著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。
今回は2件のトピックを紹介する。益茂証券からの個人情報流出と、弥生のログイン機能に対する不正アクセスである。
Webサイトの表示エラーから不正アクセスが判明
「ますも証券」の名前でサービスを提供する福井県の証券会社、益茂証券は2021年6月23日、不正アクセスによって同社の「メール会員」および外国為替証拠金取引(FX)サービスの「くりっく365」に申し込んだ顧客の個人情報が流出した可能性があると同社Webサイトと同社のFacebookアカウントを通じて明らかにした。
流出した可能性がある情報はメール会員とクリック365で異なる。メール会員に申し込んだ人の場合は、名前と性別、メールアドレス。一方、くりっく365に申し込んだ人の場合は、名前と住所、生年月日、性別、電話番号、メールアドレス、職業、銀行口座のほか、総資産や金融資産などのセンシティブな情報も含まれる。
同社は6月2日、Webサイトの表示に異常があったことからWebサイトの管理会社に調査を依頼。その結果、5月22日に大量のメールを送り付けられる攻撃を受けていたことが判明した。このため、6月4日にWebサイトを一時閉鎖した。
さらにWebサイトの異常と攻撃との関連性を調査したところ、Webサイトの管理システムにおいて第三者のアクセスを制限するセキュリティー機能がオフにされていたことが分かった。こうした状況から、Webサイトを通じて同社サービスに申し込んだ顧客の個人情報が流出した可能性があると判断したという。セキュリティー機能は少なくとも2020年9月22日にオフにされていた。
発表が遅れた経緯について同社は、個人情報が流出した可能性のある被害者に対しておわびと説明を優先したためとしている。今後、流出した情報を悪用したダイレクトメールや電話による勧誘などが行われる恐れがあるとして、注意を呼び掛けた。
https://www.facebook.com/masumosc/posts/1480083069027068
