【第1回】情報セキュリティ事故対応アワード

審査概要

審査委員

• 徳丸 浩 氏 … HASHコンサルティング株式会社 代表取締役 / 京セラコミュニケーションシステム技術顧問 / 情報処理推進機構(IPA)非常勤研究員
• 北河 拓士 氏 … NTTコミュニケーションズ株式会社 経営企画部マネージドセキュリティサービス推進室
• 根岸 征史 氏 … 株式会社インターネットイニシアティブ セキュリティ情報統括室 シニアエンジニア
• 辻 伸弘 氏 … ソフトバンク・テクノロジー株式会社 シニアセキュリティリサーチャー
• piyokango 氏 … セキュリティインコ

審査基準

• 事故発覚から第一報までの期間、続報の頻度
• 発表内容 (原因・事象、被害範囲、対応内容)
• 自主的にプレスリリースを出したか

審査対象期間

2013年1月～2015年12月
※ リスト型攻撃が広がり始めた2013年を第1回の評価期間に含めた

最優秀賞

株式会社イーブックイニシアティブジャパン

【被害概要】

2013年4月2日から4月5日にかけて、779アカウントがアカウントリスト型攻撃を受けた。

第三者機関の調査の結果、最終的には、サーバへの不正侵入および情報漏洩の懸念を示す形跡はなかったという結論に至ったが、調査期間中も、被害に遭ったユーザーがいるかもしれないという想定で、被害が広がらないための手を尽くし、逐次情報を公開していった。

【受賞理由】

アカウントリスト型攻撃の前例がほとんどない中、手探りで見当をつけながら攻撃手法を素早く特定。その内容をほぼリアルタイムに公開した。

レポートでは、ログインの試行回数などの詳細データを明らかにしたうえで、対応内容や防御策まで細かに説明している。

漏洩の可能性があると判断した段階から(結果的に漏洩なし)自発的にレポートを発表している点は、ユーザーを第一に考えて高い意識で取り組んでいることの表れ。

【受賞インタビュー】