MONOLITH LAW OFFICE+81-3-6262-3248Wochentags 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

General Corporate

Die Trends bei Datenschutzverletzungen und Verlustvorfällen im Jahr 2019 (2019)

General Corporate

Die Trends bei Datenschutzverletzungen und Verlustvorfällen im Jahr 2019 (2019)

Laut Tokyo Shoko Research gab es im Jahr 2019 (Heisei 31) 66 Unternehmen, darunter börsennotierte Unternehmen und deren Tochtergesellschaften, die Vorfälle von persönlichen Datenlecks und Verlusten veröffentlicht haben. Die Anzahl der Vorfälle betrug 86, und die Anzahl der durchgesickerten persönlichen Informationen erreichte 9.031.734 Personen. Im Jahr 2019 gab es zwei große Vorfälle, bei denen mehr als eine Million persönliche Daten durchgesickert sind. Der von Seven & I Holdings eingeführte Zahlungsdienst “7pay” wurde aufgrund von Missbrauch eingestellt, was die Bedeutung von Sicherheitsmaßnahmen erneut in den Vordergrund rückte.

Im Falle von “Takufairu Bin”

Am 22. Januar 2019 wurde bei dem Dateiübertragungsdienst “Takufairu Bin”, der von OGIS Research Institute, einer 100%igen Tochtergesellschaft von Osaka Gas, betrieben wurde, ein verdächtiger Dateileck entdeckt. Eine zusätzliche Untersuchung bestätigte auch verdächtige Zugriffsprotokolle, und um Schäden zu verhindern, wurde der Dienst am 23. Januar eingestellt und ein erster Bericht veröffentlicht. Am 25. Januar wurde das Datenleck bestätigt.

Die Anzahl der Lecks betrug 4.815.399 Fälle (22.569 zahlende Mitglieder: 4.753.290 kostenlose Mitglieder: 42.501 ehemalige Mitglieder), und die durchgesickerten Informationen beinhalteten Namen, E-Mail-Adressen für die Anmeldung, Anmeldepasswörter, Geburtsdaten, Geschlecht, Beruf/Industrie/Position und den Namen der Präfektur des Wohnsitzes. Diese Anzahl von Lecks ist die zweithöchste in der Geschichte, nach dem illegalen Erwerb von Kundeninformationen durch einen Vertragsmitarbeiter bei Benesse im Jahr 2014 (35,04 Millionen Personen).

https://monolith.law/corporate/risk-of-company-personal-information-leak-compensation-for-damages[ja]

OGIS Research Institute hat danach die Sicherheitsüberprüfung und -verstärkung durchgeführt und eine Wiederherstellung in Betracht gezogen. Da jedoch keine Aussicht auf eine Systemrekonstruktion bestand, wurde am 14. Januar 2020 angekündigt, dass der Dienst am 31. März 2020 eingestellt wird.

Wenn Sie die gleiche E-Mail-Adresse und dasselbe Passwort, die Sie für “Takufairu Bin” registriert haben, auch für andere Webdienste verwenden, besteht die Gefahr, dass Dritte, die die durchgesickerten Informationen erworben haben, sich unrechtmäßig in diese Webdienste einloggen und sogenannte “Identitätsdiebstähle” durchführen.

Der Fall Toyota Mobility

Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019
Wir stellen den Fall der Toyota Mobility vor.

Am 21. März 2019 wurde bekannt, dass Toyota Mobility, eine Vertriebstochtergesellschaft von Toyota, einem Cyberangriff ausgesetzt war. Insgesamt acht verbundene Vertriebsunternehmen, die die gleiche Systeminfrastruktur nutzen, wurden ins Visier genommen, und es besteht die Möglichkeit, dass bis zu 3,1 Millionen persönliche Daten aus dem Netzwerkserver durchgesickert sind. Glücklicherweise wurde angekündigt, dass keine Kreditkarteninformationen durchgesickert sind, so dass die Wahrscheinlichkeit einer direkten finanziellen Störung gering sein könnte. Da es sich jedoch um Informationen von Kunden handelt, die Autos gekauft haben, besteht die Möglichkeit, dass sie zu hohen Preisen zwischen den Adresshändlern gehandelt werden, und der Schaden kann nicht ausgeschlossen werden.

