サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

2016年、栃木スバルで発生した個人情報漏洩事件について



画像:栃木スバル株式会社より

2016年10月に起きた、栃木スバル自動車情報漏洩事件。本件は、同社が保有するPC端末内部のHDDに記録されていた、顧客情報10万987件及び車両情報11万7,971 件の流出の可能性があるとされていました。

しかし、その後の同社発表によると、当該HDD内に記録されていた顧客情報は第一報より大幅に少なく、実数は8万8,125件であると明らかになりました。また、不正アクセスが行われたことそのものは事実であるが、流出の痕跡はないとの訂正も行われています。

今回は、栃木スバルで発生したこの事件に関してまとめます。

事件の概要

不正アクセス発生から、2017年1月末の調査結果公表に至るまでの経緯が下記です。

2016年10月16日 栃木スバル自動車が保有する独自のネットワーク系統の情報管理システムに、約4時間程度の不正アクセスが行われる。(スバルグループ全体で運用するネットワーク系統とは別のもの)
2016年10月21日 同社がウェブサイト上で情報漏洩の可能性を示唆する、第一報を公表。想定される被害者に対して、個別に情報漏洩の注意喚起と謝罪を記載した書面を郵送する。
2017年1月30日 専門機関の調査結果に基づき、今回の最終報告を行う。第一報で行わた被害規模より実数は少なく、情報流出の痕跡もないと明らかとなった。

漏洩の可能性があった情報

以下1~3の情報が不正アクセスによる漏洩の対象となる情報です。
※1・2については、お客様コードを連結することが可能であり、この場合は1・2の両方の閲覧が可能となる。

1. 顧客情報

栃木スバル自動車で車を購入、もしくは見積もりの発行を行った顧客情報。当初の報道では10万987件とされたが、正しくは8万8,125件。

  • 名前
  • 住所
  • 郵便番号
  • 電話番号
  • メールアドレス
  • 勤務先情報
  • お客様コード

2. 車両情報

栃木スバル自動車が提供するサービスを利用したことによる、車両情報11万7,971 件。

  • 車台番号
  • 登録番号
  • リース契約情報(リース会社・契約満了日)
  • 任意保険情報(保険会社コード・保険証券番号・保険満了日)
  • お客様コード

3. 口座情報

自動車取引の際に収集した銀行口座情報67件。

情報漏洩が起こった原因(問題点)

栃木スバル自動車の報告には詳細な手口が記載されていないものの、対応策として自社が保有するネットワークシステム及び端末管理を強化していることから、自社サイトやファイヤーウォール等のシステム面に、何らかの脆弱性があったものと考えられます。

事件発生後の対策

再発防止策

  • ネットワークシステム及び端末管理のセキュリティを見直し、不正アクセスに対する脆弱性を修正する。
  • 再発を防ぐために、今回の不正アクセスに使われた侵入経路を遮断。
  • 栃木スバル自動車内での情報管理ルールの見直し。及び従業員を対象に、個人情報の取扱いに対する教育プログラムを実施する。

顧客対応面

  • 調査専門機関の報告を反映した最終報告を、ウェブサイト上で公表。
  • 第一報で実施された書面郵送による個別対応は、今回は実施しないと発表。危惧されていた情報漏洩の可能性が確認されなかったことを踏まえて、個別郵送による対応は必要ないものと判断した、とのこと。

最後に

外部からの不正アクセス事件であるため、栃木スバル自動車が実施した対応の通り、ネットワーク及びコンピューター上で確認された脆弱性に対応することが第一だと考えられます。特に侵入経路を遮断することは必ず必要と言ってよく、再発防止に対する直接的な対応策です。

また、今回のケースでは被害が確認されなかったものの、不正アクセスが行われたことは事実です。したがって、攻撃者の意図や目的によっては、マルウェアやウイルスによる攻撃が行わる危険性も十分に想定できる状況だったものと思われます。

このような想定される被害に対応すべく、個人情報の閲覧者や取扱者を限定し、不要な情報を整理、隔離するなどの処置が必要かもしれません。また、個人情報そのものを暗号化し、外部閲覧を厳しく管理することができるサービスの導入なども、検討すべき対応策の1つです。

いずれにしても、外部アクセスの被害は年々増加傾向にあります。また、今後はIoTの進展に伴い、従来の情報端末であるパソコンやタブレット、スマートフォンだけでなく、様々な電子機器のセキュリティに対応する能力も求められるでしょう。企業の情報管理に対する意識の高さがより重要視される時代が、すぐそこまでやってきています。

<参照>
弊社コンピューターへの不正アクセスに関するお詫びとお知らせ(最終報)/栃木スバル株式会社(PDF)



  • LINEで送る

書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。