全1916文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は3件のトピックを取り上げる。道新サービスセンターの個人情報流出と、クルーズ船運行会社の情報流出、ビジネスメール詐欺の調査結果である。

情報流出に気づくも委託元に報告せず(3月26日)

 北海道新聞グループの道新サービスセンターは、顧客の個人情報と同社のシステムに使うソースコードがインターネット上で閲覧できる状態にあったことを明らかにした。同社がシステム構築を委託していた業者が、これらの情報をソフトウエア開発プラットフォームで誤って公開していたとしている。ソースコードがあると第三者が内部のシステム情報を類推できる場合があり、業務向けに開発されたシステムでは機微な情報とされることが多い。

顧客の個人情報流出の経緯とおわび
顧客の個人情報流出の経緯とおわび
(出所:道新サービスセンター)

 公開されていた顧客の情報は法人・個人を含めて全部で2万8515件。このうち個人情報に当たる名前や住所は1万5599件だった。2020年3月24日時点で、これらの情報が悪用されたという報告はないという。

 情報が公開されていたのは、2019年10月7日から2020年2月10日までの約4カ月間。委託先業者のエンジニアが不注意によって公開させたとしている。そして、委託先業者の別のエンジニアがそのことに気づき、外部から閲覧できないようにした。

 ところが委託先業者は事態を把握した後も、道新サービスセンターに情報流出の事実を報告しなかった。3月13日、情報流出を知った道新サービスセンターの社員が委託先業者に確認したことで、情報流出の経緯などが明らかになったという。

 同社は、委託先業者を含めた作業フローやセキュリティー教育を見直し、情報管理体制を強化していくという。

http://www.doshin-sc.co.jp/news_200326.html