千趣会の子会社から不正アクセス被害!対策を考えよう|サイバーセキュリティ.com

千趣会の子会社から不正アクセス被害!対策を考えよう



千趣会は、同社子会社のベルネージュダイレクトが運営するギフトECサイトのサーバに、不正アクセスがあったと発表しました。

千趣会は、通信販売からブライダル事業まで幅広く手掛けています。女性のための会社として、ベルメゾンをはじめ、多くの女性になじみがある会社から、13万件以上の不正アクセスを許してしまったのは、大きな打撃でしょう。

ひとたび流出してしまうと、止められない

今回、不正アクセスの対象になったのは、下記4サイトです。

  • ベビパラハッピーギフト
  • Pre-mo ギフト
  • TOMATOMA ギフト
  • ベビパラギフト

千趣会によると、対象サイトの委託先であるアヴェールのWeb管理・サーバ管理を行っている再委託先セキが、不正アクセスの形跡を発見し、調査を開始しました。

流出した可能性がある情報

  • 顧客の名前、郵便番号、住所、電話番号
  • メールアドレス
  • パスワード
  • クレジットカード情報
  • 連名の名前
  • 子供の性別、生年月日、名前、体重
  • 商品届け先の名前、郵便番号、住所、電話番号

これほど多くの情報が漏れてしまった可能性があります。日頃からサーバのセキュリティを高める工夫をしなければ、いとも簡単に不正アクセスへとつながってしまうことを肝に銘じておきましょう。

行うべき対策とは

アップデート構成管理ツールの導入、定期メンテナンス時間を設けましょう

update

当たり前ですが、OSのアップデートは極めて重要です。サーバの場合、常に稼働させなければならない関係上、毎日アップデートを行うことが難しいのですが、放置をすればするほどセキュリティが弱くなってしまいます。そのため、定期的にメンテナンス時間を設けることが重要となるでしょう。

問題は、クライアントのOSです。アップデートを自動化した場合、個別にインストールしたくないプログラムに対応できないことです。

Windowsでは、グループポリシーを構成すれば自動再起動の設定を行うことができるものの、互換性の問題でインストールしたくないプログラムが存在しても、自動的にインストールされてしまいます。そんな時は「WSUS」などのアップデート構成管理ツールを導入してみましょう。

WSUSはMicrosoft社から無償で配布されているツールで、社内で多数運用されているパソコンに対して、一括してセキュリティ更新や、パッチの適用有無、サービスパック導入が行えます。上手に使いこなすことによって、インストールしたくないプログラムは除いてインストールすることが可能です。

まとめ

個人情報が流出してから対策しても、時すでにおそし。常日頃から情報を管理し、漏らすことがないように対策する意識を持っておきましょう。


SNSでもご購読できます。