Trotz der Tatsache, dass Toyota Mobility das Datenschutzsiegel (P-Mark) erworben hat, hat sich das Problem des Datenlecks entwickelt, was bedeutet, dass wichtige Entscheidungen in Bezug auf zukünftige Sicherheitsmaßnahmen getroffen werden müssen. Darüber hinaus zeigt dieser Vorfall von Datenlecks, dass die bisherigen Sicherheitsmaßnahmen nicht ausreichen, um dies zu verhindern. Es wird notwendig sein, ein Datenschutzmanagementsystem auf höherem Niveau als das Sicherheitssystem, das das Datenschutzsiegel (P-Mark) erworben hat, zu realisieren.

Wie im Fall von Benesse kann das Datenschutzsiegel (P-Mark) ungültig werden, wenn das Datenschutzmanagementsystem in Zukunft als unzureichend eingestuft wird. Wenn das Datenschutzsiegel (P-Mark) ungültig wird, besteht die Gefahr, dass das Vertrauen verloren geht, was ein großes Problem darstellt.

Der Fall “7pay”

Der von Seven & I Holdings eingeführte Zahlungsdienst “7pay” wurde am Tag nach dem Start des Dienstes, dem 2. Juli 2019, mit einer Anfrage von Nutzern konfrontiert, die von Transaktionen berichteten, an die sie sich nicht erinnern konnten. Eine interne Untersuchung am 3. Juli ergab, dass es zu betrügerischen Aktivitäten gekommen war.

Sofort wurde das Aufladen von Kredit- und Debitkarten vorübergehend eingestellt und ab dem 4. Juli wurde auch die Neuregistrierung des Dienstes vorübergehend gestoppt. Am selben Tag wurde beschlossen, alle Aufladungen vorübergehend einzustellen.

Die Anzahl der Opfer durch den unbefugten Zugriff wurde mit 808 Personen angegeben und der Schaden wurde auf 38.615.473 Yen beziffert. Es wurde angenommen, dass die Methode des unbefugten Zugriffs höchstwahrscheinlich ein Listenangriff war. Bei einem Listenangriff werden IDs und Passwörter, die in der Vergangenheit von anderen Unternehmen im Internet durchgesickert sind, maschinell eingegeben. Es wird angenommen, dass dies mindestens mehrere zehn Millionen Mal versucht wurde und die Anzahl der erfolgreichen Anmeldungen die 808 Fälle von betrügerischer Nutzung überstieg. Als Ursachen dafür, dass der Listenangriff nicht verhindert werden konnte, wurden unter anderem unzureichende Maßnahmen gegen Anmeldungen von mehreren Geräten, unzureichende Überlegungen zu zusätzlichen Authentifizierungen wie Zwei-Faktor-Authentifizierung und unzureichende Überprüfung der Optimierung des gesamten Systems genannt.

Am 1. August hielt Seven & I Holdings eine Pressekonferenz in Tokio ab und kündigte an, dass “7pay” am 30. September um Mitternacht eingestellt wird. Die Gründe für die Einstellung des Dienstes sind die folgenden drei:

  • Es wird erwartet, dass es eine angemessene Zeit dauern wird, um umfassende Maßnahmen abzuschließen, die ausreichen, um alle Dienste, einschließlich des Aufladens, für 7pay wieder aufzunehmen.
  • Wenn der Dienst in der Zwischenzeit fortgesetzt würde, wäre es unvermeidlich, dass er in einer unvollständigen Form, nämlich “nur Nutzung (Zahlung)”, fortgesetzt würde.
  • Die Kunden haben immer noch Bedenken hinsichtlich dieses Dienstes.

