的な手口を明らかにしていないが、攻撃に使ったと確認された手口に対して対策を施したと説明している。
筆者は、2019年1月にインターネット上で見つかった大量のメールアドレスとパスワードのデータ「Collection #1」を確認したところ、その中から日本貸金業協会の流出データと思われるものを発見できなかった。2019年に入って、外部にデータの流出を指摘されて情報漏洩が発覚する事例が相次いでいる。Collection #1に類似したデータが他にも存在している可能性がある。
https://www.j-fsa.or.jp/doc/topics/info/190222.pdf
