8月16日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
IPA、サイバーセキュリティ状況を診断するツールをWebで公開
独立行政法人情報処理推進機構(以下、IPA)セキュリティセンターは8月17日、サイバーセキュリティの実施状況をチェックするWeb版診断ツール「サイバーセキュリティ経営可視化ツール」を公開した。
「サイバーセキュリティ経営可視化ツール」は、サイバーセキュリティの実践状況を企業自身がセルフチェックするためのWebサービス。「サイバーセキュリティ経営ガイドラインVer2.0」がベースとなっており、自社のセキュリティ状況を把握することで、セキュリティ方針の策定、セキュリティ投資計画の策定などの参考にできる。
β版が公開されたのは2020年3月だが、その後ユーザー企業へのヒアリング結果を踏まえつつ、同業種平均との比較、対策が不十分な場合の参考情報の提示、回答のヒントなどを追加して正式版となった。
おもに対象とする利用者は、従業員が300名以上の企業や組織。中小企業向けには、より簡易な「5分でできる! 情報セキュリティ自社診断」、「情報セキュリティ対策ベンチマーク」などを提供している。
利用には「情報セキュリティ対策支援サイト」で利用者情報を登録し、利用者番号の発行後、「情報セキュリティ対策支援サイト」へログインする必要がある。未ログインでも使えるが、過去の診断結果との比較はできない。
ニップン、ウイルス感染による大規模システム障害
ニップンのサーバーが不正アクセスを受け、システム障害が発生した。この情報は同社が7月9日に公表していたもので、その続報となる。
システム障害は2021年7月7日に発生。ただちに社内および社外のネットワークを遮断し、調査を開始した。調査によると、ニップングループのシステムがサイバー攻撃を受けた可能性が高いことが判明。サーバーで管理していた企業情報と個人情報の一部が流出した可能性があるという。
7月9日の発表では、ニップンの一部サーバーがウイルスに感染し、システム障害が発生。被害範囲が受注システム(FAX受注含む)までおよぶなど、広範囲に被害が広がっていると告知していた。ニップンは二次被害などの防止のため、セキュリティ対策を講じるとともに、障害を受けたシステムについて安全性を確認しだい、復旧を進めていくとしている。
THE HAIR BAR TOKYOオンラインストアに不正アクセス、クレジットカード情報4,538件が流出
ギャップインターナショナルが運営する「THE HAIR BAR TOKYOオンラインストア」が不正アクセスを受けた。システムの一部の脆弱性をついたECサイトアプリのファイル改ざんによるものだ。
ことの経緯は、まず2021年6月30日に一部のクレジットカード会社からクレジットカード情報の流出懸念について連絡を受け発覚。2021年7月9日より調査を開始した。
調査の結果、2021年4月23日~2021年6月4日の期間において、「THE HAIR BAR TOKYOオンラインストア」のクレジットカード情報(4,538件)に流出の可能性があることを確認。うち、決済が成立した注文数は356件で、それ以外はカードの有効性を確認していたものとみられている。流出した可能性のある情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコード。
同社は該当する顧客に電子メールまたは書状で連絡を取り、クレジットカードの利用明細書に身に覚えのない請求項目がないかを確認するよう注意を呼びかけている。また、流出した可能性のあるクレジットカードに関しては、取り引きのモニタリングも継続して実施中だ。
再発防止策として、現行システムを破棄し、サーバーを含めたシステムの移行、社内外におけるセキュリティ対策、および監視体制を強化する。サイトの再開日は決定しだい改めてWebサイト上で告知する。
ビーウィズ、社内ネットワークへの不正アクセス
ビーウィズの社内ネットワークが外部からのサイバー攻撃と不正アクセスを受けた。5月19日に、ネットワークへアクセスしづらいという報告を受け発覚。調査の結果、社内ネットワーク内で一部のデータが暗号化されていた。このデータへはアクセスができなくなり、脅迫文ファイルなども確認。ランサムウェアによる攻撃と判断した。
調査の結果、最終的に1台のPCとサーバー内データに暗号化の被害が発生。被害を受けたデータは、2013年以降にビーウィズのアルバイト求人に応募した15,421名分の個人情報(名前、応募時の年齢、合否判断および面接者の所見)。加えて、2020年4月以降の退職者を含む従業員の個人情報(氏名、勤務時間、給与情報)9,375名分も含まれていた。
8月13日の時点で、第三者から金銭の要求や社外への情報漏洩といった被害はない。また、コンタクトセンター業務のネットワークは、不正アクセスを受けた社内ネットワークとは異なるため、被害を免れている。
再発防止策として、外部からの攻撃に対する複数の対策を導入しつつ、セキュリティ環境の向上と不正アクセス発見力の向上を目的とした「認証機能や権限設定の変更」、「一部VPN機能の停止」、「各種ログ取得範囲拡大による監視体制の強化」などを行うとしている。
FUKUYA ONLINEで1,779名分のクレジットカード情報が流出
フクヤが運営する「FUKUYA ONLINE」が不正アクセスを受け、ユーザーのクレジットカード情報が流出した。
今回の不正アクセスは、システムの一部の脆弱性をついた決済処理プログラムの改ざんによるもので、偽のカード会員情報入力画面が埋め込まれた。発覚した2021年5月6日の時点でサイトを閉鎖し、調査を開始。
流出したのは、2021年2月15日~2021年3月19日の期間に、クレジットカード決済を利用した人のクレジットカード情報(1,779名分)。詳細は、クレジットカード会員の氏名、クレジットカード番号、クレジットカード有効期限、セキュリティコード。
該当者には、メールにて経緯の説明と謝罪を行うとともに、身に覚えのないクレジットカード利用履歴がないか確認するよう注意を呼びかけている。フクヤは再発防止策として、システムの構築面、当該サイトのセキュリティ、監視体制の強化に努めるとしている。なお、情報流出原因となった不正プログラムは、2021年5月28日に除去が完了。サイトの再開については決定しだい告知する。