長期固定金利の住宅ローン「フラット35」などを取り扱っている優良住宅ローンが不正アクセスを受け、顧客情報などが情報漏洩していた問題の再発防止策を発表した。
【経緯】
電子メール管理サーバを管理する権限のIDとパスワードを第三者が取得され、同サーバーが不正アクセスされたとのこと。
セキュリティ会社が調査したがIDとパスワードが漏洩した原因は分りませんでした。【漏洩した情報】
37,168 名分 (修正前 37,247 名分)
<内訳>
(1)ご返済中のお客さま情報 35,738 名分
(2)お借入手続きを行ったお客さまの情報 112 名分
(3)抵当権設定登記を行ったお客さまの情報 93 名分
(4)つなぎ資金を利用したお客さまの情報 1,109 名分
(5)お問合せ、資料請求等を行ったお客さまの情報 233 名分※ 平成 28 年 9 月 10 日から平成 28 年 9 月 30 日までの間に外部へ転送されたメールに個人情報が含まれるお客さまの人数であり、複数の情報に該当のあるお客さまが存在します。
※ 前回報告後の精査により、(4)つなぎ資金を利用したお客さまの人数及び合計人数を修正いたしました。
【今後の対応】
・管理者 ID とパスワードの管理方法の見直し
・社外環境からの電子メール管理サーバへのアクセスを出来ないようにする
・社内システム環境とインターネットの内外分離
・電子メール運用方法の見直し
・早期の事象発見と迅速な対応の実現上記に加え社内体制の見直しを行い組織体制の強化を図るとのことです。
【サイバーセキュリティ―ソリューションズの見解】
今回のインシデントではメールサーバーが狙われましたが、サーバー自体に直接
攻撃をされたのではなく、管理者権限を事前に盗んでいました。セキュリティ会社に調査
を依頼したが結局原因は分らなかったようです。リリースには書かれていませんがこういう場合は、アナログ的な手法、すなわちIDやパスワードなどを管理しているパソコンから直接盗み取ったり、もしくは内部犯行などもあり得ます。
結局、サイバーセキュリティの対策を組んでも、最後は扱う人間のミスが起こると防ぎきれません。システムの対策とセットで社員教育も大切だとの所以です。詳細;株式会社優良住宅ローン