Die Nachlässigkeit von Seven & I Holdings in Bezug auf die Netzwerksicherheit und die schlechte Zusammenarbeit innerhalb der Gruppe wurden nacheinander offengelegt, was zu einem ungewöhnlich schnellen Rückzug führte. Das Stolpern eines großen Einzelhandelsunternehmens hat zu Unsicherheit in Bezug auf die bargeldlosen Zahlungen geführt, die die Regierung fördert.

Der Fall Uniqlo

Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019
Wir stellen einen Vorfall vor, der auf der Online-Seite von Uniqlo aufgetreten ist.

Am 10. Mai 2019 wurde bestätigt, dass auf der von Uniqlo betriebenen Online-Shop-Website unbefugte Anmeldungen von Dritten, die nicht der Benutzer selbst sind, aufgetreten sind.

Vom 23. April bis zum 10. Mai wurden durch eine Listenangriffsmethode 461.091 Konten unbefugt eingeloggt, die bei Uniqlo’s offiziellem Online-Shop und GU’s offiziellem Online-Shop registriert sind. Die möglicherweise eingesehenen persönlichen Informationen der Benutzer umfassten Namen, Adressen (Postleitzahl, Stadt, Bezirk, Stadt, Dorf, Hausnummer, Raumnummer), Telefonnummern, Mobiltelefonnummern, E-Mail-Adressen, Geschlecht, Geburtsdatum, Kaufhistorie, Namen und Größen, die in “My Size” registriert sind, sowie Teile der Kreditkarteninformationen (Karteninhaber, Ablaufdatum, Teile der Kreditkartennummer).

Die Quelle der unbefugten Anmeldeversuche wurde identifiziert und der Zugriff blockiert, und die Überwachung anderer Zugriffe wurde verstärkt. Für Benutzer-IDs, bei denen die Möglichkeit besteht, dass persönliche Informationen eingesehen wurden, wurden die Passwörter am 13. Mai deaktiviert und die Benutzer wurden einzeln per E-Mail zur erneuten Passworteinstellung aufgefordert. Darüber hinaus wurde der Vorfall bei der Tokioter Polizeibehörde gemeldet.

Es ist ein beunruhigender und unangenehmer Vorfall, dass nicht nur grundlegende persönliche Informationen wie Name, Adresse, Telefonnummer, Mobiltelefonnummer, E-Mail-Adresse und Geburtsdatum, sondern auch private Informationen wie Kaufhistorie und Namen und Größen, die in “My Size” registriert sind, durchgesickert sind.

https://monolith.law/reputation/personal-information-and-privacy-violation[ja]

Fall der Präfekturverwaltung Kanagawa

Am 6. Dezember 2019 wurde bekannt, dass durch den Weiterverkauf von HDDs (Hard Disk Drives), die in der Präfekturverwaltung Kanagawa verwendet wurden, Informationen, einschließlich persönlicher Daten und Verwaltungsdokumente, durchgesickert sind. Fujitsu Lease, das einen Leasingvertrag für Server und ähnliches mit der Präfektur Kanagawa hat, entfernte im Frühjahr 2019 die HDDs von den geleasten Servern und beauftragte ein Recyclingunternehmen mit der Entsorgung. Ein Mitarbeiter des Unternehmens nahm einige der HDDs mit und verkaufte sie auf Yahoo Auctions in einem nicht initialisierten Zustand. Ein IT-Unternehmer, der neun davon gekauft hatte, überprüfte den Inhalt und entdeckte Daten, die als offizielle Dokumente der Präfektur Kanagawa erschienen. Er informierte eine Zeitung, die die Präfektur kontaktierte und das Leck bestätigte.

