無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

画像：エイベックス・グループHPより

人気アーティストを数多く抱える音楽会社エイベックス・グループ・ホールディングス（以下エイベックス）は、同社のアーティストの公式Webサイトに不正アクセスがあり、約35万件の個人情報の流出が発生したと発表しました。

※実際には調査の結果64万人の個人情報が流出したとされています。

事件の経緯

この事件の発生経緯について、同社では以下の通り発表しています。
実際の不正アクセスの発生は2016年4月21日ですが、そこからの経緯を時系列で追ってみましょう。

全体の経緯としては、事件の発生から調査結果の報告まで以上のような流れになっています。

事件の原因（問題点）

エイベックスによると事件の発生原因は、同社がWebサイトで利用しているケータイキットと呼ばれるソフトの脆弱性が悪用された結果、不正にサイトにアクセスされ、情報が盗まれてしまったことにあります。

このケータイキットの問題については、別記事で説明した日本テレビの事例についても同じ原因になっていますので、記憶に新しい読者の方もおられると思います。

具体的にはケータイキット(v1.641)に存在する「OSコマンド・インジェクション」と呼ばれる脆弱性により、Webサイト閲覧者が入力・操作をすることにより、Webサイトが動くシステムのOSに対して不正に命令を実行できる状態になっていました。

今回のエイベックスのケースでは、これによってWebサーバのコンテンツが不正に取得されたのだが、ここにデータベースサーバへのアクセスIDやパスワードが含まれていたのです。

その結果、データベースサーバから不正に個人情報を含むデータが取得され、それが外部に流出したのです。

漏洩した情報は何か

外部に漏えいした情報としてエイベックスは、同社のアーティスト公式Webサイトなどで行っているキャンペーンの応募者の個人情報（氏名、住所、電話番号、メールアドレスなど）であると発表しています。加えて、これら流出した情報の中にはクレジットカードの情報（暗証番号など）は含まれていないということです。

事件後の対応はどうだったのか

エイベックスでは事件発生後に、原因となったケータイキットの脆弱性を修正するための修正パッチを適用して、問題がこれ以上広がらないように対策を行っています。
加えて、個人情報流出の被害者へのお詫びや経済産業省への事象発生報告に加えて、原因調査と対策検討のための調査委員会を設けて調査にあたっています。

＜参照＞
WEBサイトへの不正アクセスに関わる調査委員会からの報告書受領について/エイベックスグループ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=31225&code=7860

まとめ（筆者所感）

今回の事象発生の直接の原因は、先の日本テレビの事件と同じケータイキットと呼ばれるソフトウェアに含まれる脆弱性です。この脆弱性によってWebサーバから不正に情報が取得された結果、悪意を持ったものが個人情報までたどり着き、外部に流出させることになってしまいました。

ここで、筆者が感じたことを率直に以下の２点として申し上げさせて頂きたいと思います。

1. エイベックスの対応が非常に遅い
2. Webサーバ上のなぜデータベースへのアクセス情報があるのか

特に感じたことは、エイベックスの対応が非常に遅いということです。
21日に不正アクセスが発生したのち、それが発覚するのが23日、また情報漏えいが発覚するのが25日です。

まず不正アクセスの発覚が遅く、また発覚すればすぐに漏えいの可能性を調査すべきです。

さらに漏えいが発覚したのちもプレスリリースが28日で、プレスリリースしているのに関わらず被害者への連絡は翌月3日と全ての対応が非常に遅きに失しています。
これでは隠蔽しようとしていると受け取られかねません。

またWebサーバ上の情報を元にしてデータベースにアクセスしたとのことですが、外部からのアクセスが想定されるWebサーバにそういった情報を置くべきではありません。

厳しいようですが今回の事件の最大の要因はこういった情報に対するコンプライアンスの欠如にあるのではないでしょうか。