サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

2015年新日本プロレスで起きた1万8,000件の個人情報流出事件について



2015年、新日本プロレスのWEBサーバに不正アクセスが仕掛けられ、クレジットカード情報を含む個人情報が、最大1万8,000件ほど流出しました。今回は、この事件についてまとめます。

事件の概要

WEBサーバの脆弱性を突いた外部犯による攻撃で、被害規模の大きさが話題を呼びました。

2015年4月28日 新日本プロレスが保有するクレジットカード情報の流出が危惧されると、決済企業から通知される。
2015年4月28日 新日本プロレスが委託しているシステム関連会社の操作により、クレジットカードの決済機能を停止。
2015年5月1日 新日本プロレスが依頼していた、第三者調査機関「Payment Card Forensics株式会社」が一連の流出事件の調査を開始。
2015年6月24日 調査機関の報告により、クレジットカード情報の流出が確定。新日本プロレスは同日、所轄警察署に被害届を提出し、今後の対応を相談。

流出した情報

平成25年8月28日〜平成27年4月28日の間に、新日本プロレスが収集していた「お客様情報(クレジットカード情報、及び、氏名・住所・電話番号・Eメールアドレス) 」、が最大1万8,000件流出(クレジットカード決済情報は1万1,155件)したものと考えられています。

原因(問題点)

外部による不正アクセスによる情報流出です。WEBコンテンツ及びサーバの脆弱性を利用し、攻撃されています。

事件後の対策

事件発生後に新日本プロレスが取った対策は、以下の通りです。

  • オンラインのクレジットカード決済を停止。
  • Webサーバ内に保管されていたクレジットカード情報の削除。
  • 調査会社の指摘に基づいた、システムの脆弱性および管理体制の不備の改修。
  • 決済機能において、クレジットカード情報の伝達プロセスを変更。並びにシステム切替。
  • 社内にセキュリティ管理部門を新設。

新日本プロレスの対策に関する考察

今回の情報漏洩に対する新日本プロレス側の対応は、かなり迅速なものでした。

漏洩の事実が発覚したのは2015年4月28日の18時頃ですが、同日21時にはクレジットカード決済の機能を停止、情報隔離を行っています。早期に被害拡大を防ごうと努め、意思決定を行った事は、現代企業の対応として評価されるべきものです。

流出情報は約1万8,000件とかなりの規模となりましたが、事実公表後は誠実に謝罪会見を行い、説明責任も果たしています。保障や賠償を恐れて不誠実な行動を取る企業が目立つ中、このような新日本プロレスの対応は、企業ダメージを最小限に抑えるための、誠実な対応だと言えるでしょう。

問題点を正しく認識し、対策を講じる姿勢が大切

新日本プロレスが事件発生後に行った、再発防止策についてですが、こちらも全体的に成果が期待できるものを的確に実施しています。

特に攻撃対象となったWEBコンテンツ及びサーバが有する脆弱性は、早急に改善を施しており、同時に再発防止策としてシステム管理体制の不備を補填。これらは再発防止のための直接的な対策として、高い効果が期待できます。

また、決済システムを改修し、クレジットカード情報が自社サーバを通過しない決済機能に切り替えた点も、リスク管理に対する上手な対応方法です。利用者の利便性を損なうことなく、リスク負担を軽減する妙手だと言えるでしょう。

最後に、社内セキュリティの管理部門を設置したことも評価できます。新日本プロレスのように事業規模の大きな機関では、情報漏洩に対する被害は甚大なものに上ります。今回のような不測の事態に備えて、普段からセキュリティ監査に目を向ける機能を持たせることは、大きな意義がある改革です。

情報漏洩対策のモデルケースとも言える事案

結論として、今回の新日本プロレスの情報漏洩事件は、セキュリティ対策のモデルケースとも言える事案として評価できます。

情報漏洩の事実を素早く察知し、決済機能の停止と情報隔離を行った対応の速さは、見事と言うしかありません。また、自社調査ではカバーしきれない部分を第三者調査機関に委託する対応も、意思決定を行う経営陣のセキュリティ意識が高かったことの証左だと言えるでしょう。

要点をまとめると以下の通りとなります。是非参考にしてみて下さい。

  • 情報漏洩の事実を素早く察知し、当日内に対応した情報管理体制
  • 決済機能の停止とその後の調査対策を数日内に決断する、意思決定機関の情報保護意識の高さ
  • 再発防止に向けた、セキュリティ部門の設置及び、システム改修。ハードとソフトの両面からのアプローチ。

<参照>





  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。