データベースに保存していなくても情報漏えいは発生する

シャトレーゼ、FREE USE MUSIC、日本和装、エネット、NTTファシリティーズ、神戸市立王子動物園、梅花女子大学、タミヤ、MAPPLEトラベル、セシール、ラズレナ、東京大学、学研、ボートレース徳山、アグリゲート、新日本プロレス(引用元:Security NEXT [ニュースガイア株式会社])

誰もが聞いたことがあるような有名企業、組織も含まれております。

実は、すべて7月に情報流出事故を届け出た企業、組織なのです。

これらはおそらく氷山の一角、届け出のないものも含めると流出事件、事故はもっとたくさん発生しているのではないかと思います。

【参考リンク】
個人情報漏洩事件・事故一覧(1ページ目 / 全280ページ)
Security NEXT(ニュースガイア株式会社)

 

流出事故の経緯を見ていると気になる事例がありました。

ネバーセイネバーの「ラズレナ」で3701件のカード情報が漏えい、OpenSSLの脆弱性が原因 | ネットショップ担当者フォーラム

 

このECサイトはデータベースにクレジットカード情報を保存していないのに、クレジットカード情報が漏えいしてしまっているのです。

いったいどういうことでしょうか。

原因はOpenSSLの脆弱性とあります。OpenSSLとはユーザーの端末とインターネット上のサーバー間の通信内容を暗号化するソフトウェアです。

どうやら通信経路上の暗号化されたクレジットカード情報を盗聴、解読されて情報漏えいとなってしまったようです。

問題となったOpenSSLは、SSL対応のWebサイトの三分の二で利用されているといわれているとてもメジャーなソフトウェアです。

昨年、OpenSSLの危険度の高い脆弱性の公開と修正版がリリースされており、ITインフラご担当の方は急ぎ対策を実施していたのではないでしょうか。リスクを過小評せずに早い段階で脆弱性対策が出来ていたら情報流出事故は防げたのかもしれません。

インターネット上には抜け目なく悪意のある活動をしている人間がいることを実感できる事件だと思います。

脆弱性対策はユーザー・企業の重要情報、財産、信用を守る活動ですので、IT担当の方は情報展開、啓発活動を、経営者・管理者の方は、事故を未然に防ぐ活動のご理解をいただけましたら情報流出事故を減らしてゆけるのではないかと思います。

20150901122745

(記事担当:渡邉)