株式会社AOKIホールディングス(横浜市)は「連結子会社における不正アクセスの発生及び個人情報漏えいの可能性に関するお知らせ」の第三報を発表、シェアリングスペース「快活CLUB」を運営する株式会社快活フロンティア(横浜市)に対する不正アクセスに対する調査が完了し個人情報漏えいの事実や漏えいに伴う二次被害は確認されなかったと明らかにしました。
不正アクセスの痕跡は確認されたが‥
AOKIホールディングスの連結子会社、快活フロンティアは1月18日の夕刻にサーバーに対する不正アクセスを受け、快活CLUB会員の個人情報が漏えいした可能性があることを1月21日に明らかにしました。漏えいした可能性のある個人情報は729万87件にのぼるとされていました。一方でこれまでも個人情報の漏えい事実や漏えいに伴う二次被害は確認されていないとしていました。
親会社のAOKIホールディングスは3月17日に発表したリリースで外部専門機関による調査および内部調査が完了したとし、個人情報の漏えいや二次被害は確認されなかったと改めて明らかにしました。リリースによると会員アカウントを管理するシステムへの不正アクセスの形跡は確認されたが、個人情報が漏えいした事実や二次被害は確認されなかったということです。ただし、どのような調査が行われ、どのような理由から漏えいの事実は確認されないと判断されたのかについての説明はありません。一方で今回、影響を受けなかったサーバーやプログラムに対して外部からの不正アクセスの防御、監視、多層防御によるセキュリティ対策を実施したとしています。
同時期のDDoS攻撃との関連は?
メディアからは「個別の補償は予定せず~『快活CLUB』不正アクセス」との記事も出ていましたが、今回のリリースでは業績予想の修正がないことも明らかにしています。調査が終了したということですから、実質、個人情報の漏えいや二次被害はなかったとの結論で、今後は再び不正アクセスを受けることがないようにセキュリティ対策を強化していくということなのですが、深化するデジタル社会におけるサイバーインシデントへの説明としては物足りなさが残ります。ダークネットを2カ月くらい巡回した程度で漏えいデータを把握できるとは思えませんし、海外では漏えいした疑いのある個人データを長期間に渡り監視する費用を企業が希望する個人に負担するケースも見受けられます。日本に個人情報保護法はありますが、個人情報は個人で守るしか手立てがないのが現実で、快活フロンティアに寄せられた問い合わせも、登録した個人情報を削除する方法を知りたいといった内容が一番多かったということです。
また、個人情報の漏えいとともに注意したいのが、不正アクセスが検知されたのと同じ時期にDDoS攻撃を受けていることです。快活フロンティアの発表によると1月18日に不正アクセスが検知された後、1月20日にDDoS攻撃によるネットワーク障害が発生しており、快活CLUBアプリの機能に影響が出ています。昨今のDDoS攻撃は本来の目的、攻撃から目をそらすために行われているケースが多々あることから、快活フロンティアにおける不正アクセスとDDoS攻撃が一連の攻撃であるのか気になるところです。
■出典
https://www.kaikatsu.jp/info/detail/ddos.html