無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

画像：栃木スバル株式会社より

2016年10月に起きた、栃木スバル自動車情報漏洩事件。本件は、同社が保有するPC端末内部のHDDに記録されていた、顧客情報10万987件及び車両情報11万7,971 件の流出の可能性があるとされていました。

しかし、その後の同社発表によると、当該HDD内に記録されていた顧客情報は第一報より大幅に少なく、実数は8万8,125件であると明らかになりました。また、不正アクセスが行われたことそのものは事実であるが、流出の痕跡はないとの訂正も行われています。

今回は、栃木スバルで発生したこの事件に関してまとめます。

事件の概要

不正アクセス発生から、2017年1月末の調査結果公表に至るまでの経緯が下記です。

漏洩の可能性があった情報

以下1～3の情報が不正アクセスによる漏洩の対象となる情報です。
※1・2については、お客様コードを連結することが可能であり、この場合は1・2の両方の閲覧が可能となる。

1. 顧客情報

栃木スバル自動車で車を購入、もしくは見積もりの発行を行った顧客情報。当初の報道では10万987件とされたが、正しくは8万8,125件。

• 名前
• 住所
• 郵便番号
• 電話番号
• メールアドレス
• 勤務先情報
• お客様コード

2. 車両情報

栃木スバル自動車が提供するサービスを利用したことによる、車両情報11万7,971 件。

• 車台番号
• 登録番号
• リース契約情報（リース会社・契約満了日）
• 任意保険情報（保険会社コード・保険証券番号・保険満了日）
• お客様コード

3. 口座情報

自動車取引の際に収集した銀行口座情報67件。

情報漏洩が起こった原因（問題点）

栃木スバル自動車の報告には詳細な手口が記載されていないものの、対応策として自社が保有するネットワークシステム及び端末管理を強化していることから、自社サイトやファイヤーウォール等のシステム面に、何らかの脆弱性があったものと考えられます。

事件発生後の対策

再発防止策

• ネットワークシステム及び端末管理のセキュリティを見直し、不正アクセスに対する脆弱性を修正する。
• 再発を防ぐために、今回の不正アクセスに使われた侵入経路を遮断。
• 栃木スバル自動車内での情報管理ルールの見直し。及び従業員を対象に、個人情報の取扱いに対する教育プログラムを実施する。

顧客対応面

• 調査専門機関の報告を反映した最終報告を、ウェブサイト上で公表。
• 第一報で実施された書面郵送による個別対応は、今回は実施しないと発表。危惧されていた情報漏洩の可能性が確認されなかったことを踏まえて、個別郵送による対応は必要ないものと判断した、とのこと。

最後に

外部からの不正アクセス事件であるため、栃木スバル自動車が実施した対応の通り、ネットワーク及びコンピューター上で確認された脆弱性に対応することが第一だと考えられます。特に侵入経路を遮断することは必ず必要と言ってよく、再発防止に対する直接的な対応策です。

また、今回のケースでは被害が確認されなかったものの、不正アクセスが行われたことは事実です。したがって、攻撃者の意図や目的によっては、マルウェアやウイルスによる攻撃が行わる危険性も十分に想定できる状況だったものと思われます。

このような想定される被害に対応すべく、個人情報の閲覧者や取扱者を限定し、不要な情報を整理、隔離するなどの処置が必要かもしれません。また、個人情報そのものを暗号化し、外部閲覧を厳しく管理することができるサービスの導入なども、検討すべき対応策の1つです。

いずれにしても、外部アクセスの被害は年々増加傾向にあります。また、今後はIoTの進展に伴い、従来の情報端末であるパソコンやタブレット、スマートフォンだけでなく、様々な電子機器のセキュリティに対応する能力も求められるでしょう。企業の情報管理に対する意識の高さがより重要視される時代が、すぐそこまでやってきています。

＜参照＞
弊社コンピューターへの不正アクセスに関するお詫びとお知らせ（最終報）／栃木スバル株式会社（PDF）