画像:エイベックス・グループHPより

人気アーティストを数多く抱える音楽会社エイベックス・グループ・ホールディングス(以下エイベックス)は、同社のアーティストの公式Webサイトに不正アクセスがあり、約35万件の個人情報の流出が発生したと発表しました。

※実際には調査の結果64万人の個人情報が流出したとされています。

事件の経緯

この事件の発生経緯について、同社では以下の通り発表しています。
実際の不正アクセスの発生は2016年4月21日ですが、そこからの経緯を時系列で追ってみましょう。

4月21日 1:28 同社子会社エイベックス・ミュージック・クリエイティブ(AMC)に不正アクセス
【情報漏えいの発生】
4月23日 不正アクセスの有無について調査
【攻撃があったことが発覚】
4月25日1:58 ケータイキットのパッチ適用の完了
【脆弱性の解消】
同日20:59 外部掲示板に個人情報が掲載されていると判明
【漏えいの発覚】
4月28日 同社Webサイトに情報流出の公表とお詫びのプレスリリースを掲載
経済産業省に「情報流出の可能性」を報告
5月3日 情報流出被害者にお詫びのメールを送信
5月10日 個人情報不正アクセス調査委員会を設置
6月23日 調査結果とりまとめと報告

全体の経緯としては、事件の発生から調査結果の報告まで以上のような流れになっています。

事件の原因(問題点)

avex1エイベックスによると事件の発生原因は、同社がWebサイトで利用しているケータイキットと呼ばれるソフトの脆弱性が悪用された結果、不正にサイトにアクセスされ、情報が盗まれてしまったことにあります。

このケータイキットの問題については、別記事で説明した日本テレビの事例についても同じ原因になっていますので、記憶に新しい読者の方もおられると思います。

具体的にはケータイキット(v1.641)に存在する「OSコマンド・インジェクション」と呼ばれる脆弱性により、Webサイト閲覧者が入力・操作をすることにより、Webサイトが動くシステムのOSに対して不正に命令を実行できる状態になっていました。

今回のエイベックスのケースでは、これによってWebサーバのコンテンツが不正に取得されたのだが、ここにデータベースサーバへのアクセスIDやパスワードが含まれていたのです。

その結果、データベースサーバから不正に個人情報を含むデータが取得され、それが外部に流出したのです。

漏洩した情報は何か

外部に漏えいした情報としてエイベックスは、同社のアーティスト公式Webサイトなどで行っているキャンペーンの応募者の個人情報(氏名、住所、電話番号、メールアドレスなど)であると発表しています。加えて、これら流出した情報の中にはクレジットカードの情報(暗証番号など)は含まれていないということです。

事件後の対応はどうだったのか

エイベックスでは事件発生後に、原因となったケータイキットの脆弱性を修正するための修正パッチを適用して、問題がこれ以上広がらないように対策を行っています。
加えて、個人情報流出の被害者へのお詫びや経済産業省への事象発生報告に加えて、原因調査と対策検討のための調査委員会を設けて調査にあたっています。

<参照>
WEBサイトへの不正アクセスに関わる調査委員会からの報告書受領について/エイベックスグループ
http://v4.eir-parts.net/v4Contents/View.aspx?template=announcement&sid=31225&code=7860

まとめ(筆者所感)

今回の事象発生の直接の原因は、先の日本テレビの事件と同じケータイキットと呼ばれるソフトウェアに含まれる脆弱性です。この脆弱性によってWebサーバから不正に情報が取得された結果、悪意を持ったものが個人情報までたどり着き、外部に流出させることになってしまいました。

ここで、筆者が感じたことを率直に以下の2点として申し上げさせて頂きたいと思います。

  1. エイベックスの対応が非常に遅い
  2. Webサーバ上のなぜデータベースへのアクセス情報があるのか

特に感じたことは、エイベックスの対応が非常に遅いということです。
21日に不正アクセスが発生したのち、それが発覚するのが23日、また情報漏えいが発覚するのが25日です。

まず不正アクセスの発覚が遅く、また発覚すればすぐに漏えいの可能性を調査すべきです。

さらに漏えいが発覚したのちもプレスリリースが28日で、プレスリリースしているのに関わらず被害者への連絡は翌月3日と全ての対応が非常に遅きに失しています。
これでは隠蔽しようとしていると受け取られかねません。

またWebサーバ上の情報を元にしてデータベースにアクセスしたとのことですが、外部からのアクセスが想定されるWebサーバにそういった情報を置くべきではありません。

厳しいようですが今回の事件の最大の要因はこういった情報に対するコンプライアンスの欠如にあるのではないでしょうか。

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。