2009年11月12日

アリコジャパンの情報流出元は委託先の中国企業!

生命保険大手のアリコジャパンからクレジットカード情報が流出して不正利用された事件について、情報流出元はシステム開発を委託した中国企業であることが判明しました。

asahi.com(朝日新聞社) 2009年11月11日20時25分
アリコ情報流出、最大23万件 委託先の中国から流出か
http://www.asahi.com/national/update/1111/TKY200911110329.html
 生命保険大手アリコジャパンからクレジットカード情報が流出して不正利用された問題で、同社は11日、9月時点で1万8184件としていた流出情報が3万2359件に増えたと発表した。最大23万件に増える恐れもある。システム開発を委託した中国にある企業の社員が、不正に引き出した可能性が高いという。

 アリコはカードが不正利用された契約者の保険証券番号の共通点から、08年3月ごろに社内データの一部が流出したと判断。同社は当初、顧客情報の流出範囲が最大13万件としていた。9月になって約1万8千件に限定できると発表したが、10月下旬から共通点が異なる不正利用が469件相次ぎ、範囲の拡大が分かった。カードの不正利用も増え、今月5日時点で5122件になったという。

 流出経路については、これまでの調査から、中国にある委託先の社員がかかわった可能性が「極めて高い」としている。警視庁に被害を届け出たうえ、中国の捜査当局とも連絡を取り始めたという。

 同社の平野哲副会長は11日の会見で、いったん限定した流出範囲が再度膨らんだことについて「本当に申し訳ない」と謝罪。「ほかにも流出した可能性は否定しきれない」として、流出しうる約46万件の全顧客にカードの切り替えを促す。手数料はアリコが負担するという。

 当初想定した13万件の顧客には謝罪として3千〜1万円の商品券を送っているが、新たに流出が確定した1万4175件にも同じ措置をとる。
INTERNET Watch 2009/11/11 20:34
アリコジャパン、新たに1万4175件のカード情報流出が判明
http://internet.watch.impress.co.jp/docs/news/20091111_328220.html
 アリコジャパンは11日、カード情報を含む顧客情報が流出した問題について、9月に発表した1万8184件の流出に加え、新たに1万4175件の流出が判明したことを公表した。

 アリコジャパンでは、同社の保険商品をクレジットカード決済で契約している顧客の情報が流出した可能性があると7月23日に発表。9月11日には、1万8184件(カード番号)分の情報が流出していたとしていたが、最近になってカード会社から、不正使用の試みがあった番号として、1万8184件に含まれない番号の照会があったという。

 新たな情報を分析した結果、従来把握していた流出に加えて、さらに1万4175件が流出しており、合計3万2359件の情報が流出していたことが判明。これらのカード情報のうち、11月5日現在で不正使用の試みは累計5122件で、新たに判明した1万4175件の中では469件の不正使用の試みがあったという。また、該当のユーザーに金銭的な被害は無かったとしている。

 アリコジャパンでは、現時点で犯人が特定されておらず、これまでに不正使用の試みが検知されたカード番号に該当するユーザーの共通属性を踏まえて判断せざるを得ない現状だと説明。情報流出源および実行犯については現在調査中だが、外国の業務委託先の1人の社員に付与したIDから、ホストコンピュータに不自然なアクセスが複数回あり、これが情報流出源である可能性が極めて高く、業務委託先や関係捜査当局と協力しながら調査を進めているという。

 アリコジャパンでは、今回新たに判明した1万4175件も含め、計3万2359件の顧客に対しては個別に連絡し、お詫びとともにカードの切り替えと利用明細への注意を依頼している。また、不自然なアクセスがあったファイルに含まれていた約46万件のカード情報についても、その一部が流出した可能性は否定しきれないとして、カード会社が高い警戒レベルで不正使用をブロックするとともに、顧客が不正使用の被害に遭った場合には、金銭的負担をかけないように対応するとしている。
YOMIURI ONLINE(読売新聞) 2009年11月11日20時57分
アリコのカード情報流出、3万人超に拡大
http://www.yomiuri.co.jp/national/news/20091111-OYT1T01057.htm
 生命保険大手「アリコジャパン」から契約者のクレジットカード情報が外部に流出した問題で、同社の平野哲代表らは11日、記者会見し、流出件数が9月発表の1万8184人分から3万2359人分に拡大したことを明らかにした。

