Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

Jaguar Land Roverの従業員情報漏えい

Jaguar Land Roverの英国工場(Solihull)から従業員の個人情報が漏えいした事件がHuffingtonpostに掲載されていました。

www.huffingtonpost.co.uk

 An apparent data breach at Jaguar Land Rover’s West Midlands factory has disclosed the personal information of hundreds of workers and revealed their possible fate amid mass redundancies.

Documents containing the details of 647 agency staff at the luxury car firm’s Solihull site have been widely shared among the workforce.

 

One file, titled “release list”, shows hundreds of staff marked with red lines – suggesting they will be let go.

(HuffPost記事より引用)

 

◆キタきつねの所感

記事を読むと、Jagar Land Roverの従業員情報がファイルが漏えいしてる事が判明。647人の代理店(DHL)スタッフの情報が漏えいした模様で、HuffPostが入手した情報では、名前、給与番号、教育記録、そしてスタッフが何日病欠したかまで記載されていたとの事。別なリストでは過去の怪我の記録や、身体障害まで記載されていたとあります。また1つのファイルは『release list』(解雇予定リスト)と題されており、

記事に掲載されていたリストのコピー画像は、Excelのリストで、でスタッフがマーキングされており、赤が解雇予定と注意書きも書かれていました。

この内容が5/25に報じられると、Jagar Land Rover社は最初”フェイクニュース”だと否定したとの事。

Jagar Land Roverは4/14に2018-2019年に1000人の解雇を発表しており、その中には今回の情報漏えい対象のSolihull工場が含まれていました。

www.bloomberg.com

フェイクニュースというには、状況証拠が揃いすぎている事もあり、HuffPostの続報に対してJagar Land Rover社は内部調査を実施すると回答していますので、おそらく内部情報が実際に流出してしまったのだろうと思われます。この事件が5月25日に適用開始されたGDPRにひっかかるのか分かりませんが、従業員情報の管理という面で、Jagar Land Roverには問題があったのは間違いありません。

総務/人事系から漏れたと思われる漏えいファイルですが、HuffPostの記事に掲載された画像を見ると、Excelスプレッドシート)ファイルに見えます。だとすれば、事件から気づくべき一般的な対策としては、読み取りパスワードではないでしょうか。オフィス系の読み取りパスワード設定は、AES暗号になるはずですので、(すくなくてもHuffPost記者が開けなかった可能性があるという点では)これだけでも事件影響はかなり軽減できたのではないかと思います。

 

長いリムジンのイラスト

 

 

更新履歴

  • 2018年6月10日PM(予約投稿)