画像:YJFX!より

2016年2月、外国為替証拠金取引サービスを提供するヤフーの子会社「ワイジェイFX株式会社(以下YJFX)」は、顧客情報18万5637件が社外に流出し、一時インターネット上で閲覧可能な状態になっていたことと明らかにしました。

事件の経緯

YJFXによると、今回の情報漏洩事件は、元従業員によって勝手に情報が外部に持ち出され、インターネット上に公開されてしまったというものです。

同社によると発生の経緯は以下のとおりです。

1月28日 外部からの通報により、調査を開始
1月29日 調査の結果、情報漏えいが発覚。
元従業員が持ち出してインターネット上に保存していたことが判明。
→インターネット上の情報へのアクセス遮断と、検索結果からの削除を依頼
1月30日 元従業員をヒアリング、PCの調査と情報の削除を実施
1月31日 元従業員の端末調査により、流出した情報の全容把握
2月1日・2日 情報の置かれたレンタルサーバのアクセスログから情報の削除を確認

事件の原因(問題点)

yjfx_logo

YJFXによると、今回の事件の原因は元従業員によって情報が持ち出され、インターネット上に保存していたことにあるとのことです。

そしてインターネット上に保存されていた情報の多くが外部から第三者に閲覧可能な状態になっており、一部は実際に閲覧されていました。

  • 検索エンジンの自動巡回装置によってアクセスされたもの:56,665件
  • 第三者によって閲覧されたもの:741件
    ・氏名+取引情報等:2件
    ・取引情報等のみ:739件

やはり最大の原因は、適切でない人物に情報が閲覧できる状態になっていたこと、そして簡単に持ち出せる状態になっていたことです。
これはアクセス制限といった技術的な対策と、人的なセキュリティコンプライアンスの両方の欠如だと思われます。

漏洩した情報は何か

漏えいした情報は下記です。

  • ユーザー情報18万5413件(外貨ex・旧MT4サービス)
  • ユーザー情報213件(C-NETサービス)

これらの細かい内訳は参考にあげた同社の報告資料を見て頂きたいのですが、各サービスによって違いはあれど、下記にある個人情報が含まれています。

  • 氏名
  • 住所
  • 銀行口座
  • 電話番号
  • 生年月日
  • メールアドレス
  • 取引情報等

ただし、この流出した情報を第三者が悪用し、それによって被害が発生したような事例は今のところ報告されていないとのことです。

事件後の対応はどうだったのか

YJFXによると事件後、同社は以下の対策を迅速に実施しています。

  1. 情報の置かれていたレンタルサーバへの外部からのアクセスを遮断
  2. 元従業員が保管していた媒体を同社で保管
  3. 利用者情報の保管の厳密化
  4. 社内ネットワーク等のアクセス制限の強化
  5. 他の従業員で同様の事象がないか調査

また、これとは別に情報流出の被害者に対して、以下の対応を実施しています。

  • 調査報告書の送付
  • ログインID/パスワードの変更

これらの対応は非常に迅速に行われ、かつ進捗状況は随時報告としてWebサイト上で公開されました。

まとめ(筆者所感)

今回のYJFXによる情報漏えい事件の原因は、元従業員による情報の持ち出しであるとのことです。

YJFXは今回の事件発生に伴って、同社はネットワークへのアクセス制限の強化や、外部からのレンタルサーバへのアクセス遮断などさまざまな技術的対策を迅速におこなっています。
そして、調査と対策の進捗を随時定期的に報告書としてWebサイトに掲載するという情報公開の姿勢は評価できると思います。

ただ、こういった人間の手による情報持ち出しや公開を防ぐには、技術的な側面の対策だけでなく、人的側面、つまり利用する側への教育と啓発が必要です。

今回の事件を見て2014年のベネッセの情報漏えい事件を思い出された方も多いと思います。
これは協力会社の社員による持ち出しでしたが、やはりアクセス権とコンプライアンスの問題が大きく取り上げられていました。

ベネッセ個人情報漏洩事件の全て<企業は加害者?それとも被害者?>

YJFXの報告書には技術的な対策は詳細に記載がありましたが、人的対策については記述が欠けているように感じられます。
同社が今後再発を防止するにあたっては、技術的側面からの対策だけでなく、セキュリティコンプライアンスの徹底という人的側面からの対策にも力を入れることが求められます。

<参考>
顧客情報持ち出しに関するご報告/YJFX

【無料メール講座】6日間で「未知のマルウェア」&「ヒューマンエラー」対策が分かる最新セキュリティトレンド講座


社内のセキュリティ対策でお悩みではありませんか?
この講座を受けていただくと、6日間のメールで下記のことがわかるようになります。

  • 必要最低限の「セキュリティ対策」を正しく理解する方法とは?
  • 経営者目線のセキュリティ対策とは?
  • 経営者が陥りやすいセキュリティ対策の3つの思い込みとは?
  • セキュリティ対策を進める上で知っておくべき3つのポイント
  • セキュリティ対策の大きな課題「未知のマルウェア」&「ヒューマンエラー」の解決方法

この情報をぜひ貴社のセキュリティ対策にお役立てください。