概要
株式会社グラフィックが不正アクセスを海外サーバから受け、データベースに保管していた顧客情報約9千件が漏えいした恐れがあると発表しました。
タイムライン
2016年7月1日(金)
決済代行会社から情報流出の恐れを指摘され、調査開始。
2016年7月19日(火)
本件につき、公表。
原因
弊社の見解
もとより、顧客情報を保管しているデータベースへの外部アクセスを遮断し、適切なアクセス制限を充分におこなえていなかったことが原因と考えられます。もしかすると、外部からの攻撃を想定していないサーバ管理だったのかもしれません。
また、本件発生の原因ではありませんが、本件発覚が外部からの知らせだったところにも問題があります。常時もしくは定期的なデータベースへのアクセス監視を実施していれば、早期的に本件が発覚した可能性があります。情報漏えいが<発生>してから<発覚>するまでの期間が短ければ短いほど被害は抑えられますので、漏えいを未然に防ぐ対策のみでなく<事故を早期発覚できる仕組み>も大切な情報セキュリティ対策の一つと考え、策を講じていれば事態は変わっていたかもしれません。
被害
本件により漏えいした恐れのある情報は以下の通りです。
- 顧客氏名
- 法人名
- 住所
- 電話番号
- FAX番号
- メールアドレス
- ログインID
- パスワード
- 過去に発注があった印刷物に記載する宛先情報
- 法人向け決済サービスの自動振替用個別番号 など
また、情報漏えいに伴う二次被害の報告は現段階ではないとのことです。
対応
グラフィックは、顧客に対して本件お詫びと経緯説明の連絡をメールにて案内するとともに、本件について経済産業省・認定個人情報保護団体・所轄警察に報告をし、適宜対応をおこなっているようです。
また、同社は海外からのアクセス遮断対応と外部からのアクセスを継続的に監視する対策実施により、データベース運用を再開しました。
なお、不正アクセスに関しては現在も調査し、漏えいした情報の全貌と詳細把握に努めるとのことです。
関連情報
Security NEXT「不正アクセスで顧客情報が流出 – 印刷通販会社」(2016/07/20)(魚拓)
BIGLOBEニュース「同人誌印刷で知られるグラフィック、8985件の個人情報流出の恐れ」(2016/07/19)(魚拓)
株式会社グラフィック
「不正アクセスによる個人情報流出に関するお詫びとご報告」(2016/07/19)(魚拓)
「不正アクセスによる個人情報流出に関するお詫びとご報告(7月22日更新)」(2016/07/22)(魚拓)
