エイベックス情報漏洩事件から考える<コンプライアンス意識の欠如>

- 2017年02月09日[更新]
エイベックス情報漏洩事件から考える<コンプライアンス意識の欠如>



画像:エイベックス・グループHPより

人気アーティストを数多く抱える音楽会社エイベックス・グループ・ホールディングス(以下エイベックス)は、同社のアーティストの公式Webサイトに不正アクセスがあり、約35万件の個人情報の流出が発生したと発表しました。

※実際には調査の結果64万人の個人情報が流出したとされています。

事件の経緯

この事件の発生経緯について、同社では以下の通り発表しています。
実際の不正アクセスの発生は2016年4月21日ですが、そこからの経緯を時系列で追ってみましょう。

4月21日 1:28 同社子会社エイベックス・ミュージック・クリエイティブ(AMC)に不正アクセス
【情報漏えいの発生】
4月23日 不正アクセスの有無について調査
【攻撃があったことが発覚】
4月25日1:58 ケータイキットのパッチ適用の完了
【脆弱性の解消】
同日20:59 外部掲示板に個人情報が掲載されていると判明
【漏えいの発覚】
4月28日 同社Webサイトに情報流出の公表とお詫びのプレスリリースを掲載
経済産業省に「情報流出の可能性」を報告
5月3日 情報流出被害者にお詫びのメールを送信
5月10日 個人情報不正アクセス調査委員会を設置
6月23日 調査結果とりまとめと報告

全体の経緯としては、事件の発生から調査結果の報告まで以上のような流れになっています。

事件の原因(問題点)

avex1エイベックスによると事件の発生原因は、同社がWebサイトで利用しているケータイキットと呼ばれるソフトの脆弱性が悪用された結果、不正にサイトにアクセスされ、情報が盗まれてしまったことにあります。

このケータイキットの問題については、別記事で説明した日本テレビの事例についても同じ原因になっていますので、記憶に新しい読者の方もおられると思います。

具体的にはケータイキット(v1.641)に存在する「OSコマンド・インジェクション」と呼ばれる脆弱性により、Webサイト閲覧者が入力・操作をすることにより、Webサイトが動くシステムのOSに対して不正に命令を実行できる状態になっていました。

今回のエイベックスのケースでは、これによってWebサーバのコンテンツが不正に取得されたのだが、ここにデータベースサーバへのアクセスIDやパスワードが含まれていたのです。

その結果、データベースサーバから不正に個人情報を含むデータが取得され、それが外部に流出したのです。

漏洩した情報は何か

外部に漏えいした情報としてエイベックスは、同社のアーティスト公式Webサイトなどで行っているキャンペーンの応募者の個人情報(氏名、住所、電話番号、メールアドレスなど)であると発表しています。加えて、これら流出した情報の中にはクレジットカードの情報(暗証番号など)は含まれていないということです。

事件後の対応はどうだったのか

エイベックスでは事件発生後に、原因となったケータイキットの脆弱性を修正するための修正パッチを適用して、問題がこれ以上広がらないように対策を行っています。
加えて、個人情報流出の被害者へのお詫びや経済産業省への事象発生報告に加えて、原因調査と対策検討のための調査委員会を設けて調査にあたっています。

<参照>
WEBサイトへの不正アクセスに関わる調査委員会からの報告書受領について/エイベックスグループ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=31225&code=7860

まとめ(筆者所感)

今回の事象発生の直接の原因は、先の日本テレビの事件と同じケータイキットと呼ばれるソフトウェアに含まれる脆弱性です。この脆弱性によってWebサーバから不正に情報が取得された結果、悪意を持ったものが個人情報までたどり着き、外部に流出させることになってしまいました。

ここで、筆者が感じたことを率直に以下の2点として申し上げさせて頂きたいと思います。

  1. エイベックスの対応が非常に遅い
  2. Webサーバ上のなぜデータベースへのアクセス情報があるのか

特に感じたことは、エイベックスの対応が非常に遅いということです。
21日に不正アクセスが発生したのち、それが発覚するのが23日、また情報漏えいが発覚するのが25日です。

まず不正アクセスの発覚が遅く、また発覚すればすぐに漏えいの可能性を調査すべきです。

さらに漏えいが発覚したのちもプレスリリースが28日で、プレスリリースしているのに関わらず被害者への連絡は翌月3日と全ての対応が非常に遅きに失しています。
これでは隠蔽しようとしていると受け取られかねません。

またWebサーバ上の情報を元にしてデータベースにアクセスしたとのことですが、外部からのアクセスが想定されるWebサーバにそういった情報を置くべきではありません。

厳しいようですが今回の事件の最大の要因はこういった情報に対するコンプライアンスの欠如にあるのではないでしょうか。

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

「プレスリリース」で不信増幅か|セシールオンラインショップ不正アクセス事件についての考察

ぴあ不正アクセス、クレカ情報含む15万件超の情報漏洩事件まとめ

作者:   セキュリティインシデント事例