水曜日, 6月 14, 2006

KDDIの個人情報漏洩事件

KDDIから顧客の個人情報が流出していたことが発覚しました。以下はIT mediaからの引用です。
KDDIは6月13日、ISP「DION」ユーザー399万6789人分の氏名、住所、連絡先電話番号が外部流出していたことを確認したと発表した。情報 は、2003年12月18日までにDIONに申し込んだ全ユーザー分で、任意登録項目だった連絡先メールアドレス(44万7175人分)、性別(2万 6493人分)、生年月日(9万8150人分)も流出した。口座番号などの信用情報や、DIONのメールアドレス、パスワード、通信記録などは流出してい ない。

情報を収録したCD-ROMなどが外部から持ち込まれ、流出が発覚した。警視庁は同日、KDDIに情報を持ち込んで現金を脅し取ろうとした疑いで、男2人を恐喝未遂容疑で逮捕した。

ISPの個人情報流出事件としては、2004年2月に発覚した「Yahoo!BB」の451万人に次ぐ規模。

 KDDIの小野寺正社長同日、都内で会見し、「ご迷惑をかけて申し訳ない」と謝罪した。個々のユーザーに対する金銭的な補償などは「考えていない」とした。流出が確認されたユーザーにはお詫びのメール、文書を送るとしている。

小野寺社長によると、同社の電話相談窓口「個人情報開示相談室」に今年5月30日、ある人物から「個人情報を入手した」と電話連絡があったという。 その人物は翌5月31日、40万人分のユーザー情報を収録したCD-ROMを「入手した情報の一部」として、同社東京本社の受付に持ち込んだ。同社はこの 情報を解析し、DIONのユーザー情報と一致することを確認。31日中に情報流出対策本部を設置し、社内調査を進めるとともに警察当局に相談した。

 その後、同社役員が情報を持ち込んだ人物と会って話し、保有している情報をすべて渡してもらえるよう交渉。6月8日に、399万6789人分の全情報が入ったUSBメモリを手渡しで受け取った。

(中略)

流出した情報は、DIONのユーザー情報管理システムに保存していたもので、同社システムルーム内で開発や保守に利用していたPC 186台からアクセス可能だった。これらのPCは本来、ユーザー情報にアクセスする必要のない端末だったが、何者かが何らかの理由で同PCから情報にアク セスし、ダウンロードして持ち出したと見られている。

システムルーム入室には、ICカードが必要。PCはMACアドレスとIPアドレスを登録・管理しており、外部ネットワークにはつながっていなかった。また、PC内のデータにアクセスするには、ユーザーID・パスワードが必要だった。

これらの状況から小野寺社長は「当社または関係者から流出したと推定せざるを得ない」としている。2003年12月当時、データにアクセスできたのは同社社員48人と、外部ベンダー(1社)のスタッフ177人。同社社員については、現時点で退職者はいないという。

 情報が抜き取られた時期は「2003年12月18日以降の比較的短い期間内だろう」としているが、特定できていない。同社は、アクセス履歴などの保存期限を1年としており、当時のアクセス履歴や入退室履歴は「残っていない」という。

(以下略)

今回漏洩した情報というのはかなり厳重に管理されている、いわゆるセキュリティ強度の高い場所に管理されていたわけです。しかし、それでも情報漏えいは発生してしまったわけですね。

今回の事件に関して非常に気になるのは、情報が漏洩した原因がわからないということです。私は情報漏えいの原因がわからないということは、被害の規模もわからないのではないか(少なくとも今回の被害はこれだけですと断言することはできない)と思います。しかし、KDDIの発表では口座番号などの信用情報や、DIONのメールアドレス、パスワード、通信記録などは流出していないとされており、さらに漏洩した情報も399万6789人分となっています。何か断言できる根拠があるのでしょうか?KDDIに個人情報を入手したと連絡した人物とやらが保持していたデータがそれだけだったので、という理由ではあまり説得力がない気がします。auのユーザ情報に関しては別管理とのことなので、漏洩していないと言い切るのはありだとは思いますが・・・。うーん、どうなんでしょう。発表されていない情報もあるでしょうから、わからないですね。

さて、KDDIの小野寺正社長はユーザに対して金銭的保証は考えていないとしていますが、果たしてそれですむでしょうか?一時期、情報漏えいをした場合は被害者に500円分の商品券とか金券を送るのがお約束になっていた時期もありましたが、情報漏えいが多すぎてやめてしまったのでしょうか?。ちなみに、Yahoo! BBの個人情報漏洩事件ではBBテクノロジーに対して1人あたり6000円の支払い判決が出ています。まあ、裁判を起こすのは大変だと思いますが・・・。

それにしても、KDDIは情報セキュリティに関する製品もかなり扱っている企業です。
KDDIセキュリティソリューションにおける「個人情報漏えい補償制度」の提供開始について KDDI  2005年11月10日
KDDI、情報漏えい防止機能付きファイル交換サービス「KDDI セキュアシェア」 ZDNet Japan 2006年2月23日
上の2つはほんの一例にしか過ぎませんが、今回の事件がKDDIに与えた影響というのは計り知れない気がします。今回の事件は、今後どのような展開を見せていくのでしょうか?目が離せないですね。

<参考>
 お客様情報の流出に関するお知らせ KDDI 2006年6月13日
「DION」400万人分のユーザー情報流出 KDDI小野寺社長が謝罪 ITmedia 6月13日
KDDI情報流出で恐喝未遂の男2人逮捕 ITmedia 6月13日
【KDDI情報漏えい続報】「アクセス・ログは1年間しか保存していなかった」 IT Pro 6月13日
時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)