サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

エイベックス情報漏洩事件から考える<コンプライアンス意識の欠如>



画像:エイベックス・グループHPより

人気アーティストを数多く抱える音楽会社エイベックス・グループ・ホールディングス(以下エイベックス)は、同社のアーティストの公式Webサイトに不正アクセスがあり、約35万件の個人情報の流出が発生したと発表しました。

※実際には調査の結果64万人の個人情報が流出したとされています。

事件の経緯

この事件の発生経緯について、同社では以下の通り発表しています。
実際の不正アクセスの発生は2016年4月21日ですが、そこからの経緯を時系列で追ってみましょう。

4月21日 1:28 同社子会社エイベックス・ミュージック・クリエイティブ(AMC)に不正アクセス
【情報漏えいの発生】
4月23日 不正アクセスの有無について調査
【攻撃があったことが発覚】
4月25日1:58 ケータイキットのパッチ適用の完了
【脆弱性の解消】
同日20:59 外部掲示板に個人情報が掲載されていると判明
【漏えいの発覚】
4月28日 同社Webサイトに情報流出の公表とお詫びのプレスリリースを掲載
経済産業省に「情報流出の可能性」を報告
5月3日 情報流出被害者にお詫びのメールを送信
5月10日 個人情報不正アクセス調査委員会を設置
6月23日 調査結果とりまとめと報告

全体の経緯としては、事件の発生から調査結果の報告まで以上のような流れになっています。

事件の原因(問題点)

avex1エイベックスによると事件の発生原因は、同社がWebサイトで利用しているケータイキットと呼ばれるソフトの脆弱性が悪用された結果、不正にサイトにアクセスされ、情報が盗まれてしまったことにあります。

このケータイキットの問題については、別記事で説明した日本テレビの事例についても同じ原因になっていますので、記憶に新しい読者の方もおられると思います。

具体的にはケータイキット(v1.641)に存在する「OSコマンド・インジェクション」と呼ばれる脆弱性により、Webサイト閲覧者が入力・操作をすることにより、Webサイトが動くシステムのOSに対して不正に命令を実行できる状態になっていました。

今回のエイベックスのケースでは、これによってWebサーバのコンテンツが不正に取得されたのだが、ここにデータベースサーバへのアクセスIDやパスワードが含まれていたのです。

その結果、データベースサーバから不正に個人情報を含むデータが取得され、それが外部に流出したのです。

漏洩した情報は何か

外部に漏えいした情報としてエイベックスは、同社のアーティスト公式Webサイトなどで行っているキャンペーンの応募者の個人情報(氏名、住所、電話番号、メールアドレスなど)であると発表しています。加えて、これら流出した情報の中にはクレジットカードの情報(暗証番号など)は含まれていないということです。

事件後の対応はどうだったのか

エイベックスでは事件発生後に、原因となったケータイキットの脆弱性を修正するための修正パッチを適用して、問題がこれ以上広がらないように対策を行っています。
加えて、個人情報流出の被害者へのお詫びや経済産業省への事象発生報告に加えて、原因調査と対策検討のための調査委員会を設けて調査にあたっています。

<参照>
WEBサイトへの不正アクセスに関わる調査委員会からの報告書受領について/エイベックスグループ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=31225&code=7860

まとめ(筆者所感)

今回の事象発生の直接の原因は、先の日本テレビの事件と同じケータイキットと呼ばれるソフトウェアに含まれる脆弱性です。この脆弱性によってWebサーバから不正に情報が取得された結果、悪意を持ったものが個人情報までたどり着き、外部に流出させることになってしまいました。

ここで、筆者が感じたことを率直に以下の2点として申し上げさせて頂きたいと思います。

  1. エイベックスの対応が非常に遅い
  2. Webサーバ上のなぜデータベースへのアクセス情報があるのか

特に感じたことは、エイベックスの対応が非常に遅いということです。
21日に不正アクセスが発生したのち、それが発覚するのが23日、また情報漏えいが発覚するのが25日です。

まず不正アクセスの発覚が遅く、また発覚すればすぐに漏えいの可能性を調査すべきです。

さらに漏えいが発覚したのちもプレスリリースが28日で、プレスリリースしているのに関わらず被害者への連絡は翌月3日と全ての対応が非常に遅きに失しています。
これでは隠蔽しようとしていると受け取られかねません。

またWebサーバ上の情報を元にしてデータベースにアクセスしたとのことですが、外部からのアクセスが想定されるWebサーバにそういった情報を置くべきではありません。

厳しいようですが今回の事件の最大の要因はこういった情報に対するコンプライアンスの欠如にあるのではないでしょうか。





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。