2018年5月7日に「園芸振興センターの会員情報が流出、一時ダークウェブ上に – 宝塚市」というタイトルのニュースが出ていました。宝塚市立宝塚園芸振興センターのウェブサイトが不正アクセスを受け、ダークウェブ上に個人情報が流出したというニュースです。
園芸振興センターの事例だけではなく、2018/4/3には中央省庁職員の公用メールアドレス2000件が流出、2018/4/6には三菱地所・サイモンが運営するショッピングモール「プレミアム・アウトレット」の 会員情報と思われる約43万件のデータが公開されていることが日経 xTECHにて報じられています。日本企業・組織が被害を受ける事例が増加していて、徐々にメディアで「ダークウェブ」「ブラックマーケット」「闇サイト」「闇ウェブ」等の単語を見る機会が増加しています。
今回は、最も新しい「園芸振興センター」の事例について、事件の概要から対策までをまとめてみましたので、参考にして頂ければと思います。
園芸振興センターの流出事件の概要
今回、「あいあいパーク」というウェブサイトが被害対象となっています。アクセスしてみるとTOPページの一番目立つところに「不正アクセスによるお客様情報流出の可能性に関するお知らせとお詫び」という文言が出ており、クリックするとPDFで詳細が表示されます。どうやら、有限会社ビーアイティーという企業が管理しているウェブサーバーが外部から不正アクセスを受けたことが原因となっているようです。
流出の可能性がある情報としては、メールアドレスやパスワード、名前、都道府県などが挙げられています。サイト内を見てみるとメインメニューに「メルマガ」「ネットショッピング」という項目があり、クリックするとアドレスやパスワード等を登録できるようになっていました。おそらく、このサイトに登録した方の情報が流出してしまったのだと予測できます。
対応策と会員が受ける被害
対応策として、会員に対してメールアドレス及びパスワードの変更を促しています。また、会員の登録データを削除し、お客様に対してお詫びとご報告のメールを送付したと記載があります。今後のセキュリティー対策については「早急に検討いたします」とあり、詳しい内容は書かれていません。
この場合のリスクとして、ダークウェブ上に流出していた会員のパスワードやメールアドレス情報を手に入れた(購入した)人が、ログインをして個人情報を抜き取る可能性が考えられます。そして、手に入れたアカウント情報を基に他のwebサービスにもログインを試みる可能性も考えられます。
不正利用する側の立場に立ってみると、色々なサービスで同じアドレスやパスワードを使いまわしている人も多く、不正ログインを試みる場合、他サービスのパスワードとアドレスの組み合わせを利用するほうが、ランダムに組み合わせてログインを試みるより効率が良いと考えるのは自然です。
流出してしまった情報に関しては完全に削除することは不可能であるため、上記のようにアカウント情報の変更や削除が有効な手段となります。不正アクセスがあってから流出が発覚するまでどの程度の時間を要したのかは分かりませんが、発覚が遅れれば遅れるほど被害は広がっていくと考えられます。
防止策はあったのか?今後の対策は?
今回のように、会員情報を持っている企業であれば、様々な事例からダークウェブ上に会員情報が漏洩するリスクはあり、漏洩した場合の損害は計り知れません。そのため、万が一に備えて、普段からダークウェブを調査して、自社に関連する情報がないか調査することを視野に入れておくことをお勧めします。
既にセキュリティアセスメントを行い、情報セキュリティの実態を可視化して対策に繋げている企業も多いと思いますが、セキュリティ面の対策だけではなく、定期的なウェブモニタリングも必要です。
実際に我々のクライアントでも、モニタリングをしている事例があります。不正アクセスを受けてから、社内会議で方針を固め、数年間はサーフェスウェブ及びダークウェブ上のモニタリングを行うことを決めて、我々のほうで定期的に調査を実施しています。
過去に不正アクセスを受けたことがある、不正アクセスで顧客情報や会員情報が漏洩したことがある企業に関しては、定期的なモニタリングを検討してみると良いでしょう。