 同社は、システム開発を業務委託している中国企業の社員が情報を持ち出した可能性が高いとして、中国の警察当局に捜査を依頼した。

 流出した情報は、カード番号と有効期限で、氏名や住所など個人を特定できる情報は含まれていないという。この情報は同一のファイルに含まれており、このファイルに含まれる約46万人分の情報のうち、最大で約23万人分が流出した可能性があるという。

 また、昨年3月、業務委託先の中国企業の社員が本人のIDを使い、アリコのホストコンピューターに不自然にアクセスしていたことも判明。この社員はアリコ側の調査に情報の持ち出しを認めていないが、同社はこの社員が持ち出した可能性が高いとしている。
毎日jp(毎日新聞) 2009年11月11日 21時43分
アリコ:情報流出元は中国企業、被害最大23万件に
http://mainichi.jp/select/wadai/news/20091112k0000m040101000c.html
 外資系生命保険大手、アリコジャパンの契約者のクレジットカード情報が大量流出した問題で、アリコは11日、新たに1万4175件の個人情報が流出し、カードの不正利用も469件あったと発表した。従来の公表分を加えると、流出は3万2359件、不正利用は5122件に上る。流出は最大23万件に増える可能性もあるという。アリコは、流出元をシステム開発を委託した中国の企業の社員と特定、年内にも告訴する方針だ。【宇都宮裕一】

 アリコによると、問題の社員は昨年3月、顧客情報を記録したシステムに自分のIDで侵入。カードの情報を記録した46万人のうち、最大で約23万人分の情報を入手した可能性がある。入手した情報でカードの不正利用を試みたケースがあったが、カード会社が不正に気付き、顧客には被害は出ていない。

 情報流出は、カード会社からの通報で7月に発覚。アリコは9月に1万8184件分の情報漏れが分かった時点で「これ以上はない」と断言していた。しかし、その後もアリコの顧客のカードで不正使用が発覚。さらに調査を進めて新たな流出が分かった。

 アリコは、システムに不審なアクセスをしていた中国企業の社員を流出元と特定。流出が発覚した7月以降、現地に職員を派遣するなどして調査しているが、問題の社員は関与を否定、流出したデータなどの証拠は入手できておらず、調査の遅れから被害の拡大を招いた形だ。これまで判明した以外にどの顧客のデータが流出しているかも不明という。

 9月に情報漏れが分かった1万8184件の顧客には謝罪として1万円の商品券を送っているが、新たに流出が確定した1万4175件にも同じ措置を取る。
NIKKEI NET(日経ネット) 2009/11/11 22:06
アリコジャパンの顧客情報流出、3万2000人に拡大
http://www.nikkei.co.jp/news/keizai/20091111AT2C1101D11112009.html
 アリコジャパンは11日、顧客情報が流出した問題について、流出対象が3万2359人に拡大したと発表した。9月時点では1万8184人と公表していたが、新たな不正使用が見つかり、再調査した結果、大幅に増えた。情報の流出源については、中国の業務委託先企業の特定の社員から流出した可能性が「極めて高い」とした。

 10月下旬以降、当初の約1万8000人に含まれない顧客のカードの不正利用が見つかった。再調査した結果、新たに1万4175人分の顧客情報の流出が判明した。同社は実際に情報が流出した顧客に1万円の“謝罪金”を送っているが今回も同様に対応する方針だ。

 同社は現在、情報が流出した2008年3月に中国の業務委託先の情報端末から不自然なアクセスがあった46万人分の顧客ファイルから流出対象の絞り込みを進めている。流出件数は最大約23万人に膨らむ可能性があるとしている。
アリコジャパンは中国企業にシステム開発を委託することのリスクを計算出来なかったんですね(笑)。リスク計算のプロである保険会社がこれじゃぁ、信用もへったくれもありませんね(笑)。ど素人も良いところです。アリコジャパン、もう終わりですね。もう潰れるしかないんじゃありませんか? 外国企業にシステム開発を委託する時には、そのリスクを十分に計算した上で検討しましょう!

