不正アクセスの概要
2023年9月29日、株式会社ECC(以下、同社)は英会話学校の学習支援システム「インターセクション」の開発サーバーが不正アクセスに遭ったと発表しました。
ECCより引用:不正アクセスによる個人情報流出の可能性に関するお知らせとお詫び
不正アクセスの詳細
同社によると、不正アクセスが行われたことは同年9月12日に確認されましたが、詳細な調査の結果、2023年5月16日から複数回にわたり繰り返しアクセスが実施されていたことが分かりました。この不正アクセスにより、1,249人の利用者の氏名やIDなどの個人情報が流出した可能性があります。なお、流出した可能性のある情報には、メールアドレス、性別、生年月日、住所、電話番号、クレジットカード情報は含まれていないとのことです。
不正アクセスにより受けた被害と対応
本件による被害及び対応は以下の通りになると想定されます。
1.1,249人分の個人情報漏えい
2.利用者への謝罪対応
3.関係各所への報告
4.フォレンジック調査
不正アクセスの原因
同社からは原因の詳細は発表されていませんが、開発サーバーの運用体制が不適切だったために不正アクセスが発生したとのことです。
発表の文章から推測される原因としては以下の内容になります。
1.ログインのID・PASSの管理不足
2.推測可能なPASSが設定されていた
3.IP制限を設定していない
4.開発環境に脆弱性があった
今後の対応
同社は不正アクセスの再発防止策として、通信制限の強化やアカウントのIDとパスワードの変更などを行っており、引き続き開発サーバーの運用体制を見直し、安全なシステム運営に努めていくとしています。
不正アクセスへの対策とまとめ
本件は開発環境にあってもセキュリティ対策の重要性を再認識させてくれる事例となりました。「開発環境だから」とついセキュリティ対策が疎かになってしまうことがあるかと思いますが、重要な情報を保有している場合は本件のような事例が発生してしまいます。
secuasには開発環境にも利用できるのか?という問合せがよくありますがもちろん使用可能です。ぜひ一度お試し下さい。
【この記事と関連する記事はコチラ】