大手企業の個人情報流出問題

 
三菱電機では、2019年6月28日に端末の不審な挙動により発覚した不正アクセスにより各種データが持ち出されていたという事件がありました。流出した可能性のある個人情報は、17年10月から20年4月入社の新卒採用応募者と11〜16年の経験者採用応募者のものが1987人分、三菱電機の従業員のものが4566人分、同社関係会社の退職者のものが1569人分の、最大で合計8122人分にも及んでいます。
 
同社では1月20日、流出の原因をあらためて公表しています。今回の不正アクセスの原因は、三菱電機で使用しているウイルス対策システムにあった修正前の脆弱性を突いたゼロデイ攻撃であったとのこと。監視システムをすり抜けるような高度な手法で、一部の端末では持ち出されたデータを特定するためのログデータも消去されていたため、調査に時間がかかったとしています。
 
なお、同社内調査の結果では、防衛・電力・鉄道などの社会インフラに関する機微な情報、機密性の高い技術情報や取引先に関わる重要な情報は流出していないことを確認済みで、本件に関わる被害や影響は確認されていない模様です。
 
このように一度こうした情報流出が起こると長期間にわたる調査など社内的な負担はもちろんのこと、最も重要なのは流出してしまった情報個々に迷惑をかけてしまうことにあります。本件においては原因がゼロデイ攻撃にあったことですので、いかに各種脆弱性に対する速やかな更新作業が重要かがわかります。
 
『三菱電機、約8000人の個人情報流出か　ウイルス対策システムにゼロデイ攻撃』
（出典：2020年01月21日　ITmedia記事より）
 

情報流出による二次被害そしてサービス停止

 
象印マホービン株式会社では、同社グループ会社の象印ユーサービス株式会社が運営するECサイト「象印でショッピング」において2019年12月4日に不正アクセスによる個人情報流出が発覚しました。流出した情報は、お客様名、住所、注文内容（商品、金額等）、配送先情報、メールアドレス、電話番号等でクレジットカード情報は含まれていないとのこと。
 
そして本件は情報流出のみならず、2019年12月15日には、流出したメールアドレス宛に象印マホービンをかたるフィッシングメールが送信されていたことも確認されています。また、1月13日にもフィッシングメールを確認。メールの件名は「※様 おめでとうございます！【■■■■】新春初夢キャンペーン実施中！」（※顧客の氏名）。メールの本文では、JCBギフトカード1000円分が当選したとして、リンク先のURLをクリックさせフィッシングサイトに誘導させるものでした。このように、流出→悪用され二次被害に拡大してしまっています。
 
そして大阪ガス子会社のオージス総研は、19年1月23日に481万5399件もの顧客情報が流出してしまった同社が運営する大容量ファイル送信サービス「宅ふぁいる便」を3月31日に終了すると発表しています。問題発覚以降はサービスを休止していましたが、再開には「相当程度システムの再構築が必要」と判断。再構築に要する時間・費用などを考慮した結果、終了を決めたとのことです。
 
個人情報流出は、情報量にかかわらずどの企業にも起こりうる深刻な問題に発展しかねない事象です。よりよいサービスを提供するためにも、いま一度自社サービスのシステムや管理体制などを見直してみるのもよいですね。
 
『「象印でショッピング」の個人情報流出に関連するフィッシング詐欺、JCBギフトカード当選通知を装うメールに注意』
（出典：2020年1月20日　INTERNET Watch記事より）
 
『情報漏えい発生の「宅ふぁいる便」、3月末で終了　システム再構築に要する時間・費用を考慮』
（出典：2020年01月14日　ITmedia記事より）
 

＞＞ シーティーエスは社内PCやネットワークのセキュリティ対策もしっかりサポートいたします

 
＊＊＊＊＊＊＊＊＊