ゲームシナリオの制作を手がける「クラウドゲームス株式会社」によると、当社のウェブサーバが不正アクセスを受け、顧客情報が漏洩した可能性があるとの報告をしました。 被害があったのは同社が運営するイラスト販売サイト「きゃらケット」のサーバが12月26日に不正アクセスを受けました。結果、以下の顧客情報が漏洩したとこことです。
【経緯】
同社が運営するサービスの内、外部システムパッケージを用いたサービスである「きゃらケット」を運用しているサーバーに対して、2016 年 12 月 26 日に不正な手法によるアクセスがあり、同社 t-on 会員のお客様情報について、流出した可能性があることを 2017 年 1 月 12 日に確認し、当該サイトのサービスを緊急に停止いたとのことです。
【漏洩した情報】
・漏洩したサイト;情報配信サイト「t-on」
・漏洩した人数;顧客12万4058人
・漏洩した要素;ユーザー名、ユーザーID、パスワード、メールアドレス
・漏洩したサイト;オーダーメイドのコンテンツを発注できる「オーダーメイドCOM」
・漏洩した人数;顧客1万6350人
・漏洩した要素;ペンネーム、メールアドレス、購入パスワード
・期間;2001年11月1日から2006年9月23日までに発注した顧客
さらに、1月6日21時ごろより同社を装うフィッシング攻撃が発生しているようです。
【フィッシングメールの内容】
「1,900 円のスターコインを配布する」などとして、メール内に記載された URL 先にアクセスするとサイトを模倣した他社のサイト(サーバ)にアクセスし、ログイン画面が表示され、正しい ID やパスワードを入力しなくとも、ページ移動し、クレジットカード情報等の入力画面に移行するとのことです。 「絶対に入力等されないよう、お願い申し上げます」とのことです。
【サイバーセキュリティソリューションズの見解】
今回は、WEBサーバーがサイバー攻撃され、情報漏洩したのが第一の原因です。サーバーは、WEBサイト同様に攻撃される頻度の高い要素です。ユーザー側ではどうすることもできないので、運営管理者の責任が問われる問題です。もちろんサーバーについても様々なサイバーセキュリテイ対策があります。ここでは詳しくは記載しませんがサーバーの要塞化というのが基本対策になります。 今回は、漏洩した情報の中にクレジットカードが含まれていなかったのは幸いでした。最近はクレカの番号は自前で持たず、決済代行業者が保有するシステムが主流となっています。今回、注目すべきは情報漏洩とともに、フィッシング詐欺攻撃まで行われている点です。
まだ調査途中で、同一犯人かは分かりませんが、少なくとも同社のセキュリティが弱いと見抜いた攻撃者にターゲットにされたことは間違いありません。このように一度、セキュリティの状態が攻撃者に漏れると徹底的に攻撃を受け、運営会社にとっての被害は甚大となります。まずは、このように顧客情報を扱っているような運営会社は自前のシステムがどういう状況なのかをしっかりと把握したうえで対策を構築したいですね。
詳細;クラウドゲームス株式会社「不正アクセスによる情報流出の可能性に関するお知らせとお詫び」
情報漏洩は、いま、自分たちが取り扱っている個人情報などが万が一、外部に漏洩したとき、どんな方にどんな被害が及ぶのかを十分、推測して取り組む必要があります。
⇒サイバーセキュリティ対策サービスはこちら
サイバーセキュリティソリューションズにお任せください。
PARTNER
