2019年個人資訊洩露與遺失事故的趨勢
根據東京商工研究的報告,2019年(西元2019年)在上市公司及其子公司中,有66家公司公開了個人資訊的洩露和遺失事故,事故數量達到86起,洩露的個人資訊數量高達903萬1734人次。2019年有兩起大型事故導致超過100萬筆個人資訊洩露,其中包括流通業大手「日本七&我控股公司」推出的支付服務「7pay(七支付)」因不正使用而被迫停止服務,再次凸顯了資訊安全措施的重要性。
關於「宅ふぁいる便」的情況
大阪瓦斯的100%子公司奧吉斯總研所推出的檔案傳輸服務「宅ふぁいる便」,於2019年1月22日在伺服器內發現了可疑的檔案,從而揭露了資訊洩漏的情況。進一步的調查也確認了可疑的訪問紀錄,為了防止損害,於23日停止了服務並發布了第一份報告,並在25日確認了資訊洩漏的事實。
洩漏的案件數量為481萬5399件(付費會員2萬2569件:免費會員475萬329件:已退會會員4萬2501件),洩漏的內容包括姓名、用於登入的電子郵件地址、登入密碼、出生年月日、性別、職業/行業/職位、居住地的都道府縣名等。這個洩漏案件數量是繼2014年(西曆2014年)在日本Benesse公司發生的委託員工非法獲取客戶資訊的3504萬人次之後,創下了史上第二高的紀錄。
此後,奧吉斯總研進行了安全檢查和強化,並考慮恢復服務,但由於無法預見系統重建的情況,於2020年3月31日(西曆2020年)結束了服務,這一消息於2020年1月14日(西曆2020年)公布。
對於在「宅ふぁいる便」註冊的電子郵件地址和登入密碼,以及使用相同的用戶ID(電子郵件地址)、登入密碼使用其他網路服務的情況,存在被獲取洩漏資訊的第三方對該網路服務進行非法登入,即所謂的「偽裝」訪問的風險。
關於豐田移動公司的案例
豐田汽車的銷售子公司豐田移動公司在2019年3月21日(西元2019年)遭受網路攻擊,與其共享系統基礎的相關銷售公司共8家成為目標,從網路伺服器中可能洩露了最多310萬筆個人資訊。幸運的是,已經公告並未洩露信用卡資訊,因此可能不會直接導致金錢上的問題。然而,這些資訊來自於購買汽車的客戶,因此在名錄業者之間可能以高價交易,並不能保證不會造成損害。
儘管豐田移動公司已獲得隱私標記(P標記),但仍發生了這樣的個人資訊洩露問題,因此在未來的安全措施上將面臨重要的選擇。此外,這次的個人資訊洩露也證明了現有的安全措施無法防止這種情況的發生。可能需要實現比獲得隱私標記(P標記)的安全體系更高級別的個人資訊保護管理體系。
就像Benesse的案例一樣,如果未來的個人資訊保護管理體系被認為不足,可能會導致隱私標記(P標記)的失效。如果隱私標記(P標記)失效,可能會失去信譽,這將成為一個大問題。
「7pay(セブンペイ)」的情況
由七&I控股公司推出的支付服務「7pay」在2019年7月2日(服務開始的次日)就收到了用戶的查詢,表示「出現了無法認識的交易」,並在7月3日進行了內部調查,結果發現了不正當使用的情況。
他們立即暫停了從信用卡和借記卡的充值,並從7月4日開始暫停新用戶的註冊,同日也決定暫停所有的充值。
由於不正當訪問,受害者人數達到808人,損失金額為3861萬5473日元。不正當訪問的手法被認為很可能是列表型攻擊。列表型攻擊是一種機械性輸入過去從其他公司等在網路上洩露的ID和密碼的方法,至少嘗試了數千萬次,成功登錄的次數超過了808次的不正當使用受害。無法防止列表型帳戶駭客的原因包括對多設備登錄的對策、二階段驗證等額外驗證的考慮不足,以及無法充分驗證系統整體的最佳化等。
8月1日,七&I控股公司在東京舉行了緊急新聞發布會,宣布「7pay」將於9月30日24時結束。服務停止的原因有以下三點:
- 預計需要相當長的時間才能完成對7pay的全面改革,包括恢復所有服務,包括充值
- 在此期間,如果要繼續服務,則只能以「僅限使用(支付)」的不完全形式進行
- 客戶對該服務仍然感到不安
七&I控股公司的網路安全意識不足,集團內部的協調不佳等問題接連暴露,被迫在異常短的時間內撤出,這是一起事件。這家流通業大手的失敗引發了對政府推動的無現金支付的不安。
