6/24 矢野研に不正アクセス 10万件超の個人情報が流出か
矢野経済研究所は同社のWebサイトへの不正アクセスによって個人情報が流出した可能性があると発表した。6月13日に取引先から情報流出の可能性について問い合わせを受けて、外部のセキュリティー会社と調査を開始。その結果、6月6日に「www.yano.co.jp」と「www.yanoresearch.com」の2つのサイトがSQLインジェクション攻撃を受けたと判明した。攻撃により、同社のメールサービスや調査資料閲覧サービスの会員の個人情報が流出した可能性がある。
流出した可能性のある会員の個人情報はメールアドレスと暗号化されたパスワードで、最大10万1988件。クレジットカード情報は保有していない。再発防止策として、脆弱性防御ツールと脆弱性管理ツールの導入を進め、追加の対策も検討および実施する。
同社から流出したメールアドレスとパスワードであると主張するデータが、海外のハッキングフォーラムで公開されていることを筆者は確認した。この件について問い合わせたが「公表している内容以上の回答は差し控える」とされた。
https://www.yano.co.jp/announce/781
7/1 リスクモンスターから個人情報流出 設定ミスで2年以上も公開状態に
企業向けオンラインサービスを提供するリスクモンスターは、社員研修支援サービス「サイバックスUniv.」の連携用サーバーに登録した個人情報が流出したと発表した。
流出した可能性がある個人情報は25万人の名前と会社名および部署名。6月29日に利用者から自身の名前を含む個人情報がGoogle検索で表示されると問い合わせを受けて事態を把握し、状況が再現されるのを確認したという。すぐにサーバーのネットワーク設定を変更して社外からアクセスできないようにした。
個人情報が公開されていたのは、サーバーの設定を変更した2020年2月16日以降。つまり2年以上も公開状態にあった。直近3カ月の間にGoogleを経由したサーバーへのアクセスは18件で、その他に5934件の個人情報をダウンロードした履歴が1件確認された。なお、このダウンロードをした人物には、速やかにデータを削除してもらったという。
https://www.cybaxuniv.jp/news/2022/20220701
