サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ワイジェイFX(YJFX!)元従業員の持ち出しにより顧客情報18万件が流出



画像:YJFX!より

2016年2月、外国為替証拠金取引サービスを提供するヤフーの子会社「ワイジェイFX株式会社(以下YJFX)」は、顧客情報18万5637件が社外に流出し、一時インターネット上で閲覧可能な状態になっていたことと明らかにしました。

事件の経緯

YJFXによると、今回の情報漏洩事件は、元従業員によって勝手に情報が外部に持ち出され、インターネット上に公開されてしまったというものです。

同社によると発生の経緯は以下のとおりです。

1月28日 外部からの通報により、調査を開始
1月29日 調査の結果、情報漏えいが発覚。
元従業員が持ち出してインターネット上に保存していたことが判明。
→インターネット上の情報へのアクセス遮断と、検索結果からの削除を依頼
1月30日 元従業員をヒアリング、PCの調査と情報の削除を実施
1月31日 元従業員の端末調査により、流出した情報の全容把握
2月1日・2日 情報の置かれたレンタルサーバのアクセスログから情報の削除を確認

事件の原因(問題点)

yjfx_logo

YJFXによると、今回の事件の原因は元従業員によって情報が持ち出され、インターネット上に保存していたことにあるとのことです。

そしてインターネット上に保存されていた情報の多くが外部から第三者に閲覧可能な状態になっており、一部は実際に閲覧されていました。

  • 検索エンジンの自動巡回装置によってアクセスされたもの:56,665件
  • 第三者によって閲覧されたもの:741件
    ・氏名+取引情報等:2件
    ・取引情報等のみ:739件

やはり最大の原因は、適切でない人物に情報が閲覧できる状態になっていたこと、そして簡単に持ち出せる状態になっていたことです。
これはアクセス制限といった技術的な対策と、人的なセキュリティコンプライアンスの両方の欠如だと思われます。

漏洩した情報は何か

漏えいした情報は下記です。

  • ユーザー情報18万5413件(外貨ex・旧MT4サービス)
  • ユーザー情報213件(C-NETサービス)

これらの細かい内訳は参考にあげた同社の報告資料を見て頂きたいのですが、各サービスによって違いはあれど、下記にある個人情報が含まれています。

  • 氏名
  • 住所
  • 銀行口座
  • 電話番号
  • 生年月日
  • メールアドレス
  • 取引情報等

ただし、この流出した情報を第三者が悪用し、それによって被害が発生したような事例は今のところ報告されていないとのことです。

事件後の対応はどうだったのか

YJFXによると事件後、同社は以下の対策を迅速に実施しています。

  1. 情報の置かれていたレンタルサーバへの外部からのアクセスを遮断
  2. 元従業員が保管していた媒体を同社で保管
  3. 利用者情報の保管の厳密化
  4. 社内ネットワーク等のアクセス制限の強化
  5. 他の従業員で同様の事象がないか調査

また、これとは別に情報流出の被害者に対して、以下の対応を実施しています。

  • 調査報告書の送付
  • ログインID/パスワードの変更

これらの対応は非常に迅速に行われ、かつ進捗状況は随時報告としてWebサイト上で公開されました。

まとめ(筆者所感)

今回のYJFXによる情報漏えい事件の原因は、元従業員による情報の持ち出しであるとのことです。

YJFXは今回の事件発生に伴って、同社はネットワークへのアクセス制限の強化や、外部からのレンタルサーバへのアクセス遮断などさまざまな技術的対策を迅速におこなっています。
そして、調査と対策の進捗を随時定期的に報告書としてWebサイトに掲載するという情報公開の姿勢は評価できると思います。

ただ、こういった人間の手による情報持ち出しや公開を防ぐには、技術的な側面の対策だけでなく、人的側面、つまり利用する側への教育と啓発が必要です。

今回の事件を見て2014年のベネッセの情報漏えい事件を思い出された方も多いと思います。
これは協力会社の社員による持ち出しでしたが、やはりアクセス権とコンプライアンスの問題が大きく取り上げられていました。

ベネッセ個人情報漏洩事件の全て<企業は加害者?それとも被害者?>

YJFXの報告書には技術的な対策は詳細に記載がありましたが、人的対策については記述が欠けているように感じられます。
同社が今後再発を防止するにあたっては、技術的側面からの対策だけでなく、セキュリティコンプライアンスの徹底という人的側面からの対策にも力を入れることが求められます。

<参考>
顧客情報持ち出しに関するご報告/YJFX



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。