KDDIが大量の個人情報流出を公表した。5月16日に始まった不正アクセスにより、12,223,000件のメールアドレスと、7,620,000件のパスワードが流出したという。原因は外部システム事業者のソフトウェアの未知の脆弱性であり、事業者自身もその欠陥を把握していなかった。被害は6月17日に取引先の通報で判明し、その後システムは修正された。被害者への対応として、流出したパスワードは6月8日までに全て強制変更される予定。現時点では二次被害の報告はないものの、事案は総務省にも報告され、今後の行政指導も視野に入っている。メールシステムはビッグローブなど計6社に提供されており、影響範囲は最大14,220,000件に上る可能性がある。

今回の事件は、個人情報の保護がいかに危機的状況にあるかを浮き彫りにしました。サービスを提供する大手企業でありながら、基盤となるシステムの脆弱性を事前に把握できなかった点は看過できません。
これにより、数多くの利用者が潜在的なリスクに晒されてしまったことは、企業としての信頼に致命的な影響を与えるでしょう。
問題はKDDIの監視不足に加え、委託先であるシステム事業者のセキュリティ体制の甘さにあります。利用者を守るためには、以下の3つの対策が不可欠です。1つ目は、システムのセキュリティ体制に関する透明性を高め、独立した監査機関による定期的な検査を導入すること。2つ目は、委託先の管理責任を明確化し、契約の段階でセキュリティ基準を厳格に定めること。そして3つ目は、未知の脆弱性に備えるためのAI活用など最新技術を取り入れた防御体制の構築です。
サービススピードや利便性を追求する一方で、利用者の安全が軽視されては本末転倒です。企業としての誠実さを取り戻すため、徹底した改善策の提示とその実行を強く求めます。
ネットからのコメント
1、パスワードはさすがにダメでしょう。それにしてもパスワードというのは、平文なのか、暗号化(ハッシュ化など)されたものなのかによって全然異なるけど、どっちなのだろうか。
暗号化されていない場合、ユーザーの被害は大規模で発生すると思うんだけど。
2、ビッグローブのメールアドレスを持っているけど、この件が発生した後に今までなかった詐欺メールが急に来るようになりましたね。確実に流出したんだなと思いましたよ。パスワード流出もあるんだから、すでに不正アクセスとかされてる人いるんだろうなと思う。事情説明のメールが来るまでかなりの日数かかったけど、それもどうなのかと。ニュースで気付いてパスワードはすぐに変えたけどさ。少なくともこの件でメールアドレス変更する場合は、無料でできるようにしてくれんかなぁ。
3、ゼロデイ脆弱性を突かれるのは致し方ありません。IPAやJPCERT/CCが脆弱性の早期警戒情報を共有する仕組みを有していて、KDDIであれば参加しているだろうと思います。そのような体制を敷いていたとしても、ある日突然未知の脆弱性を突かれるのは、防ぎようが無いことと言えます。被害を極小化する、ダメージコントロールの観点でインシデントレスポンスが始まるのも、珍しくないことだと思います。
ただ、ゼロデイ脆弱性は致し方ないとして、問題になりそうなのはパスワードの保存状況です。「パスワードはハッシュ化して保存」というのはもはや常識となっており、ソルトを活用してハッシュ化されたパスワードは、復元が事実上できないとされています。ハッシュ化されたパスワードが漏れたのか、それとも平文で流出したのか、続報が待たれます。
4、企業への罰則(罰金)と利用者への補償金額を厳しくするべき。未知の脆弱性が原因でも、パスワードの暗号化を行っていれば漏洩しても被害は防げた。企業が基本的な事をしないのは、現在の罰則が大したことないから。だから、暗号化もせず、取引と関係のない余計な情報(年齢、性別)まで平気で収集する。罰金と利用者への補償金額を厳しくして、情報漏洩が企業の存続に関わるぐらいにしないと、このような事は減らない。
引用元:https://news.yahoo.co.jp/articles/75c8cac3f8a229277ae11a6a35b433271e68e0df,記事の削除・修正依頼などのご相談は、下記のメールアドレスまでお気軽にお問い合わせください。[email protected]