アリコジャパン公式ホームページ
http://www.alico.co.jp/

posted by 公爵 at 00:00| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年11月03日

mixiのアプリ不具合で顧客情報流出!

SNSサイト「mixi(ミクシィ)」の人気ゲーム「サンシャイン牧場」において、ゲームアプリの不具合でクレジットカードでアイテムを購入した顧客の電話番号やメールアドレスなどが流出する事故が発生したそうです。しかも、クレジットカードでゲーム内通貨を購入したものの、通貨が手に入らなかったり、購入したアイテムが消滅する事象も発生している模様です。

Yahoo!ニュース −読売新聞− 11月3日3時1分
ミクシィ、4200人の情報が3日間「露出」
http://headlines.yahoo.co.jp/hl?a=20091103-00000155-yom-soci
 パソコンや携帯電話の交流サイト「ミクシィ」上で人気のゲーム「サンシャイン牧場」のシステムに不具合があり、クレジットカードでアイテムを購入した利用者の電話番号とメールアドレス最大約4200人分が第三者によって取得可能な状態になっていたことが2日、明らかになった。

 同ゲームは230万人が利用するほどの人気で、ミクシィは「トラブルを重く受け止めている」として、今後、審査制度を見直す方針。

 ミクシィによると、トラブルがあったのは10月21日〜23日。

 同ゲームは、ミクシィ上で会員が利用できるが、実際に制作・運営しているのは中国のゲーム会社「リクー・メディア」。

 画面上に自分の「農園」や「牧場」を作って、トマトやナスなどを植えて収穫したり、ニワトリやヤギなどの動物を育てたりするゲームで、8月末にスタート。

 最初はすべて無料で遊べるシステムだったが、10月21日から、有料の特別アイテムを使える仕組みを導入。クレジットカード決済で、ゲーム内通貨を取得し、その通貨で、野菜を早く大きくするための肥料など特別アイテムを手に入れるというもの。

 ところが、導入直後から、利用者から「金を払ったのに通貨がもらえない」などという苦情が殺到。リクー社が調べたところ、判明しただけで80人分の購入した計38万円分のアイテムの記録が消滅していたことが判明。さらに、クレジットカードでゲーム内通貨を購入しようとした利用者4200人分の電話番号やメールアドレスが外部から閲覧できる状態になっていたことが分かった。導入した課金システムに不具合があったとみられる。
mixi(ミクシィ)」のアプリ導入審査はザルなんですね。しかもゲームアプリを作っていたのは中国のゲーム会社・・・。アプリの開発が中国だからといって色眼鏡で見る訳ではありませんが、公開されている被害は氷山の一角ではないのかと勘繰ってしまいますね。

posted by 公爵 at 06:37| Comment(0) | TrackBack(1) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年10月22日

大阪高検がWinny開発者を上告

大阪高等検察庁はP2Pファイル共有ソフトWinnyの開発者である元東京大大学院助手金子勇被告を逆転無罪とした2審大阪高等裁判所の判決を不服として、最高裁判所に上告しました。

YOMIURI ONLINE(読売新聞) 2009年10月21日15時37分
ウィニー開発者・逆転無罪で大阪高検が上告
http://www.yomiuri.co.jp/national/news/20091021-OYT1T00697.htm
 大阪高検は21日、ファイル共有ソフト「Winny(ウィニー)」を開発、インターネットで公開し、著作権法違反(公衆送信権の侵害)のほう助罪に問われた元東京大大学院助手・金子勇被告(39)を逆転無罪とした2審・大阪高裁判決を不服として、最高裁に上告した。

 同高検は「判決には承服しがたく、上告審で適正な判決を求める」としている。

 金子被告は「上告は残念だが、最高裁でも無罪を勝ち取り、技術者の開発の支障とならないようにしたい」との談話を発表した。
Winnyの開発者が責任を問われるならば、交通事故の責任は自動車メーカー、包丁を使った殺人の責任は包丁メーカーに問われることになる訳ですから、かなり筋違いな裁判だと私は思っています。こんなくだらない取り締まりや裁判をする前に、優先して取り締まるべきサイバー犯罪があると思うのですが・・・。最高裁判所がどう判断するのか注目されます。

posted by 公爵 at 03:56| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年10月09日

かんぽ生命保険でWinnyによる顧客情報流出!

