知って得するセキュリティのはなし その91
小学館系ECサイト・三菱電機・日立システムズ…大手企業への不正アクセス相次ぐ
1.このニュースをざっくり言うと
- 11月16日(日本時間)、小学館パブリッシング・サービス社(以下、小学館PS)より、同社運営のECサイト「BOOK SHOP小学館」が不正アクセスを受け、2015年4月13日~2020年6月15日に決済に利用されたクレジットカード情報(カード名義人・番号・有効期限・セキュリティコード等)1036件が流出したと発表されました。
- また11月20日、三菱電機より、同社が利用するクラウドサービスが不正アクセスを受け、取引先の口座情報(銀行口座番号・名義・企業名・所在地・電話番号・代表者名等)8635件が流出したと発表されました。
- 次いで12月4日には、日立システムズ社(以下、日立SYS)より、同社が提供する企業システム運用監視サービス用のネットワークが不正アクセスを受けていたと発表されました。
2.執筆者からの所感等
- 小学館PSの事案は6月12日に外部からの指摘を受けて発覚、同15日に決済を停止、既に不正利用も確認されているとのことですが、決済時のフォーム等の改ざんにより、入力内容が奪取されたという、頻出しているパターンと推測されます。
- 三菱電機の事案は11月16日に不正アクセスの検知で発覚、1月に発生していた同社ネットワークへの不正アクセスによる個人情報流出(AUS便り 2020/2/3号参照)とは、別の手口である可能性が高いとのことです。
- 日立SYSの事案は10月8日に発覚、サービスによって同社と常時接続している複数の企業も被害を受けた可能性があるとしています(あるいは顧客企業のネットワークから踏み台にされた可能性も考えられます)が、顧客情報の流出は確認されていないとのことです。
- 三菱電機はクラウドサービスが、日立SYSは独自のネットワークシステムが不正アクセスの被害を受けており、これだけでもどちらで構築したシステムがセキュリティ上より安全か、あるいは危険か、ということは一概には言えないことがわかります。
- また、大手企業がこのように相次いで攻撃を受ける一方、大きく報じられない中小企業の攻撃が今後も多数発生することは容易に想像されますので、今回のそれぞれの事案における詳細な攻撃経路が発表され、UTM等によるネットワークシステムの防御、Webサイトとその周辺での対策、クラウドにおける必要な防御策等、適切な対策をとるための参考となることが望まれます。
