2016年、栃木スバルで発生した個人情報漏洩事件について

[更新]

この記事は約 4 分で読めます。



画像:栃木スバル株式会社より

2016年10月に起きた、栃木スバル自動車情報漏洩事件。本件は、同社が保有するPC端末内部のHDDに記録されていた、顧客情報10万987件及び車両情報11万7,971 件の流出の可能性があるとされていました。

しかし、その後の同社発表によると、当該HDD内に記録されていた顧客情報は第一報より大幅に少なく、実数は8万8,125件であると明らかになりました。また、不正アクセスが行われたことそのものは事実であるが、流出の痕跡はないとの訂正も行われています。

今回は、栃木スバルで発生したこの事件に関してまとめます。

事件の概要

不正アクセス発生から、2017年1月末の調査結果公表に至るまでの経緯が下記です。

2016年10月16日 栃木スバル自動車が保有する独自のネットワーク系統の情報管理システムに、約4時間程度の不正アクセスが行われる。(スバルグループ全体で運用するネットワーク系統とは別のもの)
2016年10月21日 同社がウェブサイト上で情報漏洩の可能性を示唆する、第一報を公表。想定される被害者に対して、個別に情報漏洩の注意喚起と謝罪を記載した書面を郵送する。
2017年1月30日 専門機関の調査結果に基づき、今回の最終報告を行う。第一報で行わた被害規模より実数は少なく、情報流出の痕跡もないと明らかとなった。

漏洩の可能性があった情報

以下1~3の情報が不正アクセスによる漏洩の対象となる情報です。
※1・2については、お客様コードを連結することが可能であり、この場合は1・2の両方の閲覧が可能となる。

1. 顧客情報

栃木スバル自動車で車を購入、もしくは見積もりの発行を行った顧客情報。当初の報道では10万987件とされたが、正しくは8万8,125件。

  • 名前
  • 住所
  • 郵便番号
  • 電話番号
  • メールアドレス
  • 勤務先情報
  • お客様コード

2. 車両情報

栃木スバル自動車が提供するサービスを利用したことによる、車両情報11万7,971 件。

  • 車台番号
  • 登録番号
  • リース契約情報(リース会社・契約満了日)
  • 任意保険情報(保険会社コード・保険証券番号・保険満了日)
  • お客様コード

3. 口座情報

自動車取引の際に収集した銀行口座情報67件。

情報漏洩が起こった原因(問題点)

栃木スバル自動車の報告には詳細な手口が記載されていないものの、対応策として自社が保有するネットワークシステム及び端末管理を強化していることから、自社サイトやファイヤーウォール等のシステム面に、何らかの脆弱性があったものと考えられます。

事件発生後の対策

再発防止策

  • ネットワークシステム及び端末管理のセキュリティを見直し、不正アクセスに対する脆弱性を修正する。
  • 再発を防ぐために、今回の不正アクセスに使われた侵入経路を遮断。
  • 栃木スバル自動車内での情報管理ルールの見直し。及び従業員を対象に、個人情報の取扱いに対する教育プログラムを実施する。

顧客対応面

  • 調査専門機関の報告を反映した最終報告を、ウェブサイト上で公表。
  • 第一報で実施された書面郵送による個別対応は、今回は実施しないと発表。危惧されていた情報漏洩の可能性が確認されなかったことを踏まえて、個別郵送による対応は必要ないものと判断した、とのこと。

最後に

外部からの不正アクセス事件であるため、栃木スバル自動車が実施した対応の通り、ネットワーク及びコンピューター上で確認された脆弱性に対応することが第一だと考えられます。特に侵入経路を遮断することは必ず必要と言ってよく、再発防止に対する直接的な対応策です。

また、今回のケースでは被害が確認されなかったものの、不正アクセスが行われたことは事実です。したがって、攻撃者の意図や目的によっては、マルウェアやウイルスによる攻撃が行わる危険性も十分に想定できる状況だったものと思われます。

このような想定される被害に対応すべく、個人情報の閲覧者や取扱者を限定し、不要な情報を整理、隔離するなどの処置が必要かもしれません。また、個人情報そのものを暗号化し、外部閲覧を厳しく管理することができるサービスの導入なども、検討すべき対応策の1つです。

いずれにしても、外部アクセスの被害は年々増加傾向にあります。また、今後はIoTの進展に伴い、従来の情報端末であるパソコンやタブレット、スマートフォンだけでなく、様々な電子機器のセキュリティに対応する能力も求められるでしょう。企業の情報管理に対する意識の高さがより重要視される時代が、すぐそこまでやってきています。

<参照>
弊社コンピューターへの不正アクセスに関するお詫びとお知らせ(最終報)/栃木スバル株式会社(PDF)

セキュリティ診断サービス
あなたの会社のWEBサイトは大丈夫?社内ネットワークも心配... サイバー攻撃されて問題になる前にしっかりチェック!

こちらのページもご覧ください。

0からサイバーセキュリティの現状がわかる
情報漏洩セキュリティ対策
ハンドブックプレゼント

img_pdf1.はじめに
2.近年の個人情報漏洩の状況
3. 内部要因による情報漏洩
3-1.被害実例
3−2.内部犯行による被害統計情報
3-3.内部犯行による情報漏洩が増え続ける3つの原因
3-4.内部犯行を減らすための対策
4. 外部要因による情報漏洩
4−1.近年の個人情報漏洩の状況
4−2.実際の近年のサイバー攻撃による企業の被害実例
4−3.サイバー攻撃の統計情報
4-4.サイバー攻撃がふえ続ける5つの原因
4-5.急増する日本の企業のWEBサイト改ざんへの対策
4-6.サイバー攻撃の種類を把握しよう
4-7.日本におけるサイバー攻撃に対する国の対応と今後
4-8.外部要因による情報漏洩のセキュリティ対策
無料でここまでわかります!
ぜひ下記より無料ダウンロードしてみてはいかがでしょうか?

メルマガ登録はコチラ
作者:   セキュリティインシデント事例