Laut einer Ankündigung der Präfektur am Morgen des 6. Dezember wurden insgesamt 18 HDDs mitgenommen, von denen neun bereits zurückgeholt wurden und die restlichen neun später zurückgeholt wurden. Die durchgesickerten Daten enthalten persönliche Informationen wie Namen und Adressen auf Steuerbescheiden, Benachrichtigungen nach Steuerprüfungen mit Firmennamen, Aufzeichnungen über die Zahlung der Kfz-Steuer, eingereichte Unternehmensdokumente und Aufzeichnungen und Listen von Präfekturangestellten. Da jede der mitgenommenen HDDs eine Speicherkapazität von 3 TB hat, könnten bis zu 54 TB Daten aus 18 Laufwerken durchgesickert sein.

Die Präfektur Kanagawa hat grundlegende Fehler gemacht, wie:

  • Die Dateiserver, auf denen Verwaltungsdokumente und ähnliches gespeichert sind, wurden ohne ausreichende Überlegungen zur Hardware-Verschlüsselung konfiguriert und speichern Daten im Rohformat.
  • Obwohl es vorgesehen war, dass das Leasingunternehmen die Datenlöschung durchführt, nachdem alle Daten durch die Initialisierung gelöscht wurden, wenn wichtige Informationen auf den Geräten gespeichert sind, die an das Leasingunternehmen zurückgegeben werden, wurde kein Zertifikat für die Fertigstellung erhalten.
  • Ein Recyclingunternehmen, das nicht einmal vom zuständigen Mitarbeiter erfasst wurde, hat die Abholung der Leasinggeräte durchgeführt.

Und Fujitsu Lease hat auch grundlegende Fehler gemacht, wie:

  • Die Geräteentsorgung (Recycling) wurde vollständig an das Recyclingunternehmen ausgelagert.
  • Obwohl der Leasingvertrag vorsah, dass ein Zertifikat, das bestätigt, dass die Daten vollständig gelöscht wurden, an die Präfektur ausgehändigt werden sollte, wurde das Recyclingunternehmen nicht um die Ausstellung des Zertifikats gebeten.

Es ist nicht nötig, über das Recyclingunternehmen zu diskutieren.

Ich denke, dass das Fehlen eines Sicherheitsbewusstseins und die verantwortungslose Auslagerungsmentalität, die in allen drei beteiligten Organisationen gemeinsam sind, dieses erbärmliche Ergebnis hervorgebracht haben.

https://monolith.law/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]

Andere Fälle von unberechtigtem Zugriff

Trends bei Datenschutzverletzungen und Datenverlusten im Jahr 2019
Die Zahl der durch unberechtigten Zugriff verursachten Unfälle nimmt von Jahr zu Jahr zu, und die Reaktion auf die Sicherheitsmaßnahmen und die Informationsmanagementstruktur ist eine zukünftige Herausforderung.

Die Zahl der durch unberechtigten Zugriff verursachten Unfälle, die erheblichen Schaden anrichten und weitreichende Auswirkungen haben, nimmt von Jahr zu Jahr zu. Im Jahr 2019 (Reiwa 1) gab es laut der Tokyo Shoko Research die höchste Anzahl von 41 Fällen (32 Unternehmen) in den letzten acht Jahren seit Beginn der Untersuchung. Dies entspricht fast der Hälfte der 86 Fälle von Datenschutzverletzungen und Datenverlusten im Jahr 2019, und die Anzahl der Datenschutzverletzungen und Datenverluste betrug 8.902.078, was 98,5% der Gesamtzahl im Jahr 2019 (9.031.734) ausmachte. Neben den oben genannten Beispielen gab es im Jahr 2019 viele Fälle von unberechtigtem Zugriff, darunter die folgenden Beispiele.

Fall eines Autozubehör-Verkaufsunternehmens

Am 26. Februar wurde ein Online-Shop, der von der Autozubehör-Verkaufsgesellschaft Hase-Pro Co., Ltd. betrieben wird, Opfer eines illegalen Zugriffs durch Ausnutzung einer Schwachstelle auf der Website. Eine gefälschte Zahlungsseite wurde angezeigt und die von den Nutzern eingegebenen Kreditkarteninformationen wurden entwendet.

