不正アクセスの概要
2023年9月22日、JR西日本グループの一部で、「さんすて岡山」などの施設を運用している駅ビル管理企業の山陽SC開発(以下、同社)は同社が使用しているメールアカウントに対する不正アクセスがあったと公表しました。
不正アクセスの詳細
同社の発表によると、同社が利害関係者へ送信するために使用している一つのメールアカウントが攻撃を受けたとのことです。この結果、スパムメールが大量に送信されました。
現時点では、個人情報が流出したという二次被害は確認されておらず、また山陽SC開発が運営する施設にも悪影響は出ていないとの報告があります。
不正アクセスにより受けた被害
今回の被害としてしては以下になります。
1.不正アクセスを受けたメールアカウントが踏み台となり不正にスパムメールの送信。
不正アクセスの原因
不正アクセスの具体的な原因については、報道では明らかにされていませんが以下の可能性が考えられます。
1.メールアカウントのID・パスワードの管理ミス
2.メールアカウントへのパスワード総当たり攻撃
3.WEBアプリケーションの脆弱性
今後の対応
一方、この問題が発生した後、同社はすぐにパスワードの変更などの対策を講じました。さらに、将来的には必要なセキュリティ対策を導入し、同じような事態の再発を防ぐための努力をするとしています。お客様や関係者への深い謝罪とともに、この姿勢を強調しています。
不正アクセスへの対策とまとめ
本件はメールアカウントへの攻撃を受けスパムメールの踏み台にされた事例となります。具体的な原因については同社からも発表されていませんが、原因に記載していた3点のどれかである可能性は非常に高いと考えられます。
また、同社は後日の発表で不正アクセスから個人情報漏えいについても発表しているため非常に大きな問題に発展しています。個人情報漏えいまで発生している為、原因としては3.WEBアプリケーションの脆弱性である可能性も非常に高いと考えられます。同様の被害に合わないためにも自社サイトの脆弱性も必ず実施してください。
【この記事と関連する記事はコチラ】