- 2015年9月17日
- 事故レポ
デジタルコンテンツ事業を展開する企業において17社26万件超の個人情報漏えいか
愛媛県松山市に本社があり、印刷事業やデジタルコンテンツ事業を展開する「セキ」は15日、運営しているサーバーへ外部から不正アクセスを受け、お客様情報が外部へ流出したと発表した。
同社発表によると被害詳細は
被害件数
企画部門の Web サーバーに保存されているお客様情報
最大 約 26 万 7 千件(その所有会社:17 社)
流出情報
住所、氏名、電話番号、Eメールアドレス、一部クレジットカード情報等の 個人情報
被害内容
サイトの一つで、エンドユーザーである複数の個人に勧誘メールが1種類送られて きたことを確認済みです。その他のメールアドレスの不正使用、クレジットカード の不正支払請求等の報告は、現状確認されていないとのこと。
外部の調査機関による結果報告によると、Web アプリケーションの脆弱性を突いたサイバー攻撃が実施され、 侵入者によってコマンド実行やデータベースアクセスが行われた可能性を排除 できない、とのことです。
ちなみに、今回の特徴は被害にあったサーバーが自社サービスのサーバーではなく、同社がウェブサイト作成を請け負っていた関係で管理、保守していたサーバーという点です。
こちらは以前当ブログでも扱った不正アクセスを受けた通販サイトもこの17社に含まれているそうです。
(ブログ:出産・内祝ギフトの通販サイトに不正アクセス!参照)
早速、IPS,WAFを導入して対策をしたとのことです。
このケース怖いのは、外部委託業者の責任であるようで、消費者からみると結局利用しているサービスの落ち度に映ってしまう点でしょう。
利用者、消費者は誰が管理・保守しているかは関係ありません。
それを踏まえてサービス保守、個人情報管理に取り組む必要があるのではないのでしょうか。
責任の所在をあやふやにしていては、セキュリティ被害をさけるのは難しくなっていくような気がします。そんな気がします。