フラット35を展開の優良住宅ローン、不正アクセスにより個人情報流出

- 2017年02月09日[更新]
フラット35を展開の優良住宅ローン、不正アクセスにより個人情報流出



画像:優良住宅ローンHPより

2016年9月30日、「フラット35」などの長期固定金利の住宅ローンサービスを展開している優良住宅ローンは、同社メールサーバが不正アクセスを受け、個人情報を含むメールが外部に流出したと発表しました。

事件の経緯

優良住宅ローンによれば、今回の同社メールサーバへの不正アクセスによるメールの外部流出事件は以下のような経緯になっているとのことです。

2016年9月30日 同社メール管理サーバへの不正なアクセスを確認 ・サーバの管理者パスワードの変更
・情報漏えいの可能性を踏まえた内部調査を実施
2016年10月3日 不正アクセスに関与したと思われる送信者からのメールを受信 ・情報漏えいについて警察に相談を実施
・監督官庁に報告・相談を実施
2016年10月6日 情報漏えいについてのプレスリリースを出す ・情報漏えいの報告と内容の説明
・継続調査を実施している旨の説明

今のところ、発生してまだ日が浅いこともあり、ここまでの内容しか明らかとなっていません。
詳細な内容については現在調査しているとのことで、明らかになり次第発表されるでしょう。

事件の原因(問題点)

同社によると、今回の情報漏えい事件のはっきりとした原因はいまのところわかっていません。

メールサーバへの不正アクセスによって、不正にメールの内容が取得され、外部に流出したことはわかっていますが、ではなぜ不正アクセスが発生してしまったのかは今のところ不明です。

漏洩した情報は何か(2016年10月27日追記)

同社によると、今回漏洩した情報は、同社顧客の下記個人情報約3万7000人分とのことです。

  • 氏名
  • 住所
  • 勤務先
  • 金融機関の口座番号

事件後の対応はどうだったのか

同社の事件発生後の対応は迅速なものと言えます。

9月30日に自ら不正アクセスを検知してすぐにサーバの管理者パスワードを変更するといった対策を行っています。
そして、内部調査の上で、漏えい確認後速やかに警察や関係省庁に連絡の上で、プレスリリースを出していることは評価できます。

現在、詳細については調査中ですが、こちらについても調査が終わり次第、速やかに発表されることが期待されます。

まとめ(筆者所感)

今回の優良住宅ローンにおける情報漏えい事件は、発生したばかりということもあり、今のところ詳細な内容は調査中となっています。

しかし、今回の事件で同社の対応には以下の2点で高く評価すべきだと考えます。

  1. 自社で不正アクセスに気付ける体制になっていた
  2. 暫定ではあるが対策を迅速に行った

9月30日に不正アクセスが発生した際に、自社で気付いてすぐに対策を取れたことは当たり前のことではありますが非常に評価すべき内容です。

もし、自社で不正アクセスに気付けなかったら、より多くの情報が漏えいし、大きな影響が出てから初めて気づくことになったかもしれません。
そうすると、対応は後手に回り、企業の信用はさらに失墜していたことでしょう。
そうならないために自社で迅速に対応を取ることが出来たのは非常に大きいです。

警察や監督官庁への報告やプレスリリースもしっかりと行われていますので、ここまでは初動対応としては問題なく出来ていると思います。

しかし、実際に詳細な調査は現在行われているところなので、綿密な原因調査や、対象者への補償など、しっかりとした対応が行われるかはまだまだこれからの同社の対応を見てみないとわかりません。

一つ言えることは、今回のような不正アクセスによる情報漏えい事件は、何も今回のケースに限りません。
どの企業にとっても起こりうることと認識して、企業はこういった事態を防ぐためのセキュリティ対策にいっそう力を入れる必要があります。

<参考>
弊社電子メールの管理サーバへの不正アクセス及びお客様の個人情報漏えいの可能性について/優良住宅ローン

ゼロから始めるセキュリティ対策!
セキュリティチェック25
img_pdf

「セキュリティ対策」はインターネットを利用する全ての企業にとって必須

大企業であればお金をかけてしっかりとした対策に取り組めますが、
そんな予算もない中小企業の方々は、「セキュリティ対策が必要だとわかっていても何をすれば良いかわからない、、、」という方も多いはず。

そんな中小企業の方々、
特に50名以下の企業の社長、IT担当者、総務部担当者の方々は絶対に知っておきたい!自分でできるセキュリティ対策がチェックできるA4サイズ1枚にまとめた25項目のセキュリティチェックシートです。

メルマガ登録で無料ダウンロード!
無料ダウンロードはコチラ

IT企業10年間、Linux・Windows系のサーバ・インフラ系構築・運用エンジニアとして経験を積み、現在は、とある企業で社内SEとして活動。
多種多様な業務に携わってきたため知識は幅広く、得意分野はLinuxをはじめとしたサーバー構築。社内セキュリティ担当者としての経験も長く、セキュリティソフトウェアや、ゲートウェイ対策にも精通している専門家として活躍中。
>プロフィール詳細

こちらのページもご覧ください。

セキュリティ診断サービス

あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配...
サイバー攻撃されて問題になる前にしっかりチェック!

標的型メール訓練サービス

近年増え続ける標的型攻撃の対策はできてますか?社長だけが大丈夫でも社員全員の意識を上げないと、メールが来たら1/3も...

セキュリティ人材の育成に

今後不足すると言われているセキュリティ人材の確保を早めに対応しませんか?たった2日で学べる集中コース!

情報セキュリティ監査

150,000円のセキュリティ監査!専属担当者の採用は難しいけど、セキュリティが心配...という方必見です。

メルマガ会員登録募集中

中小企業向けセキュリティチェックシートプレゼント!その他特典多数!詳細はこちらをクリック!

日本年金機構の海外企業再委託事件から考える、形だけの再委託禁止条項

「プレスリリース」で不信増幅か|セシールオンラインショップ不正アクセス事件についての考察

ぴあ不正アクセス、クレカ情報含む15万件超の情報漏洩事件まとめ

作者:   セキュリティインシデント事例