またWinnyによる顧客情報流出事故が発生しました。

INTERNET Watch 2009/10/8 18:20
かんぽ生命保険、1万3574人の顧客情報がWinny流出
http://internet.watch.impress.co.jp/docs/news/20091008_320358.html
 株式会社かんぽ生命保険は8日、簡易生命保険の契約に関する1万3574人の顧客情報が、ファイル共有ソフト「Winny」を介して流出したと発表した。システム開発委託先企業の社員のPCに保存されていたデータが、ウイルス感染により流出した。

 流出したのは、カナ氏名、生年月日、住所コードなど。民営化前の2007年3月、日本郵政公社簡易保険事業総本部がシステム開発業務を委託していた日本情報通信開発株式会社の社員が、自宅PCにこれらの情報をメールで送信して保存していた。2009年10月4日から情報が流出していたことが、10月7日に判明。PCを直ちにインターネットから切断して回収した。

 現在のところ、流出した顧客情報の不正使用などの二次被害は確認されていないとしている。
ソフトバンク ビジネス+IT 2009/10/08
かんぽ生命、Winnyで個人情報流出--1万3,574名
http://www.sbbit.jp/news/13081
 民営化前の2007年3月当時、日本郵政公社簡易保険事業総本部がシステム開発を委託していた日本情報通信開発の社員が、同社が禁止していたにもかかわらず、勤務先の会社のパソコンから個人情報をメールで送信し、その後保存していたことを失念。

 その後、同個人パソコンがウイルスに感染し、ファイル共有ソフトWinnyを介してネットワーク上に流出していたことが、10月7日に発覚したという。

 かんぽ生命では、情報流出後、ただちにインターネットから切断、回収している、と説明するが、Winnyの構造上、完全に回収することは難しい。

 現在のところ、悪用された報告はないという。情報が流出した顧客向けには、お詫び状を送付する。また、これに合わせて、本件に関する問合せ窓口「かんぽ生命 コールセンター(0120-552950)」を設置する。

 今後は、再発防止のため、全社員・業務委託先に、顧客情報の社外持ち出し禁止および個人所有のパソコンの安全管理について、再徹底を図っているというが、具体策は明示されていない。
それにしても、この手の事故はなかなか無くなりませんね。個人でも組織でも、信用を築くには長い年月の積み重ねが必要ですが、信用を失うのは一瞬です。

・顧客情報は職場から持ち出さない。
・PCにはセキュリティ対策ソフトを入れる。
・P2Pファイル共有ソフトは使わない。


これだけでかなりの事故を防げるはずです。「覆水盆に返らず」。このような事故を起こさないように、情報の取り扱いには十分に注意しましょう。

posted by 公爵 at 02:26| Comment(2) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

Winny開発者に逆転無罪!

P2Pファイル共有ソフト「Winny」の開発者に無罪判決が出来ました。

MSN産経ニュース 2009.10.8 10:08
ウィニー開発者に逆転無罪
http://sankei.jp.msn.com/affairs/trial/091008/trl0910081009002-n1.htm
 ファイル共有ソフト「Winny(ウィニー)」を開発・公開してゲームソフトなどの違法コピーを助けたとして、著作権法違反幇助(ほうじょ)罪に問われた元東大大学院助手、金子勇被告(39)の控訴審判決公判が8日、大阪高裁で開かれた。小倉正三裁判長は、罰金150万円(求刑懲役1年)とした1審京都地裁判決を破棄、金子被告に無罪を言い渡した。

 ウィニーをはじめとするファイル共有ソフトを用いた著作権侵害は増え続けており、開発者の刑事責任を認めるかどうかが注目されていた。1、2審を通じた争点は、ウィニーの開発が著作権侵害目的だったかどうか、面識のない利用者の違法行為に対するソフト開発者の幇助罪が成立するかどうかの2点だった。
ITmedia News 2009年10月08日 16時35分
Winny開発者無罪は「意外であり疑問」とACCS
http://www.itmedia.co.jp/news/articles/0910/08/news080.html
 ACCSは、Winny開発者の無罪判決について、「意外であり疑問」とするコメントを発表した。

