InterFM897 不正アクセスを受けキャンペーンサイトの応募個人情報漏洩

株式会社InterFM897によると、過去のキャンペーンサイトで応募したユーザーの個人情報が漏洩したと発表しました。漏洩したのは2012年5月にInterFM897のホームページ上の「Hawaii Quiz-O」キャンペーンサイトのプレゼントに応募いただいた方の氏名、性別、年齢、郵便番号、住所、電話番号、メールアドレスなどで5月1日(月)11時7分にTwitter上にInterFM897が保有すると思われる個人情報が投稿されていると外部機関から連絡が入ったことで発覚したということです。

【概要】

InterFM897 WEBサーバーで活用しているデータベースのプログラムの脆弱性を突かれた不正アクセス。

現在は継続して不正アクセスの時間及びログイン形跡を解析中。
調査の結果、2012年ゴールデンウィークに開催しました「HAWAII WEEK」企画の「Hawaii Quiz-O」キャンペーンサイトのプレゼント応募者データの個人情報(氏名、性別、年齢、郵便番号、住所、電話番号、メールアドレス)がTwitter上(4月29日投稿)に2728件が流出した形跡があることが判明。

【原因】

SQLインジェクション

直接にはWebの脆弱性をつく、「SQLインジェクション」という攻撃によるものとのことですが、現実的には何年も前に終了しているキャンペーンの個人情報をいまだにWebサーバーに格納したままにしていたことが原因と言えます。

※5月17日 (水)PM5:00現在、具体的な被害実害は確認されていないとのことです。

【対応】

Twitter上に投稿された個人情報の削除依頼を5月1日に申請(5月9日投稿削除済)をするとともに、漏洩の原因となった、データベースのテーブル名を変更、テーブル内のデータの削除、FTPパスワードの変更を実施し、対策を講じました。また、該当するデータは安全な場所に保管したとのことです。

同局によると差出人や、件名にInterFM897の表記があるメール、メッセージなどに注意して欲しいとのことです。またInterFM897から銀行の口座や、クレジットカード情報、暗証番号、マイナンバーなどをお伺いすることは、絶対にありません。また、メールにファイルを添付してお送りすることはありません。不審なメールについては、開封を控えるなどくれぐれもご注意いただきますようお願いいたしますとしています。

同局は社内外の構成員とする調査対策委員会を5月1日付けで設置したとのことでさらに調査を進めるとしています。

<お問い合わせ先>

メールアドレス:privacy@interfm.co.jp
電話     :03-5781-7610
電話受付時間 :平日9:30 ~17:30

弊社の見解としてはなぜ、こんなに古い個人情報を残しておいたのか、につきます。私も前職時代、いくつかキャンペーンの仕事をしましたが、ことさら個人情報に関する仕事についてはスタッフ一同、かなりセンシティブに取り扱ったものです。『大事な情報がある』⇒『守るべき資産』となります。つまり大事な情報がそこにある限り、守らないといけませんし、コストも発生します。また今回のように古くなると関わっていたスタッフも移動したりして監視する人間もいなくなったりします。これが実は一番怖いのです。新しいスタッフは過去の状態を把握できず、行き当たりばったりな対応にならざるを得ない。

本来は、要が済んだら破棄すべきですが諸事情により残さざるを得ない時は担当者が代わってもすぐに全体が把握できるようにまとめるなりしておかないとおけません。漏洩してからでは遅すぎるのです。

詳細;株式会社InterFM897

もし、漏洩したのでは?と思ったらすぐに対応することをお勧めします。弊社の「サイバーセキュリティ110番」に今すぐご連絡ください。

⇒「サイバーセキュリティ110番」はこちら

<