Fall “Zahnmedizinbuch.com”

Am 25. März gab es einen unbefugten Zugriff auf den Webserver von “Zahnmedizinbuch.com”, einer von Quintessenz Publishing Co., Ltd., einem spezialisierten Dentalverlag, betriebenen Website. Persönliche Informationen der Nutzer der Website wurden dabei entwendet. Für Kunden, die Kreditkartenzahlungen genutzt haben, wurden auch Kreditkarteninformationen, einschließlich Sicherheitscodes, durchgesickert. Darüber hinaus wurden persönliche Informationen von Nutzern anderer Websites, wie z.B. Dental Job Sites und der Japanischen Internationalen Dentalversammlung, entwendet, wobei insgesamt bis zu 23.000 Datensätze durchgesickert sind.

Fall “NanatsuboshiGallery”

Am 12. April gab es einen unbefugten Zugriff auf die “NanatsuboshiGallery”, eine Website für den Versandhandel von verwandten Produkten des Kreuzfahrtzuges “Nanatsuboshi in Kyushu” der Kyushu Passenger Railway Co., Ltd., und persönliche Informationen, einschließlich Kreditkarteninformationen von Kunden, wurden durchgesickert. Es wurde angekündigt, dass es möglich ist, dass der Sicherheitscode auch für 3086 Mitglieder enthalten ist, die Kreditkarteninformationen registriert haben, und dass es auch eine Möglichkeit des Informationslecks für 5120 Fälle gibt, einschließlich Mitglieder, die keine Karteninformationen registriert haben, und andere Benutzerinformationen, die die Website genutzt haben.

Fall des Fragebogen-Monitoring-Dienstes “An und Kate”

Am 23. Mai gab es einen unberechtigten Zugriff auf den Fragebogen-Monitoring-Dienst “An und Kate”, der von der Marketing Applications Corporation betrieben wird, indem die Schwachstellen des Servers ausgenutzt wurden. Es wurden persönliche Informationen von 770.740 registrierten Konten durchgesickert. Es wird berichtet, dass die durchgesickerten Informationen E-Mail-Adressen, Geschlecht, Beruf, Arbeitsplatz und Informationen im Zusammenhang mit Bankkonten enthielten.

Fall “Yamada Webcom Yamada Mall”

Am 29. Mai gab es einen unberechtigten Zugriff auf “Yamada Webcom Yamada Mall”, das von der Yamada Denki Co., Ltd. betrieben wird. Die Zahlungsanwendung wurde manipuliert und während dieses Zeitraums wurden bis zu 37.832 Kundendatenregistrierungen durchgesickert.

Im Falle der AEON-Karte

Am 13. Juni gab es einen unberechtigten Login-Angriff auf die AEON-Karte der AEON Credit Service Co., Ltd. durch eine Passwort-Listenattacke. Es wurde bestätigt, dass 1917 Konten für unberechtigte Logins anfällig waren, und in 708 Fällen wurden tatsächlich unberechtigte Logins festgestellt. Es wurde berichtet, dass ein Schaden durch Missbrauch in Höhe von insgesamt etwa 22 Millionen Yen entstanden ist. Es wird angenommen, dass der Angreifer eine Passwort-Listenattacke auf die offizielle Website “AEON Square” durchgeführt hat, um Benutzerkontoinformationen unrechtmäßig zu erlangen, die Registrierungsinformationsänderungsfunktion der offiziellen App verwendet hat, um sie auf einen anderen Kontakt zu ändern, und dann das Geld durch die Zahlungsverknüpfungsfunktion genutzt hat.

Im Falle der “Vpass App” von Sumitomo Mitsui Card

Auch der unbefugte Zugriff auf Karten verursacht Schäden.