 P2Pファイル共有ソフト「Winny」の開発者が、大阪高裁の控訴審で逆転無罪判決を受けたことについて、コンピュータソフトウェア著作権協会(ACCS)は10月8日、「意外であり疑問」とするコメントを発表した。

 ACCSは、「判決は意外であり疑問を生じますが、詳細な判決内容の確認・検討をしたいと考えます」とコメント。さらに、「今回の判決にかかわらず、被告には社会的・道義的な責任が生じているものと考えます」としている。

 ACCSは一審・京都地裁の有罪判決について、「非常に説得的であり、妥当な結果」とコメントしていた。

 ACCSは従来から、「P2Pはネットの重要な技術の1つ」という立場だが、P2Pファイル共有ソフトについては、「著作権への配慮がないままだと、著作権侵害行為がまん延する」と主張。今後もWinnyなどを通じた著作権侵害行為の対策を続けていくとしている。
ガジェット通信 2009.10.08 15:30:01
NHK記者が暴走か! Winny金子氏に『デスノート』的手紙を送る
http://getnews.jp/archives/32934
ファイルデータを不特定多数の人たちと共有することができるツール『Winny』(ウィニー)を開発し、著作権法違反に問われていた金子勇氏。2009年10月8日、大阪高裁は一審・京都地裁の有罪判決を破棄し、金子氏に対して逆転無罪を言い渡した。このことはニュースで判決結果が出るや否や、インターネット掲示板等で大きな話題になっている。

そんななか、NHK京都放送局の記者が意味不明なことをし、金子氏やその弁護士を困惑させていることが判明した。NHK記者は金子氏が公判中の時期に封書を送り、インタビュー取材の依頼をしたのだという。封書で依頼というのもおかしいが、まあ、インタビュー取材の依頼をすること自体はいつもよくあることである。

だが、問題はここからだ。そのインタビュー依頼の内容がとんでもないものだったのだ。その封書の内容を要約すると、「このままだと有罪になるからNHKのインタビューを受けてほしい。そうすれば無罪になることができる」というものだったという。これは金子氏の弁護士が自身のブログにて暴露したもので、弁護士はこの手紙のことを “デスノートの「魅上」並の狂気” とコメントしている(魅上についてはググっていだたきたい)。簡単に言えば、自分を神だとでも思っているかのようなNHK記者の言い草ということだ。

これが事実であれば大変なことであり、モラルを欠如した記者としか言いようがない。ガジェット通信編集部は真相を知るため、NHK京都放送局に取材依頼をするとともに、ファクスにて質問状を送った。10月9日の午前までに返答するよう要望を出しているので、それまでに明確な返事が届くことを期待している。

以下は、そのNHK記者からの手紙を弁護士のブログより引用したものである。長文の引用となるが、事態をお伝えするためにどうかご理解いただきたい。あなたはこの手紙をどう思うだろうか? ちなみに、この手紙を送ったNHK記者は「地裁判決後の記者会見で、何食わぬ顔で最前列に構えていた」という。いやはや何も言葉が出ない。

