情報漏えいの概要
2022年9月26日、JR西日本グループの山陽SC開発株式会社(以下、同社)は、会社のサーバーに起こったシステム障害が不正アクセスによるものであり、それにより情報漏えいの可能性があることを発表しました。
山陽SC開発より引用:弊社サーバーへの不正アクセスによる個人情報流出の可能性のお知らせとお詫び
情報漏えいの詳細
2022年9月19日に同社はサーバー障害を発見し、調整の結果、業務用に使用されているクラウドサーバーとPCが不正アクセスを受けている可能性があると判明した。この被害により、顧客、取引先、従業員の情報等、総数7950件が影響を受けており、情報漏えいの可能性のある内容は以下の通りです。
・お客様 約600件
弊社主催のイベント参加者の名簿など
・お取引先等関係者様 約7,200件
テナントスタッフ研修参加者名簿、テナント本部・お取引先様連絡先、採用に関わる情報など
・社員・退職者関係 約150件
情報は、氏名のほか、一部に住所、電話番号、メールアドレス等が含まれています。
情報漏えいにより受けた被害
まだ、漏えいが確定したわけではないですが、万が一漏洩していた場合は以下の被害及び損害が発生すると考えられます。
1.顧客・取引先への謝罪対応
2.関係所管への対応(個人情報保護委員会、警察等)
3.フォレンジック調査費用
4.システム改修
不正アクセスの原因
同社の発表によれば、以下の2件が情報漏えいの原因と考えれられます。
1.業務用クラウド上のサーバーへの不正アクセス
2.業務用パソコンへの不正アクセス
今後の対応
情報が流出したという明確な証拠はないものの、同社は情報の流出を否定することができない状況にあると述べています。具体的な攻撃方法や経路はまだ判明していないが、専門の第三者および調査機関と共に調査を進め、しっかりと対策を施し再発防止に努めています。
同社は、この問題の解決のために外部専門機関の協力を得て対策を講じ、再発防止に努めています。また、彼らが運営する商業施設「岡山一番街」や「さんすて岡山」等に影響は出ていないと説明しています。この事態によりお客様や関係者の皆様に多大なご迷惑をおかけしているとし、深く謝罪しています。
情報漏えいの対策とまとめ
本件の原因はまだ調査中ということではあるがプラットフォーム(サーバーやPCなど)への不正アクセスが原因である可能性が高いとのことです。ITセキュリティ対策には100%はありません。プラットフォームのセキュリティ対策が完了したら次はWEBアプリケーションの対策を実施することをお薦め致します。
【この記事と関連する記事はコチラ】
セキュリティ診断の基礎知識|「セキュリティ診断」「脆弱性診断」「ペネトレーションテスト」の言葉の違いからその種類、サービスの選び方まで大公開。