Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

上光証券の不正アクセス事件についてまとめてみた。

上光証券が11月20日付で、不正アクセスによる個人情報流出懸念のお詫び文を出していましたので、少し見てみます。とはいえ、あまり不正アクセスの詳細についてあまり詳細に開示されていません。証券会社の顧客は一般企業以上に機微な個人情報となる可能性があるかとは思いますが、不正アクセスの手口については、もっと開示されると他社にも参考になるのですが・・・。

 

 公式発表

原因
事件の状況 
  • ~2017年10月25日までに外部の第三者による不正アクセスによりサーバーに保存されていたセミナー参加者の個人情報83先が流出したおそれ
  • 流出した可能性のある個人情報
    • 御芳名
    • 住所
    • 電話番号
    • メールアドレスの一部または全て

再発防止策

  • セキュリティ対策の強化と社内における個人情報管理の徹底

 

◆キタきつねの所感
不正アクセスの手口が公表されない場合(の方が多いのですが)、SQLインジェクション等々、今更対策を取ってなかったのが恥ずかしい脆弱性を残していたのかな、、と邪推してしまうのですが、フォレンジック調査はしてない(「~10月25日」と不正アクセスが特定できてなさそうな事で推測)のだとすると、Web脆弱性が残っている可能性もあるかも知れないな、と懸念します。

上光証券は2018年1月1日で北洋銀行の完全子会社化される予定ですが、北洋銀行傘下で予算もつくでしょう(?)から、今一層セキュリティを向上させていく事が必要かもしれません。

 

f:id:foxcafelate:20171130111344p:plain

 

www.nikkei.com