<NHK京都放送局の記者からの手紙>
金子さま、突然お手紙で失礼します。NHK京都放送局の記者です。私は、NHKの記者として現在京都で司法の分野を担当しています。(中略)結論から申しまして、公判の途中ですが、近々にNHKのインタビューに応じていただけないでしょうか。趣旨は初公判の後の会見で、私が質問した内 容と全く同じです。インタビューにでていただき、金子さんの考えている「将来の著作権のあり方」について思う存分語っていただきたいと思うのです。(中略)現に裁判では、弁護側がいわば的外れな見解を繰り返している間に、検察側は着々と犯罪事実の立証に足る、最低限の条件をクリアしていっていま す。検察側と弁護側の争点が食い違っていますが、検察側が争点を弁護側に合わせようとしないことからも明らかです。検察側としては弁護側と争点がかみ合わ なくても、むしろかみ合わず反論が内法が立証が容易だと考えているからに他なりません。(中略)裁判は残念ながら、弁護団が躍起になって、金子さんの耳にタコができるほど吹き込んでいるような結果にはならないでしょう。「悪あがき」をす ればするほどあなたの評価は下がる一方です。そして、あなたの描いた世界もきません。あるいは、その世界の到来まで我々は随分またなければなりません。 ネットユーザの中には、47氏が著作権のあり方を変えてくれると期待していた人が多くいたはずです。保身のために、主張を覆す。それが、果たして「神」と 呼ばれた人物のやるべきことでしょうか。(中略)NHKのインタビューに応じて、その行動にいたった動機を正直に話せば、世間の納得は得られるはずです。仮に有罪判決になってもインタビューに出 て世間に本音をさらしたことで執行猶予がつくのは間違いありません。逆に無罪を主張し続ける限り、減刑の余地はなく、実刑になる可能性も否定できません。 その点から考えれば、インタビューに応じることはかえって金子さんにとって有益であると言えると思います。(中略)最後に度重なる無礼をお許し下さい。お返事お待ちしています。
Winny」、「Share」、「WinMX」と言ったP2Pファイル共有ソフトは、ここ数年、著作権法違反と言うよりも機密情報流出事件や顧客情報流出事件で問題視されていることが多いと思います。IT業界で働いていると、顧客から自宅でP2Pファイル共有ソフトを使用していないことの証明書の提出や、P2Pファイル共有ソフトを使用しない旨の誓約書の提出を求められることがあります。P2Pファイル共有ソフトの使用は十分に注意しましょう。

posted by 公爵 at 02:06| Comment(0) | TrackBack(2) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2009年10月08日

安易なパスワードは避けましょう!

コンピュータやインターネットサイトで使用するパスワード。想像しやすい安易なパスワードを用いると、簡単に推測されて悪用されてしまいます。

ITmedia News 2009年10月07日 09時08分
大半のユーザーが安易なパスワードを利用、流出情報を分析
http://www.itmedia.co.jp/news/articles/0910/07/news024.html
 Hotmailなどから流出したアカウント情報を分析した結果、ユーザーの多くがいまだに弱いパスワードを使っていることが分かったという。

 米MicrosoftやGoogleなどのWebメールアカウント情報が流出した問題をめぐり、Webセキュリティ企業のAcunetixは10月6日、外部のサイトに掲載された約1万件のパスワードを分析した結果、ユーザーの大半がいまだに弱いパスワードを使っていることが分かったと報告した。

 問題のサイトには当初、1万28件のアカウント情報が掲載されていたといい、Acunetixはこのうちパスワードが確認できた8931件について分析した。

 その結果、全体の42%が「a〜z」までのアルファベットのみでパスワードを構成していた。「0〜9」までの数字しか使っていないパスワードも19%に上った。アルファベットと数字を組み合わせたパスワードは30%を占めたが、大文字と小文字の組み合わせは3%のみ、アルファベットと数字に加えて「$%@」などの記号を組み合わせていたのは6%のみだった。

 パスワードの文字数は平均8文字。Hotmailで定めている下限の6文字のものが22%と最も多く、次いで8文字が21%、7文字が14%。最も長いものは30文字だった。

 最も多く見られたパスワードは「123456」「123456789」「alejandra」「111111」が上位を占めた。このほか「alberto」「estrella」などの単語が上位に来ていることから、パスワード流出の原因となったフィッシング詐欺では主に中南米のユーザーが狙われたようだとAcunetixは分析している。

 ただし、詐欺サイトはあまり出来が良いものではなく、ユーザーにログイン情報を入力させた後、Hotmail/Liveサイトに誘導することさえしていなかったもようだとAcunetixは報告。このためユーザーはパスワードを間違えたと思い込み、詐欺サイトだと気付かないまま何度もパスワードを入力し直していたケースもあったという。
皆さん、注意しましょう!

posted by 公爵 at 00:00| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする

2008年04月13日

今すぐ簡単に出来るセキュリティ対策

作業しているコンピュータから離れる時には、コンピュータをロックするか、パスワード付きスクリーンセーバーを起動するか、ログアウト(ログオフ)しましょう。これこそ今すぐ簡単に出来るセキュリティ対策です。

posted by 公爵 at 21:10| Comment(0) | TrackBack(0) | セキュリティ | このブログの読者になる | 更新情報をチェックする
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。