2023年10月2日、仕事旅行社(以下、同社)が同年9月に不正アクセス被害にあったことについてのその後の対応と報告を発表しました。同社は、自社のサーバが不正アクセスを受け、個人情報などの情報が不正に取得・利用されるという被害が発生したことにつき、対象者及び一般に通知するとともに、その経緯と対策についてを発表しています。
目次
不正アクセス被害の詳細
被害の影響範囲は、2023年9月4日(月)に発生した事件時に、仕事旅行社のサービス運営に必要なデータが全削除されたことで広がっている。特に、同社が2021年頃まで使用していたが現在は使用していない外部のメルマガ管理システムが攻撃対象となり、一部の個人情報が不正に取得されたことが明らかになった。
流出した内容としては、同社サーバに保管されていた2011年2⽉から2023年9月5日までに入力された33,670件の以下の情報となります。
【個人情報】
氏名、生年月日、住所、電話番号、メールアドレス、生年月日、職業/業種/職種【求⼈応募をされた⽅のみ】最終学歴、職務経歴
【法人情報】
氏名、年齢、住所(都道府県のみ)、電話番号、メールアドレス、職業/業種/職種
仕事旅行社より引用:不正アクセスに関するご報告(続報)
同社の決済情報は外部委託先が管理しているため、クレジットカード情報等の流出は確認されていない。また、パスワードについては二重暗号化(ハッシュ化)が行われているため、こちらも流出していないこと。また、当該システムから流出したと思われる情報を用いて、特定の弁護士を名乗る犯人から数多くの不適切メールが送信され、社会的な混乱が生じている。仕事旅行社は警察と連携して事件の解明に努める一方で、2023年10月2日現在において被害抑止策と再発防止策を一部導入ししています。
不正アクセス被害による今まで対応・対策と今後の予定
対策外部の専門家による脆弱性診断およびプラットフォーム診断の実施、WAFの導入、社内でのOWASPZAPでの定期的な診断、各種ツールのバージョン管理の定期化、特に個人情報関連の取り扱い強化などが挙げられた。
社内・関係者へ実施した対策
1.当社Webサーバの遮断
2.対象者に緊急の注意喚起メールの送信
3.サイトでの注意喚起の公表
4.サーバに関連するパスワードの変更
5.外部専門家との事実関係調査
外部・関係省庁へ実施した対応
1.管轄の警察署および警視庁サイバー犯罪対策課への報告
2.個⼈情報保護委員会への報告
3.外部のセキュリティ対策専門家への相談
今後対応する予定のWEBセキュリティツール及び対策
1.外部の専門家による脆弱性診断およびプラットフォーム診断の実施(対応中)
2.WAFの導入
3.社内でのOWASPZAPでの定期的な診断
4.各種ツールのバージョン管理の定期化
5.個人情報関連の取り扱い強化としてファイヤーウォールよりIP制限
6.その他(外部の専門家およびセキュリティ監督委員会などの提言を踏まえ、再発防止に向けた種々のセキュリティ強化の検討・体制の構築など)(対応中)
同社は、犯人が自身の素性を隠すツールを用いて今回の不正アクセスを実施しているため、捜査や全容解明については長期に渡ると認識しています。情報漏えいの対象となったユーザーへは今後も透明性の保持と信頼回復に向けた対策を講じつつ、事件の解明に全力を傾注するとしています。
まとめ「自社サービスを提供する際は必ずセキュリティ対策を」
本件は非常に大きな影響があった事例であると言わざるを得ません。下記のニュースでも当たように同社のサービスを導入していた事業者にも大きな影響が発生しています。
【仕事旅行社の不正アクセスによって影響が発生した企業】
上記2社以外にも、同社のサービスを導入している企業で影響を受けた会社はあったと予想されます。自社のサービスを提供している事業者は顧客への影響、さらにその先にいるユーザーへの影響を考えるとセキュリティ対策をしていることは企業の責任として必須かと思います。本来、(3)今後対応する予定のWEBセキュリティツール及び対策を事前に実施していればこのような被害は防げた可能性は非常に大きいと思います。
secuasは上記の対策で紹介されておりました「3.社内でのOWASPZAPでの定期的な診断」を担うサービスです。自社で導入すると複雑な設定が必要ですがsecuasはURLを登録するだけで診断を開始出来ます。
今なら無料診断も実施しておりますのでまずは自社のサイトに潜むリスクを無料で診断してみてください。
【この記事と関連する記事はコチラ】