サクソバンク証券、海外ハッカーから脅迫? 3万8000人分の顧客情報漏えい

デンマーク・コペンハーゲンに本社を置くオンライン銀行、サクソバンクA/Sの100%子会社、サクソバンク証券株式会社(東京都港区)に対し金融庁は9月18日、リスクシステム管理や外部委託先管理が十分でないとして金融商品取引法にもとづく業務改善命令を出した。サクソバンク証券は今年7月に不正アクセスによる個人情報の漏えいが発覚、同証券は海外のハッカー集団による犯行の可能性を示唆している。

運転免許証やパスポートの画像データも

関東財務局によると、漏えいした個人情報は顧客約3万8026人分の氏名、生年月日、住所、電子メールアドレス等で、この中には運転免許証やパスポート、個人番号カードなどの画像データ750人分が含まれていた。サクソバンク証券によると、漏えいした個人情報は外部委託先が管理しているサーバーに保管されていたもので、このサーバーにおいて証券口座の開設や口座への入出金が行われていたようだ。漏えいした個人情報は証券口座開設時などに顧客より提出された書類の一部とみられる。顧客の個人情報は親会社のサクソバンクA/Sのサーバーで管理しているとのことだが、口座開設時などの手続きで顧客が提出した書類のうち不備のあった書類などが外部委託先サーバーに残され、そのまま保管されていたようだ。同証券は外部委託先企業が国内企業か海外企業か明らかにしていない。

何者かからサクソバンク証券にコンタクトがあり不正アクセスによる個人情報の漏えいが判明したとみられる。同証券は「情報を公開する旨の脅迫的な言動も確認されている」としている。サクソバンク証券は本件についてランサムウェアでないとしていることから、不正アクセスにより個人情報が窃取された後、何者かが同証券に脅迫行為を行ったものとみられる。同証券は第三者機関の検証の結果として、海外のハッカー集団による犯行の可能性が高いとしていて、「悪意のある集団と対話や交渉は行わない」と表明している。

金融庁が業務改善命令、徹底した事実確認求める

金融庁は、金融商品取引法にもとづく業務改善命令を出し、システムリスク管理や外部委託先管理に関し十分な再発防止策が講じられていないとして、徹底した事実の解明と原因分析を行い適正かつ確実な業務運営を確保する態勢を構築することや顧客への適切な周知・説明、責任の所在の明確化について報告を求めた。

サクソバンク証券は、本件を受けてシステムログイン時の2要素認証の導入、不正アクセスを受けたサーバーを管理していた外部委託先の運用を停止するなどの対策を実施、さらなる解明と原因分析を行い「情報セキュリティ対策を進め、内部管理態勢の強化・拡充に努めていく」としている。サクソバンク証券によるとこれまでに漏えいした個人情報の公開は確認されていない。

【出典】

http://kantou.mof.go.jp/rizai/pagekthp032000895.html

https://www.home.saxo/ja-jp/about-us/security-incident/personal-information-leakage

 

最新情報をチェックしよう!