世間では、毎日のように新型コロナウイルス関連のニュースが報道されています。
4月7日には、ついに日本で緊急事態宣言が発出されました。
一方で、大きく報道されてはいませんが、3月~4月の間には、数多くの不正アクセス事件が発生しています。
今回は、それらの不正アクセス事件の内容を細かくお伝えしたいと思います。
①LASH DOLL ONELINE STORE不正アクセス事件
2020年3月、まつ毛エクステなどの美容関連商品を取り扱う“LASH DOLL ONELINE STORE”において、不正アクセス事件が発生しました。
運営会社によると、同サイトのシステムの脆弱性を突く不正アクセスが原因で、決済アプリケーションが改ざんされ、ユーザーのクレジットカード情報が窃取されたとのことです。
ちなみに、窃取されたクレジットカード情報には、不正利用された可能性もあるとしています。
漏えい対象となったのは、2019年9月20日~10月4日までに、同サイトで商品を購入したユーザー355人のクレジットカード情報であり、名義や番号、有効期限、セキュリティーコードなどが含まれています。
また、2019年10月5日~10日までの期間に、同サイトでクレジットカード情報を入力したユーザーについても流出の対象になる可能性がありますが、10月4日の時点ですでにクレジットカード決済を停止しているため、正確な件数などは特定できていません。
この事件の発生を受け、運営会社である“LASH DOLL JAPAN”は警察に被害届を出し、個人情報保護委員会にも報告した上で、対象顧客にメールや書面を通じて連絡を取っています。
②Ameba広告配信サービス不正アクセス事件
2020年4月、“Ameba”の一部広告配信サービスで利用するサーバにおいて、不正アクセス事件が発生しました。
これは、“サイバーエージェント”のシステムで利用するクラウドサービス“Ameba Web Service”のアカウントにおける認証情報が不正に使用され、システム内部に保存されたデータが外部からアクセス可能な状態になっていたというものです。
ちなみに、不正アクセスは、4月4日23時20分~翌5日1時45分までと、21時45分~21時54分までの2回発生しています。
また、同システム内には、広告サービス“Ameba Infeed”、“Ameba DSP”のユーザー情報
1,027件が保存されていて、それにはログインに使用するユーザー名やパスワードのハッシュ値、氏名、メールアドレス、広告配信に関する情報などが含まれていました。
今回の問題を受けて、サイバーエージェントは不正使用されたアクセスキーの失効処理を行い、不正に登録されたアクセス権限などを修正し、復旧を図っています。
③蔵王チーズオンラインショップ不正アクセス事件
2020年4月、チーズを取り扱う“蔵王チーズオンラインショップ”において、不正アクセス事件が発生しました。
これは、同サイトのシステムにおける脆弱性を突かれ、攻撃者に設置された偽の決済フォームへ情報を入力するように誘導されたものです。
また、この不正アクセスにより、2019年4月25日~12月4日にかけて、決済時に同フォームへ入力されたクレジットカードの名義や番号、有効期限、セキュリティーコードなど合わせて268人分のユーザー情報が漏えいした可能性があるとされています。
同サイトを運営する“蔵王酪農センター”は、ユーザーからクレジットカード情報漏えいの可能性があるとの指摘を受け、外部企業による調査を行っていましたが、その事実が今年3月になってやっと判明し、3月12日には個人情報保護委員会および警察に報告しています。
そして、4月6日からメールと書面を通じてユーザーに謝罪を行い、心当たりのない請求が行われていないか確認するよう注意を呼び掛けています。
まとめ
ここまで、直近の代表的な不正アクセス事件をいくつか見てきましたが、いかがでしたか?
緊急事態宣言の発出を受けて、営業時間や勤務時間、サービス提供時間を短くする企業もあるでしょう。
また、一時営業等を中止する企業もあるかもしれませんが、通常通り企業や運営サイトなどが稼働していなくても、情報セキュリティ体制だけは変わらず堅固なものにしておきましょう。
