学習塾大手の日能研(横浜市)は29日、ホームページに不正アクセスがあり、中学受験のため通ったり、テストを申し込んだりした子どもの保護者らのメールアドレス最大28万106件が、外部に流出した可能性があると発表した。他の個人情報は含まれないが、フィッシング詐欺などに使われる恐れがあるとして対象アドレスにメールで通知した。
日能研によると、迷惑メールが届いているとの相談を受け調査し、2021年12月上旬に不正アクセスを受けたと判明。政府の個人情報保護委員会に届け出て、神奈川県警港北署にも被害を伝えた。日能研は中学受験塾の老舗で、全国に約150の教室がある。
引用元:https://news.yahoo.co.jp/articles/fe4ad7ed3557002f64c1c34a3e4
今朝ニュースで学習塾大手の日能研が個人のメールアドレスを流出したと報道されました。二日前に「重要なパスワードやメールアドレスが流出している?安全確認できるサイト「’;–have i been pwned?」」を公開したばかりですが、このような事件は今後も増加しそうです。ベネッセの流出事件では、顧客情報の流出慰謝料に対して500円の金券配布を行ったようですが、民事訴訟では一旦の目安がこの金額になりそうです。
現時点では、日能研は謝罪メールだけで賠償責任に関する見解は行っていないそうなので、このまま謝罪メールだけで済ませてしまう可能性も考えられます。
あわや顧客のマイナンバーカードが流出
これは実際の体験談ですが、東京都中央区のとある企業とサービス契約を行ったさいに代表者のマイナンバーカード提出が義務付けられていて、スマホで撮影して送信したことがあります。
その時は問題が無かったのですが、1年後に加入したサービスを解約することになりました。最初に提出したときに、「マイナンバーカード登録完了」とウェブ上にアップされたリンクが通知されていたのですが、何気なく1年前のメールをクリックすると平文のURLで私自身のマイナンバーカードが見れるような状況になっていました。
「http://tokyo-chuou.com/7J1kO3X.JPG(例)」といった会社名+8桁ほどの乱数にJPGという粗末なもので、ベーシック認証(Basic認証)さえ掛けられていない平文のURLです。ベーシック認証でさえ危険といわれていて、最低限ハッシュ化されたDigest認証(ダイジェスト認証)でHTTPS通信でないと盗聴のリスクがあります。
つまり、上記のアドレスを知っている人であれば世界中の誰でも私のマイナンバーカードを見て保存できる状態だったのです。たった数桁の乱数生成ではブルートフォースアタックすれば、ものの数分で何百人以上もの顧客のマイナンバーカードを取得できるような状態にあったのです。ほんの数日間で削除されるならまだしも、1年以上も放置されていて驚きました。マイナンバーカードなどの重要な個人情報は、個別のIDとパスワードでログインさせて、メールアドレスかSMSで本人確認してからでないと見れないくらいの慎重さが必要です。
削除依頼をすると、慌ててマイナンバーのURLを削除してくれましたが、その会社の運用体制が変わったのかどうかは不明です。
一定期間でスタンドアローン端末に移す
今回、日能研のメールアドレス流出はSQLインジェクションによるものだと発表されています。
これを防ぐには、SQLサーバーの、セキュアプログラミングやプレースホルダーの利用、エスケープ処理など、クロスサイトスクリプティング(XSS)と同じように意図しないコードを実行してしまわないようにすることが重要です。
それよりも最も重要なのは、すぐに利用しない不要なデータはスタンドアローンの端末に移し、データベース上から削除するということです。上記のマイナンバーは良い例で、個人の本人確認に利用したらならば確認が完了した時点で削除する。法令で保管が必要な場合は、スタンドアローン端末にデータを移す、もしくは印刷して物理的な帳簿を作成するなどの手法を取れば、その会社に侵入する以外に個人情報を盗まれる可能性はなく。遠隔操作によるハッキングは不可能になります。
使わないデータは削除する
メールアドレスや顧客の個人情報も、日能研の例では卒業した生徒の情報を削除する、もしまだ必要であればスタンドアローンの端末に移行する。これだけで流出する被害者を軽減できます。今どきECサイトでクレジットカード番号を保持しているような会社は少ないですが、このような使っていない個人情報は削除するというのが最も安全な流出対策になります。キャッシュや差分バックアップがされていると、生データを削除しても流出する可能性があるので一時ファイルが作成されないような設定にしておくのも必要です。
零細企業や中小企業でも上記のような対策をするべきなので、日能研のような大手企業であれば、本来は専門のセキュリティー会社に脆弱性診断やホワイトハッカーの依頼、ネットワークフォレンジックの導入など行うべきですね。