ワイジェイFX(YJFX!)元従業員の持ち出しにより顧客情報18万件が流出

- 2017年02月09日[更新]
ワイジェイFX(YJFX!)元従業員の持ち出しにより顧客情報18万件が流出



画像:YJFX!より

2016年2月、外国為替証拠金取引サービスを提供するヤフーの子会社「ワイジェイFX株式会社(以下YJFX)」は、顧客情報18万5637件が社外に流出し、一時インターネット上で閲覧可能な状態になっていたことと明らかにしました。

事件の経緯

YJFXによると、今回の情報漏洩事件は、元従業員によって勝手に情報が外部に持ち出され、インターネット上に公開されてしまったというものです。

同社によると発生の経緯は以下のとおりです。

1月28日 外部からの通報により、調査を開始
1月29日 調査の結果、情報漏えいが発覚。
元従業員が持ち出してインターネット上に保存していたことが判明。
→インターネット上の情報へのアクセス遮断と、検索結果からの削除を依頼
1月30日 元従業員をヒアリング、PCの調査と情報の削除を実施
1月31日 元従業員の端末調査により、流出した情報の全容把握
2月1日・2日 情報の置かれたレンタルサーバのアクセスログから情報の削除を確認

事件の原因(問題点)

yjfx_logo

YJFXによると、今回の事件の原因は元従業員によって情報が持ち出され、インターネット上に保存していたことにあるとのことです。

そしてインターネット上に保存されていた情報の多くが外部から第三者に閲覧可能な状態になっており、一部は実際に閲覧されていました。

  • 検索エンジンの自動巡回装置によってアクセスされたもの:56,665件
  • 第三者によって閲覧されたもの:741件
    ・氏名+取引情報等:2件
    ・取引情報等のみ:739件

やはり最大の原因は、適切でない人物に情報が閲覧できる状態になっていたこと、そして簡単に持ち出せる状態になっていたことです。
これはアクセス制限といった技術的な対策と、人的なセキュリティコンプライアンスの両方の欠如だと思われます。

漏洩した情報は何か

漏えいした情報は下記です。

  • ユーザー情報18万5413件(外貨ex・旧MT4サービス)
  • ユーザー情報213件(C-NETサービス)

これらの細かい内訳は参考にあげた同社の報告資料を見て頂きたいのですが、各サービスによって違いはあれど、下記にある個人情報が含まれています。

  • 氏名
  • 住所
  • 銀行口座
  • 電話番号
  • 生年月日
  • メールアドレス
  • 取引情報等

ただし、この流出した情報を第三者が悪用し、それによって被害が発生したような事例は今のところ報告されていないとのことです。

事件後の対応はどうだったのか

YJFXによると事件後、同社は以下の対策を迅速に実施しています。

  1. 情報の置かれていたレンタルサーバへの外部からのアクセスを遮断
  2. 元従業員が保管していた媒体を同社で保管
  3. 利用者情報の保管の厳密化
  4. 社内ネットワーク等のアクセス制限の強化
  5. 他の従業員で同様の事象がないか調査

また、これとは別に情報流出の被害者に対して、以下の対応を実施しています。

  • 調査報告書の送付
  • ログインID/パスワードの変更

これらの対応は非常に迅速に行われ、かつ進捗状況は随時報告としてWebサイト上で公開されました。

まとめ(筆者所感)

今回のYJFXによる情報漏えい事件の原因は、元従業員による情報の持ち出しであるとのことです。

YJFXは今回の事件発生に伴って、同社はネットワークへのアクセス制限の強化や、外部からのレンタルサーバへのアクセス遮断などさまざまな技術的対策を迅速におこなっています。
そして、調査と対策の進捗を随時定期的に報告書としてWebサイトに掲載するという情報公開の姿勢は評価できると思います。

ただ、こういった人間の手による情報持ち出しや公開を防ぐには、技術的な側面の対策だけでなく、人的側面、つまり利用する側への教育と啓発が必要です。

今回の事件を見て2014年のベネッセの情報漏えい事件を思い出された方も多いと思います。
これは協力会社の社員による持ち出しでしたが、やはりアクセス権とコンプライアンスの問題が大きく取り上げられていました。

ベネッセ個人情報漏洩事件の全て<企業は加害者?それとも被害者?>

YJFXの報告書には技術的な対策は詳細に記載がありましたが、人的対策については記述が欠けているように感じられます。
同社が今後再発を防止するにあたっては、技術的側面からの対策だけでなく、セキュリティコンプライアンスの徹底という人的側面からの対策にも力を入れることが求められます。

<参考>
顧客情報持ち出しに関するご報告/YJFX

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

「プレスリリース」で不信増幅か|セシールオンラインショップ不正アクセス事件についての考察

ぴあ不正アクセス、クレカ情報含む15万件超の情報漏洩事件まとめ

作者:   セキュリティインシデント事例