エイベックス情報漏洩事件から考える<コンプライアンス意識の欠如>

この記事は約 4 分で読めます。



画像:エイベックス・グループHPより

人気アーティストを数多く抱える音楽会社エイベックス・グループ・ホールディングス(以下エイベックス)は、同社のアーティストの公式Webサイトに不正アクセスがあり、約35万件の個人情報の流出が発生したと発表しました。

※実際には調査の結果64万人の個人情報が流出したとされています。



事件の経緯

この事件の発生経緯について、同社では以下の通り発表しています。
実際の不正アクセスの発生は2016年4月21日ですが、そこからの経緯を時系列で追ってみましょう。

4月21日 1:28 同社子会社エイベックス・ミュージック・クリエイティブ(AMC)に不正アクセス
【情報漏えいの発生】
4月23日 不正アクセスの有無について調査
【攻撃があったことが発覚】
4月25日1:58 ケータイキットのパッチ適用の完了
【脆弱性の解消】
同日20:59 外部掲示板に個人情報が掲載されていると判明
【漏えいの発覚】
4月28日 同社Webサイトに情報流出の公表とお詫びのプレスリリースを掲載
経済産業省に「情報流出の可能性」を報告
5月3日 情報流出被害者にお詫びのメールを送信
5月10日 個人情報不正アクセス調査委員会を設置
6月23日 調査結果とりまとめと報告

全体の経緯としては、事件の発生から調査結果の報告まで以上のような流れになっています。

事件の原因(問題点)

avex1エイベックスによると事件の発生原因は、同社がWebサイトで利用しているケータイキットと呼ばれるソフトの脆弱性が悪用された結果、不正にサイトにアクセスされ、情報が盗まれてしまったことにあります。

このケータイキットの問題については、別記事で説明した日本テレビの事例についても同じ原因になっていますので、記憶に新しい読者の方もおられると思います。

具体的にはケータイキット(v1.641)に存在する「OSコマンドインジェクション」と呼ばれる脆弱性により、Webサイト閲覧者が入力・操作をすることにより、Webサイトが動くシステムのOSに対して不正に命令を実行できる状態になっていました。

今回のエイベックスのケースでは、これによってWebサーバのコンテンツが不正に取得されたのだが、ここにデータベースサーバへのアクセスIDやパスワードが含まれていたのです。

その結果、データベースサーバから不正に個人情報を含むデータが取得され、それが外部に流出したのです。

漏洩した情報は何か

外部に漏えいした情報としてエイベックスは、同社のアーティスト公式Webサイトなどで行っているキャンペーンの応募者の個人情報(氏名、住所、電話番号、メールアドレスなど)であると発表しています。加えて、これら流出した情報の中にはクレジットカードの情報(暗証番号など)は含まれていないということです。

事件後の対応はどうだったのか

エイベックスでは事件発生後に、原因となったケータイキットの脆弱性を修正するための修正パッチを適用して、問題がこれ以上広がらないように対策を行っています。
加えて、個人情報流出の被害者へのお詫びや経済産業省への事象発生報告に加えて、原因調査と対策検討のための調査委員会を設けて調査にあたっています。

<参照>
WEBサイトへの不正アクセスに関わる調査委員会からの報告書受領について/エイベックスグループ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=31225&code=7860

まとめ(筆者所感)

今回の事象発生の直接の原因は、先の日本テレビの事件と同じケータイキットと呼ばれるソフトウェアに含まれる脆弱性です。この脆弱性によってWebサーバから不正に情報が取得された結果、悪意を持ったものが個人情報までたどり着き、外部に流出させることになってしまいました。

ここで、筆者が感じたことを率直に以下の2点として申し上げさせて頂きたいと思います。

  1. エイベックスの対応が非常に遅い
  2. Webサーバ上のなぜデータベースへのアクセス情報があるのか

特に感じたことは、エイベックスの対応が非常に遅いということです。
21日に不正アクセスが発生したのち、それが発覚するのが23日、また情報漏えいが発覚するのが25日です。

まず不正アクセスの発覚が遅く、また発覚すればすぐに漏えいの可能性を調査すべきです。

さらに漏えいが発覚したのちもプレスリリースが28日で、プレスリリースしているのに関わらず被害者への連絡は翌月3日と全ての対応が非常に遅きに失しています。
これでは隠蔽しようとしていると受け取られかねません。

またWebサーバ上の情報を元にしてデータベースにアクセスしたとのことですが、外部からのアクセスが想定されるWebサーバにそういった情報を置くべきではありません。

厳しいようですが今回の事件の最大の要因はこういった情報に対するコンプライアンスの欠如にあるのではないでしょうか。

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。 多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。 >プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