ワイジェイFX(YJFX!)元従業員の持ち出しにより顧客情報18万件が流出

この記事は約 4 分で読めます。



画像:YJFX!より

2016年2月、外国為替証拠金取引サービスを提供するヤフーの子会社「ワイジェイFX株式会社(以下YJFX)」は、顧客情報18万5637件が社外に流出し、一時インターネット上で閲覧可能な状態になっていたことと明らかにしました。

事件の経緯

YJFXによると、今回の情報漏洩事件は、元従業員によって勝手に情報が外部に持ち出され、インターネット上に公開されてしまったというものです。

同社によると発生の経緯は以下のとおりです。

1月28日 外部からの通報により、調査を開始
1月29日 調査の結果、情報漏えいが発覚。
元従業員が持ち出してインターネット上に保存していたことが判明。
→インターネット上の情報へのアクセス遮断と、検索結果からの削除を依頼
1月30日 元従業員をヒアリング、PCの調査と情報の削除を実施
1月31日 元従業員の端末調査により、流出した情報の全容把握
2月1日・2日 情報の置かれたレンタルサーバのアクセスログから情報の削除を確認

事件の原因(問題点)

yjfx_logo

YJFXによると、今回の事件の原因は元従業員によって情報が持ち出され、インターネット上に保存していたことにあるとのことです。

そしてインターネット上に保存されていた情報の多くが外部から第三者に閲覧可能な状態になっており、一部は実際に閲覧されていました。

  • 検索エンジンの自動巡回装置によってアクセスされたもの:56,665件
  • 第三者によって閲覧されたもの:741件
    ・氏名+取引情報等:2件
    ・取引情報等のみ:739件

やはり最大の原因は、適切でない人物に情報が閲覧できる状態になっていたこと、そして簡単に持ち出せる状態になっていたことです。
これはアクセス制限といった技術的な対策と、人的なセキュリティコンプライアンスの両方の欠如だと思われます。

漏洩した情報は何か

漏えいした情報は下記です。

  • ユーザー情報18万5413件(外貨ex・旧MT4サービス)
  • ユーザー情報213件(C-NETサービス)

これらの細かい内訳は参考にあげた同社の報告資料を見て頂きたいのですが、各サービスによって違いはあれど、下記にある個人情報が含まれています。

  • 氏名
  • 住所
  • 銀行口座
  • 電話番号
  • 生年月日
  • メールアドレス
  • 取引情報等

ただし、この流出した情報を第三者が悪用し、それによって被害が発生したような事例は今のところ報告されていないとのことです。

事件後の対応はどうだったのか

YJFXによると事件後、同社は以下の対策を迅速に実施しています。

  1. 情報の置かれていたレンタルサーバへの外部からのアクセスを遮断
  2. 元従業員が保管していた媒体を同社で保管
  3. 利用者情報の保管の厳密化
  4. 社内ネットワーク等のアクセス制限の強化
  5. 他の従業員で同様の事象がないか調査

また、これとは別に情報流出の被害者に対して、以下の対応を実施しています。

  • 調査報告書の送付
  • ログインID/パスワードの変更

これらの対応は非常に迅速に行われ、かつ進捗状況は随時報告としてWebサイト上で公開されました。

まとめ(筆者所感)

今回のYJFXによる情報漏えい事件の原因は、元従業員による情報の持ち出しであるとのことです。

YJFXは今回の事件発生に伴って、同社はネットワークへのアクセス制限の強化や、外部からのレンタルサーバへのアクセス遮断などさまざまな技術的対策を迅速におこなっています。
そして、調査と対策の進捗を随時定期的に報告書としてWebサイトに掲載するという情報公開の姿勢は評価できると思います。

ただ、こういった人間の手による情報持ち出しや公開を防ぐには、技術的な側面の対策だけでなく、人的側面、つまり利用する側への教育と啓発が必要です。

今回の事件を見て2014年のベネッセの情報漏えい事件を思い出された方も多いと思います。
これは協力会社の社員による持ち出しでしたが、やはりアクセス権とコンプライアンスの問題が大きく取り上げられていました。

ベネッセ個人情報漏洩事件の全て<企業は加害者?それとも被害者?>

YJFXの報告書には技術的な対策は詳細に記載がありましたが、人的対策については記述が欠けているように感じられます。
同社が今後再発を防止するにあたっては、技術的側面からの対策だけでなく、セキュリティコンプライアンスの徹底という人的側面からの対策にも力を入れることが求められます。

<参考>
顧客情報持ち出しに関するご報告/YJFX

セキュリティ診断サービス
あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配... サイバー攻撃されて問題になる前にしっかりチェック!

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