Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

ベルギー通信会社大手Orangeの顧客情報漏えい

ベルギー通信大手のOrangeが15000人の顧客情報が漏えいを発表していました。

www.vrt.be 

f:id:foxcafelate:20180623172923p:plain

◆キタきつねの所感

リークは2週間前(6月初旬)であったけれども、現在発表されている情報はデータ漏えいがあったという概要だけのようです。漏えいしたデータは請求書に関係する個人情報だったようですが、名前、住所、銀行口座番号が含まれている可能性がある程度にしか情報が公開されていません。

事件の原因についても出ておらず、フィッシング攻撃に利用される可能性もあるのだからと、漏えいした可能性がある顧客が不満に思えるような企業としての情報公開となっているようです。

通信会社として事件を公表することは影響が大きいのかも知れませんが、Orangeのニュースリリースを確認してみたのですが、当該の発表がされてないようです。記事中でのスポークスマンの発言は、

The company explained the delay in revealing the leak, saying it had take the time to evaluate the extent of the leak and examine the steps to be taken.

“We immediately informed the data protection authorities,” the spokesperson said. “We also had to find out which customers were affected and what information may have been stolen. As soon as we knew, we informed the victims.”

(Brusselstimes記事より引用)

「まだ調査中であり漏えいの詳細は分からない。どのような情報が影響があるのか分かったら(当該)顧客に通知する」といった事しか話していません。

 

日本で言えば、3大キャリアのNTTドコモソフトバンクau辺りが情報漏えい事件を起こした訳ですが、漏えいの可能性があったレベルで、詳細調査中だとしても、事件が報道されたにも関わらず、公式リリースも出さずで、GDPR対応はこんなもんで良いのでしょうか?

Orangeは2014年にも130万人規模、80万件規模のデータ漏えい事件を起こしているので、慎重になっているのかも知れませんが、日本でも重要インフラ分野である通信キャリアを含めて、こうした攻撃事例(まだ詳細発表されていませんが・・)には敏感であるべきかも知れません。

www.techradar.com

 

更新履歴

  • 2018年6月23日PM(予約投稿)