不正アクセスの概要

株式会社ヌーラボのサイトより引用：インシデント報告：ログ監視システムへの不正アクセスによる情報漏洩（2023年8月3日）

2023年8月3日に株式会社ヌーラボ(以下、同社)は、提供するビジネスチャットツール「Typetalk」が外部からの不正アクセスを受け、ユーザー情報の漏洩の可能性があることを公表しました。

不正アクセスの詳細と原因

不正アクセスの詳細

不正アクセスは、2023年7月21日から8月1日までの間にログ監視システムに保管していた2023年7月3日(月)から2023年7月24日(月)におけるアクセスログ及びアプリケーションログへの不正アクセスを確認し、メールアドレス他の個人情報が漏えいした可能性があるとのことです。

不正アクセスの原因

同社によると、不正アクセスの原因としてはアクセス制限を設定していたログ監視システムのファイアウォールの設定変更を行ったが、その設定内容の不備に気が付かず外部ネットワークからアクセス可能になっており、その脆弱性を突かれ攻撃者の不正アクセスに繋がったと発表しています。

今後の対応

2023年8月1日(火)11時30分(日本時間)にファイアウォールの設定を再度変更し、上記の社外ネットワークからのアクセスを遮断する設定を完了。また8月3、4日に個人情報保護の観点から二次被害を防ぐための対策を別途実施。その後も継続した対応を同社WEBサイトに掲載してユーザーに向けて説明を続けています。

まとめ「自社サービスの脆弱性診断は必須」

今回の件はアクセス制限の設定ミスという内容でしたが、人の手で実施する以上はヒューマンエラーは避けることは出来ません。サービスにリスクが潜在している状態で提供すると様々なトラブルを引き起こし大きな損害を被ることになります。

toB、toCに関わらず提供するWEBサービス、アプリケーションは必ず脆弱性診断を実施して安全な経営を実現してください。