この1か月の間に報告された不正アクセス事件をまとめた。女性誌通販サイトはシステムの脆弱性を突かれて約1万名の個人情報が、佐賀県立校は少年グループに校内LAN、教育情報システムを突破されて約1万5千名の個人情報が流出。都立動物園・水族園はホームページが改ざんされ、メールマガジン登録者等のメールアドレス約2万件が流出した。このほか、千葉県柏市や保険代理店、印刷会社からも被害が報告された。
■女性月刊誌『ViVi』通販サイトに不正アクセス、個人情報1万946名分流出
講談社は6月22日、発行する女性月刊誌『ViVi』の公式通販サイト「NET ViVi Coordinate Collection」が不正アクセスを受け、個人情報が流出したと発表した。同サイトは、講談社とウェアハート社が共同運営し、パイプドビッツ社が提供するECシステム「スパイラルEC(R)」を利用している。このため、ウェアハート社、パイプドビッツ社、および両社の親会社であるパイプドHDからも同日、経緯説明とお詫びの文書が公開された。
公開文書によると、ウェアハート社が6月7日、未出荷にも関わらず売上確定ステータスとなっている異常な注文に気づき、パイプドビッツ社が調査を開始したところ、不審なIPアドレスからのアクセスが判明した。攻撃者は脆弱性を突いてシステムに侵入し、ウィルスチェックをくぐり抜けた不正なファイル(マルウェア)をサーバーに設置。本格的なバッグドアツールを展開し、管理画面へアクセスするログインID等を搾取。これにより運営者になりすましてログインし、個人情報を含む注文履歴情報をダウンロードしたという。
ダウンロードされた注文履歴情報は1万5581件あり、会員1万946名分の個人情報が含まれていた。該当者は、2015年8月22日15時から2016年4月18日16時38分の間に同サイトで注文(キャンセル・退会含む)した会員で、個人情報の内容は、注文者の氏名・住所・メールアドレス・電話番号、および配送先の氏名・住所・電話番号など。会員IDとパスワードは含まれず、クレジットカード情報も同システムでは保有していないため流出していない。同社は該当顧客へお詫びのメールを送信し、問合わせ窓口を設置した。また、講談社や共同運営会社から会員に連絡し、個人情報を訊ねることは絶対にないとし、フィッシング詐欺などに注意するよう呼びかけている。
<関連URL>
・「ViVi」公式通販サイト「NET ViVi Coordinate Collection」不正アクセスによる個人情報流出についてのお詫び[PDF] (講談社)
http://www.kodansha.co.jp/upload/pr.kodansha.co.jp/files/pdf/20160622NETViVi.pdf・アパレル特化型ECプラットフォーム「スパイラルEC」における不正アクセスによる個人情報流出に関するお知らせとお詫び(パイプドホールディングス)
https://www.pipedohd.com/news/2016/20160622_01.html
・不正アクセスによる個人情報流出に関するお知らせとお詫び(ウェアハート)
http://wearheart.co.jp/info/
■佐賀県立校の教育ネットワークに不正アクセス、個人情報約1万5千名分流出
佐賀県は6月27日、県の学校教育ネットワークに不正アクセス被害があったと発表した。報道によると、有料衛星放送を無料視聴できる不正プログラムを制作・公開した容疑で、警視庁が佐賀市の無職少年を捜査していたところ、押収したパソコンから県立高校関連の個人情報などを含む約21万件のファイルを発見。少年を不正競争防止法違反の疑いで6月6日に逮捕、同27日に不正アクセス禁止法違反容疑で再逮捕した。
県教育委員会は警視庁から情報提供を受けて調査を開始。県立学校9校(中学校1校、高校8校)から個人情報を含むファイルが大量に漏えいしていることが判明した。校内LAN関係の被害は7校で発生し、校務用サーバーから9589人分の個人情報が流出。情報内容は教職員、生徒、保護者の住所・氏名・電話番号、ID、パスワード、成績関連書類、生徒指導関連書類など。県独自の教育情報システム「SEI-Net」の被害は7校で発生し(5校が重複)、教職員のID・氏名・メールアドレス、生徒のID・氏名が6081人分流出したという。原因として、管理者用ID/パスワードの管理の甘さ、不正アクセス発覚後の対応の杜撰さなどが指摘されている。
県教委は高校生約15人から事情を聴取し、うち7人の関与を確認。無職少年とその友人1人の計9人のメンバーが情報共有グループ「情報収集会議」を構成していたという。文部科学省は本件を受けて7月4日、各都道府県教育委員会などに対し、セキュリティ確保に万全を期すよう通知した。県教委は有識者による第三者委員会を設置し、10月をめどに提言を受け、情報セキュリティ対策の強化に努めるとしている。
<関連URL>
・学校教育ネットワークに係る不正アクセス被害がありました(佐賀県)
http://www.pref.saga.lg.jp/kyouiku/kiji00348361/index.html
・教育の情報化に伴う情報セキュリティの確保について(通知)(文部科学省)
http://www.mext.go.jp/b_menu/hakusho/nc/1374115.htm
■都立動物園・水族園サイトが改ざん、メルマガ購読者のメルアド2万件他が流出
東京動物園協会は7月8日、協会が管理運営する東京動物園・水族園のホームページが不正アクセスを受けて改ざんされたと発表した。発表によると、7月7日午前6時35分頃に職員が公式ホームページ「東京ズーネット」の記事が改ざんされていることを確認。約10分後に改ざんページを削除し、午前9時20分頃にはホームページを閉鎖した。その後約2時間経過した午前11時10分頃、メールマガジン「ズー・エクスプレス」登録者等のメールアドレス2万1688件が流出していることが確認された。
さらに同日午後11時頃、協会が運営する「東京動物園友の会」の加入について問合せをした人たち868件の個人情報(氏名、郵便番号、住所、電話番号、メールアドレス、協会への連絡事項)が流出したことが判明。協会は翌8日、この新たに判明した情報を追加した続報を出し、陳謝した。協会は引き続きWebサイトの状況調査と原因究明に努め、再発防止を徹底していくとしている。
<関連URL>
・都立動物園・水族園のホームページへの不正アクセスについて(東京動物園協会)
http://www.metro.tokyo.jp/INET/OSHIRASE/2016/07/20q78400.htm
・都立動物園・水族園のホームページへの不正アクセスについて(続報)(東京動物園協会)
http://www.metro.tokyo.jp/INET/OSHIRASE/2016/07/20q78600.htm
■保険総合代理店、千葉県柏市、印刷会社
保険サービス事業などのニュートン・フィナンシャル・コンサルティングは6月28日、千葉県柏市は7月4日、印刷会社のグラフィックは7月19日、それぞれ不正アクセス被害について公表した。経緯や被害内容の詳細は、次の公開文書を参照していただきたい。
<関連URL>
・当社ウェブサイトへの不正アクセスについて(ニュートン・フィナンシャル・コンサルティング)
http://www.newton-fc.com/news/20160628/
・ウイルスメールによる不正アクセス被害について(千葉県柏市)
http://www.city.kashiwa.lg.jp/soshiki/020300/p035929.html
・不正アクセスによる個人情報流出に関するお詫びとご報告(グラフィック)
https://manage.graphic.jp/shop/order02_w.php
(2016/07/22 ネットセキュリティニュース)