Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

学研の広報対応

学研は子供の頃にお世話になっており、信頼できる会社というイメージがありましたが、下記の記事を読むとセキュリティへの感度は弱いのかも知れません。

www.security-next.com

学研プラスが運営する電子書籍配信サイト「Beyond Publishing」が不正アクセスを受け、利用者の個人情報が流出した可能性があることがわかった。

同社によれば、電子書籍をはじめとするデジタルコンテンツの配信プラットフォーム「Beyond Publishing」が不正アクセスを受けたもの。同プラットフォームで提供している「学研図書ライブラリー」サービスの利用者大712人の個人情報が流出した可能性があるという。氏名、ニックネーム、メールアドレスなどが含まれる。

2018年12月19日、同サイトを開発した委託先から脆弱性に関する連絡があり、調査を行ったところ不正アクセスの痕跡を確認20日にサービスを停止した

(Security Next記事より引用)

 

Beyond Publishing

 

◆キタきつねの所感

SecurityNextの記事を読む限り、個人情報の最大漏洩件数まで具体的に出てますし、サイトは閉鎖されていますので、恐らくインシデントは発生したのだと思います。

尚、この記事を書いている1/10現在の当該サイトは閉鎖されたままです。このまま何も公表せずに(サービス再開予定の)1月末まで逃げ切ろうという事なのでしょうか?

  ※(1/15追記)学研プラス側で事件発表をしていました。(調査不足をお詫びします)

gakken-plus.co.jp

 

f:id:foxcafelate:20190110162559j:plain

 

記事によれば、12月20日にサイトを閉鎖しているので、Beyond Publishing側としてはインシデントを把握していると推定されます。しかし、記事が出た(取材を受けた)にも関わらず、対外的には何も公表しておらず、単なる『システム障害』としか発表しないのは、(もし記事内容が事実であるならば)学研グループとして問題があるのではないかなと思います。

 

学研グループのホームページを見ると、過去2015年に不正アクセスを受けた際には、事件を把握してから5日で公表しています今回は記載を見出せません

 

f:id:foxcafelate:20190110163249j:plain

 

何の脆弱性を突かれた攻撃かは分かりませんが、個人情報が漏洩したいた(インシデントが発生していた)のだとすれば、システム障害と偽っている事になりますし、仮に個人情報漏えいが無かったのだとすれば、Security Nextの記事が間違っていたと広報を出すべきなのではないでしょうか。

 

公表はフォレンジック調査などの結果を待ってから、、、という対応の企業は多いので、Beyond Publishing側も、調査結果が出て改めて発表する事を考えているのかも知れませんが、株主を含むステークホルダーから『隠蔽しようとしていたのではないか』と思われてしまうリスクの方が大きいのではないか、つまりどうせ事件詳細を発表するのであれば、早く第一報を出す方が良いのではないかなと思います。

 

余計な事ではありますが、年末年始の時期に第一報を出していれば、芸能人の離婚・結婚報道や箱根駅伝などのニュースに押されて、事件のインパクトが小さくできたのではないかなと思います。

 

 ※(1/15追記)学研プラス側で事件発表をしていた内容は、Security Nextで報じられていた内容と同じですが、なぜ当該サイトのトップページを更新しないのか?については、やはり問題があるのではないかと思います。

 

f:id:foxcafelate:20190110164250p:plain

 

 

 

 

更新履歴

  • 2019年1月10日PM(予約投稿)
  • 2019年1月15日AM(学研プラスのリリース内容で追記)