データと引き換えに仮想通貨を要求、ECサイトが不正アクセス被害｜日本経営協会

一般社団法人日本経営協会は2019年8月30日、協会が運営するECサイトが不正アクセスと思われる被害を受け、個人情報2,851件に流出の可能性が生じたと明らかにしました。

インシデントは2019年8月21日～23日、協会がECサイトの運営委託先の企業にホームページの更新を依頼した過程で発覚。テスト用サーバーにおいて、マスターデータ変更作業中に、被害が生じた可能性があるとしています。

事案の詳しい経緯は？

日本経営協会によると、更新依頼を発した翌日にあたる2019年8月22日に、最初の兆候が見えています。更新依頼を受けた外部委託先がマスターデータを変更するため、テスト用サイトにアクセスしたところ、データベースが消失する事情が発生。

委託先は一時的にECサイトのデータベースを転用してマスターデータを更新しましたが、翌日2019年8月23日にテストサイトのデータベースを確認したところ、再びデータベースが消失する事象を確認。データベースには、データと引き換えにビットコインを要求する不審なメッセージが書かれていたという流れです。

流出が疑われるデータなどの概要は下記の通りです。

期間	2018年9月1日～2019年8月22日
対象者	経営学検定試験の受験申込（団体申込は除く）経営学検定、ファイリングデザイナー検定、電子ファイリング検定、公文書管理検定、ITPS 検定のテキスト及び過去問題集の購入申込通信教育の受講申込
件数	2,851件
内訳	氏名、住所、メールアドレス、電話番号、生年月日、会社名、FAX 番号、性別