關於優衣庫的案例
2019年5月10日(西元2019年),在優衣庫經營的線上商店網站上,確認了由非用戶本人的第三方進行的不正當登入。
從4月23日到5月10日,以列表型攻擊的手法進行的不正當登入帳戶數量,被認為是在優衣庫官方線上商店和GU官方線上商店註冊的46萬1091個帳戶,可能被查看的用戶個人資訊包括姓名、地址(郵遞區號、市區鄉鎮村、門牌號碼、房間號碼)、電話號碼、手機號碼、電子郵件地址、性別、出生年月日、購買歷史、在我的尺寸中註冊的姓名和尺寸、信用卡資訊的一部分(卡片持有人、有效期限、信用卡號碼的一部分)。
本所已經確定了試圖進行不正當登入的通信源並阻止了其訪問,並加強了對其他訪問的監控,但對於可能被查看個人資訊的用戶ID,本所在5月13日使其密碼失效,並透過電子郵件個別聯繫要求重新設定密碼,並向日本警視廳報告了此事件。
不僅基本的個人資訊如姓名、地址、電話號碼、手機號碼、電子郵件地址、出生年月日等被洩露,購買歷史和在我的尺寸中註冊的姓名和尺寸等隱私資訊的洩露也是此案的特點,這是一個令人不悅且令人擔憂的案例。
https://monolith-law.jp/reputation/personal-information-and-privacy-violation[ja]
神奈川縣廳的案例
2019年12月6日,神奈川縣廳使用的HDD(硬碟驅動器)被轉售,導致包含個人資訊的行政文件等資訊洩露。神奈川縣與富士通租賃公司簽訂了伺服器等租賃合約,該公司在2019年春季從租賃的伺服器中取出HDD,並將其處理委託給回收公司。然而,該公司的負責人將部分HDD帶走,並在未初始化的狀態下在Yahoo拍賣上轉售。其中一位購買了9個HDD的IT企業經營者檢查了內容,發現了可能是神奈川縣的公文書數據,並向新聞社提供了信息。新聞社向縣政府確認後,確認了信息的洩露。
根據縣政府在6日上午的公告,共有18個HDD被帶走,其中9個已經回收,其餘9個也已經回收。洩露的資訊包括個人名稱和企業名稱的稅款通知書、法人名稱的稅務調查後的通知、個人名稱和地址的汽車稅的稅款記錄、企業的提交文件、縣職員的業務記錄和名冊等包含個人資訊的數據。由於每個HDD的儲存容量為3TB,因此18個HDD可能洩露了最多54TB的數據。
神奈川縣存在以下問題:
- 對於儲存行政文件等的文件伺服器,沒有充分考慮硬體級別的加密,而是以原始數據的形式儲存。
- 雖然規定在將儲存重要資訊的設備返回租賃公司時,應在數據全部刪除後由租賃公司進行數據刪除工作,但並未收到完成證明書等。
- 負責人也不知道回收業者正在進行租賃設備的回收。
富士通租賃公司存在以下問題:
- 對於設備廢棄(回收),完全交給了回收業者。
- 雖然租賃合約規定,應向縣政府提交證明數據已完全刪除的證明書,但並未向回收業者要求發行證明書。
對於回收業者,無需再討論。
我認為,三個參與組織共同的安全危機感的缺乏和無責任的推卸責任的態度,導致了這樣的糟糕結果。
https://monolith-law.jp/corporate/act-on-the-protection-of-personal-information-privacy-issues[ja]
其他不正存取的情況
造成大量損害並影響範圍廣泛的不正存取事故逐年增加。在2019年,東京商工研究所自開始調查以來的8年間,最多有41起(涉及32家公司)的事故發生。這佔了2019年資訊洩露和遺失事故86起的近半數,洩露和遺失的案件數量為8,902,078起,佔2019年全年(9,031,734起)的98.5%。除了上述的例子外,2019年還有許多不正存取的情況被揭露,以下是一些例子。
汽車用品銷售公司的情況
在2月26日,由株式會社ハセ・プロ經營的汽車用品線上商店,遭到惡意利用網站漏洞的非法訪問。偽造的付款頁面被顯示出來,導致用戶輸入的信用卡資訊被洩露。
「歯學書點 com」的情況
