ソフトバンクグループのベクターから個人情報流出の可能性
2012/03/23   コンプライアンス, 情報セキュリティ, 個人情報保護法, IT

事案の概要

ソフトバンクグループでソフトウエアのダウンロードサイトを運営する株式会社ベクターは3月22日、同社の一部サーバーが不正アクセスを受け、最大26万1161件の個人情報が流出した可能性があると発表した。

ベクターによると、3月21日午前2時30分ごろに同社の一部サーバーに異常が発生。システム担当者が対応したところ、3月19日午後8時55分ごろから3月21日午前0時1分ごろにかけて、4回の不正アクセスと思われる痕跡があることを発見し、調査を開始した。その結果、顧客情報を保持するサーバーに対しても不正アクセスしたと思われる痕跡があり、個人情報が外部に流出した可能性があることが判明したという。

不正アクセスされたサーバーには、2008年2月以降に、ソフトウェアを購入した顧客、PC向けオンラインゲームで課金サービスを利用した顧客のうち、一部の顧客の個人情報の一部が蓄積されていた。不正アクセス当時、最大で26万1161件のクレジットカードを含む顧客の個人情報が蓄積されており、最悪の場合は全情報が流出した可能性がある。現時点で、流出した個人情報が悪用されるなどの被害の届出はないという。

ベクターは判明している不正アクセス経路については、3月21日午前5時10分ごろ、その経路を封鎖した。また、他の考えうるアクセスルートについても、ログインパスワードの変更や、不要なサーバ間のアクセスを制限。そして、個人情報を蓄積していたサーバは個人情報が蓄積されないようシステム変更をするとともに、不正アクセスされたと思われるサーバから、すべての個人情報を削除した。23日からは、より詳細な調査を行うためクレジットカード決済を停止している。クレジットカード決済の再開時期は未定。ユーザーへの補償等については、決定しだい案内するとしている。
ベクターは、今回の事態を厳粛に受け止め、今後も引き続き、調査・原因の究明を行い、セキュリティ対策を強化し、再発防止に向けて総力を上げて取り組んで行くと発表している。

ベクターは、オンラインソフトウェアのダウンロードやパッケージソフトウェア、PC本体などの電子商取引サイト「Vector（ベクター）」を運営する企業で、ソフトバンクグループ。ソフトバンクBBが発行済み株式数の40.1％、ヤフーが9.7％、ソフトバンクが2.1％保有している。2000年にナスダック・ジャパン（現ジャスダック）に株式を上場した。3月22日の株価終値は前日比850円高（2.2％高）の4万200円。今回の不正アクセスの可能性を適時開示したのは、3月22日の18時30分。3月23日の始値は3万8,500円。

コメント

ベクターは、1995年からサイトを開設しているソフトウェアダウンロードサイトで、窓の社と並ぶ老舗。それだけにセキュリティの信頼性が揺らいだことは残念だ。サイバー攻撃によって生じうるのは、個人情報流出だけではない。新商品の企画案や設計図などの企業情報流出、ウェブサイトの不正改ざん、社会インフラ制御システム破壊のようなものも考えられる。情報社会において、情報セキュリティはどのような企業においても注意すべき事項だ。

情報セキュリティの知識や技術を競うCTF大会というものがある。競技を通じて能力の向上を図る。情報セキュリティにはセキュリティを破る知識も必要なため、競技化することをタブー視する傾向が日本にはあった。しかし、近年のサイバー攻撃増加を受けてか、日本でも注目を集めるている。行政も動き出しており、今月12日には経済産業省が「情報セキュリティ対策推進事業（日本型「CTF大会」のあり方及び実践的情報セキュリティ人材育成に係る実証研究事業）」に係る委託先の公募を開始した。CTF大会を通じ、日本の情報セキュリティがより向上されることが望まれる。