Am 23. August gab die Sumitomo Mitsui Card Co., Ltd. bekannt, dass möglicherweise bis zu 16.756 Kundendaten durch einen unbefugten Zugriff auf die Mitglieder-Smartphone-App “Vpass App” betroffen sein könnten. Unbefugter Zugriff wurde durch die regelmäßigen Überwachungsuntersuchungen des Unternehmens festgestellt. Bei der Untersuchung der Ursache stellte sich heraus, dass der Großteil der etwa 5 Millionen Anmeldeversuche nicht für diesen Dienst registriert war, was auf einen Passwortlistenangriff hindeutet.

Fall der Mizuho Bank “J-Coin Pay”

Am 4. September gab die Mizuho Financial Group (japanische Mizuho Bank) bekannt, dass das Testsystem für die Verwaltung der Partnergeschäfte von “J-Coin Pay”, einem ihrer Dienstleistungsangebote, einen unbefugten Zugriff erlitten hat und Informationen von 18.469 J-Coin-Partnergeschäften durchgesickert sind.

Fall “10mois WEBSHOP”

Am 19. September wurde bekannt gegeben, dass es einen unbefugten Zugriff auf den Online-Shop “10mois WEBSHOP” der Firma Ficell Ltd. gab. Dabei wurden 108.131 Kundendaten und 11.913 Kreditkarteninformationen, einschließlich Sicherheitscodes, entwendet.

Fall der offiziellen Webseite von Kyoto Ichinoden

Am 8. Oktober gab es einen unbefugten Zugriff auf die offizielle Webseite der Aktiengesellschaft Kyoto Ichinoden, bekannt für ihre Nishinomiya-Pickles, und das Zahlungsformular wurde manipuliert. Infolgedessen wurden 18.855 Kreditkarteninformationen, einschließlich Sicherheitscodes, und 72.738 Datensätze, einschließlich Mitgliederinformationen und Versandhistorie, durchgesickert.

Fall “Einkaufen mit Zojirushi”

Am 5. Dezember wurde bekannt gegeben, dass es möglicherweise zu einem unbefugten Zugriff auf “Einkaufen mit Zojirushi”, betrieben von der Zojirushi Mahobin Co., Ltd., gekommen ist, bei dem bis zu 280.052 Kundendaten durchgesickert sein könnten. Die Ursache des unbefugten Zugriffs wird auf eine Schwachstelle innerhalb der Website zurückgeführt, und das Unternehmen hat die Veröffentlichung der Einkaufswebsite seit dem 4. Dezember eingestellt.

Fall des elektronischen Roman-Dienstes “Novelba”

Am 25. Dezember gab es einen unbefugten Zugriff auf den von der Aktiengesellschaft Beegle betriebenen elektronischen Roman-Dienst “Novelba”. Dabei wurden persönliche Daten von 33.715 registrierten Nutzern, einschließlich ihrer E-Mail-Adressen, geleakt. Darüber hinaus besteht für 76 Nutzer, die am Prämienprogramm teilgenommen haben, die Möglichkeit, dass auch ihre Kontoinformationen durchgesickert sind, was das Potenzial für sekundäre Schäden birgt.

Zusammenfassung

Angemessene Maßnahmen zur Verhinderung von Informationslecks und -verlusten sind eine wichtige Aufgabe für alle Organisationen und Unternehmen, die mit persönlichen Informationen umgehen. Insbesondere in kleinen Unternehmen, die im Vergleich zu börsennotierten Unternehmen über weniger finanzielle und personelle Ressourcen verfügen, kann ein Leck katastrophale Auswirkungen auf das Geschäft haben. Maßnahmen zur Informationssicherheit und zur Etablierung eines Informationsmanagementsystems sind unerlässlich. Vor dem Hintergrund der zunehmenden Nutzung von Big Data gewinnt der Schutz persönlicher Informationen immer mehr an Bedeutung. Gleichzeitig sind fortgeschrittene Sicherheitsmaßnahmen gegen raffinierte unerlaubte Zugriffe und strenge Informationsverwaltung eine wichtige Voraussetzung für das Risikomanagement.

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Zurück Nach Oben