3月25日,由專門從事牙科出版的Quintessence Publishing Co., Ltd.營運的「歯學書點 com」的網頁伺服器遭到不正當存取,導致網站使用者的個人資訊洩露。對於使用信用卡付款的客戶,包含安全碼在內的信用卡資訊也被洩露,此外,包括牙科求職網站和日本國際牙科大會等使用者的個人資訊也被洩露,總計最多有23,000筆個人資訊被洩露。
「七星之星Gallery」的情況
4月12日,九州旅客鐵路股份有限公司的郵輪列車「七星之星in九州」的相關商品通信銷售網站「七星之星Gallery」發生了不正當訪問,導致包含客戶信用卡信息在內的個人信息洩露。對於登記了信用卡信息的3086名會員,可能包含了安全碼,對於未登記信用卡信息的會員以及其他使用該網站的用戶信息等,也有5120件可能洩露信息的情況,已經公開發表了此事。
在「安與凱特」問卷調查服務的情況下
5月23日,由株式會社營銷應用程式經營的問卷調查服務「安與凱特」遭受了利用伺服器漏洞的不正當訪問。雖然已有770,740個註冊帳戶的個人信息洩露,但包含的信息包括電子郵件地址、性別、職業、工作地點以及銀行帳戶相關信息等。
「山田網絡商城・山田購物中心」的情況
5月29日,由山田電機股份有限公司經營的「山田網絡商城・山田購物中心」發生了不正當訪問,支付應用程式被篡改,導致在此期間註冊的最多3萬7832筆客戶資訊洩露。
關於「AEON卡」的情況
在6月13日,AEON信用服務股份有限公司的AEON卡遭受了密碼列表攻擊,導致不正當登錄的情況發生。經確認,有1917個帳戶處於可以進行不正當登錄的狀態,其中708個帳戶已經發生了不正當登錄,並且公布了總計約2200萬日元的不正利用損害。攻擊者對官方網站的「AEON Square」進行密碼列表攻擊,非法獲取用戶帳戶信息,並利用官方應用程序的註冊信息更改功能將聯繫方式更改為其他聯繫方式,通過支付連動功能使用資金。
三井住友卡「Vpass應用程式」的情況
8月23日,三井住友卡股份有限公司宣布,其針對會員的智能手機應用程式「Vpass應用程式」可能遭到非法侵入,最多有16756筆客戶ID資訊被盜。該公司定期進行的監控調查確認了非法存取,並在調查原因時發現,約500萬次的登錄嘗試中,大部分並未註冊於該服務,因此被認為是密碼列表型攻擊。
就「J-Coin Pay」的瑞穗銀行來說
在9月4日,瑞穗金融集團股份有限公司(瑞穗銀行)宣布,其提供服務的「J-Coin Pay」的加盟店管理相關的測試系統遭到不正當訪問,導致1萬8469筆J-Coin加盟店信息洩露。
「10mois WEBSHOP」的情況
9月19日,有限公司Ficelle的線上商店「10mois WEBSHOP」遭到不法侵入,公布了有10萬8131筆客戶個人資訊以及1萬1913筆信用卡資訊遭到洩露。這些信用卡資訊中也包含了安全碼。
京都一傳官方網站的情況
10月8日,以西京漬等產品聞名的京都一傳股份有限公司的官方網站遭到不正當訪問,並且支付表格被篡改。包含安全碼在內的信用卡資訊1萬8855筆,以及會員資訊、發送紀錄等7萬2738筆資料被洩露。
「象印購物」的情況
12月5日,由象印馬虎賓股份有限公司經營的「象印購物」遭到不正當訪問,可能導致最多280,052筆客戶信息洩露。不正當訪問的原因被認為是網站內部的脆弱性,該公司自12月4日起已暫停公開購物網站。
電子小說服務「ノベルバ」的情況
12月25日,由株式會社ビーグリー經營的電子小說服務「ノベルバ」遭到不正當訪問,導致包含註冊者電郵地址在內的個人資料共計33,715筆洩露。此外,已註冊報酬計劃的用戶76名的賬戶資訊也可能已洩露,存在二次受害的可能性。
總結
為了防止資訊洩露和丟失,所有處理個人資訊的組織和企業都將適當的對策視為重要課題。特別是在小型企業中,與上市公司相比,資金和人力資源較為匱乏,洩露事故可能對經營造成致命的損害。因此,必須對資訊安全措施和資訊管理體系的建立做出回應。在大數據的利用等背景下,個人資訊的重要性正在增加。同時,對於日益複雜和巧妙的非法訪問等,資訊安全措施和嚴格的資訊管理已成為風險管理的重要前提。