「情報漏えい、当社に関係なし」の嘘(第7回)ぴあですら個人情報流出の可能性。守りは急務

脅威・サイバー攻撃

2017.05.12

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 またしても大手企業から個人情報流出か?というニュースが流れてきた。2017年4月25日にチケット販売大手のぴあが、運営を受託しているサイトから15万件余りの個人情報流出の可能性があると発表したのだ。クレジットカード情報を含む個人情報の流出で、現実にクレジットカードの不正利用も確認される事態にまで発展した。

 経緯は以下のようなものだった。個人情報が流出した可能性があるのは、ぴあが運営を受託しているB.LEAGUE(公益社団法人ジャパン・プロフェッショナル・バスケットボールリーグ)のB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバー。何者かがサーバーにサイバー攻撃を仕掛けた。これにより最大で、約15万5000件の個人情報が悪意ある第三者に流出した。そのうち約3万2000件はクレジットカード情報を含むという。

流出した情報からクレジットカード不正利用も

 今回のぴあの事件では実害が生じた。情報セキュリティー対策の必要性が改めて実感させられる。ぴあによる4月21日の集計時点で、197件、計約630万円のクレジットカードの不正利用が確認された。ぴあは不正使用分の金額を負担して、クレジットカード会社を通じ補償する。さらに被害の拡大についてもクレジットカード各社と連携して、情報が流出した可能性のあるクレジットカードによる取引のモニタリングを強化。さらなる不正利用の防止に努めるという。

 今回の情報流出の直接的な原因は、JavaのWebアプリケーションフレームワーク「Apache Struts2」の脆弱性を突かれたことにある。Apache Struts2は、Apache Software Foundationが開発するオープンソースのソフトだ。Webアプリケーションを開発する際に、国内外で一般的に使われる。2017年3月9日、情報処理推進機構(IPA)はApache Struts2の脆弱性の最新情報を公開し、任意のコードが実行される可能性を指摘した。対策として、IPAでは最新バージョンへのアップデートを実施するように促している。

 一般的に使われるApache Struts2だけに、情報流出のリスクはどのような企業や団体でもあったはずだ。ただ、多くは対策を施しリスクを回避できた。ぴあもIPAの発表を受けて、脆弱性の存在を認識していた。ところが、今回のB.LEAGUEチケットサイトとファンクラブ受付サイトのサーバーでは、想定外のことが起こっていた。ぴあでは、これらのサーバー上に、クレジットカード情報などの個人情報が「ない」と判断していたのだ。だが、実際にはクレジットカード情報がサーバー上に保存されていた。「ない」はずの個人情報が、サーバーの脆弱性を突いた攻撃で、外部に流出してしまったのだ。

システムリスクには「人間」の関与も考慮

続きを読むにはログインが必要です

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=岩元 直久

あわせて読みたい記事

「脅威・サイバー攻撃」人気記事ランキング

AIによるおすすめ記事

他の方はこんな記事も見ています

連載バックナンバー

オンラインセミナー動画

配信日時

2022年6月24日(金)13時30分-15時00分(予定)

業務効率化関連

日本企業におけるDXの活用、推進による課題解決について

これからの経営の重要なキーワードとなっているDX(デジタルトランスフォーメーション)。
デジタル技術の急速な発展・SDGs等の社会環境変化や市場の競争環境変化により、企業はデジタルを活用した事業や業務の変革が迫られています。
本セミナーでは、「DX」の概念の理解に加え、事例等を通じ、具体的イメージをご紹介しながらDX推進のためのポイントをお伝えすると共に、すぐにできるDXをご紹介します。
ぜひこの機会にご参加ください。

配信期間

2022年6月3日(土)~2023年3月31日(金)

業務効率化関連

企業のDX化と「攻め」のオペレーションへの転換

DXという言葉はすっかりバズワードとなり、今やすべての企業にとってデジタル化は必須となっています。
しかし、DXの捉え方は会社によってさまざまで、「とりあえずデジタル」のような取り組みをDXと位置付けているケースもございます。
本セミナーでは、まず第一部で企業におけるDXの定義とDX活動を着実に前進させるポイントについてご説明し、第二部ではDX活動の第一歩として「おまかせAI-OCR」を活用したオペレーション改革について、具体例を交えながらご紹介します。