ほとんどのセキュリティガイドラインには、本番データ(Live Data)をテストに使ってはいけないと書かれているかと思いますが、リスクを知らずに利用させる事業者は案外まだ多いのかも知れません。
www.security-next.com
公式発表
・不正アクセスによる個人情報流出の可能性について 2月10日
2.流出した可能性がある個人情報の内容
(1)保護者様
2,939名分の氏名、及び一部の方の電話番号
(2)園児様
3,754名分の氏名、郵便番号、一部の方の住所、一部の方の住所の建物名、生年月日、性別、入園・退園日
4.原因
委託先会社の一部システムの脆弱性をついた第三者からの不正アクセスが原因となります。具体的には、以下の通りです。
(1)委託先会社が構築したテスト環境において、外部からのアクセスが可能な状態になっていたこと。
(2)委託先会社の設定したテスト用のデータベースにアクセスするための認証情報(ユーザー名、パスワード)が脆弱であったこと。
(3)委託先会社におけるデータベースの匿名化(マスク処理)が不十分であったこと。
(公式発表より引用)
キタきつねの所感
公式発表を読んだ印象ですが、
(1)のテスト環境が外部からアクセス可能であったのは、テスト内容によってはそうした検証も必要な場合もありますので、状況次第かと思います。(テストが完了した後にクローズにしてなかったのかとは思いますが・・・)
(2)は、具体的に書かれていないので想像になりますが、admin/admin程度の認証であった可能性を感じます。とは言え(1)の環境下=外部から誰でもアクセス可能であった訳ですから、開発や保守の委託先のセキュリティに対する感度があまりにも鈍すぎます。
また、委託元である「ライクアカデミー」がその状況を仮に許していたのであれば、個人情報を預かる企業としての見識を疑います。
(3)はマスキング(匿名化)の失敗というより、開発者がテストデータを1から作るのが面倒だったので本番データを、ほぼそのまま流用した可能性を感じます。
仮に、委託元である「ライクアカデミー」が委託要件として個人情報の匿名化を挙げていたとしても、委託元も開発者の上長も、誰もチェックしてなかったのであれば、テストデータではなく本番データを利用していたと言われても仕方が無いのではないでしょうか?
漏えいデータの中身を見ると、保護者は氏名と一部の電話番号程度ですが、園児側は機微な情報(名前、一部住所、生年月日、性別、入退園日)が流出していた可能性があります。保護者と園児のデータを併せて、他の流出名簿と付け合わせれば、DMを送りたい学習塾や振袖レンタル会社などが欲しい情報に加工が可能な気がします。
余談です。テストデータを本番データとして使ってはいけない。セキュリティ担当であれば一度や二度聞いた事がある「常識」だと思うのですが、参考まで、ガイドラインの記載を調べてみました。
ISMSだとシンプルに、テストデータは保護する必要がある程度にしか書かれていませんが、
ISO27001附属書A A.14.3.1
試験データの保護
試験データは,注意深く選定し,保護し,管理しなければならない。
私の専門でもあるPCI DSSでは、カード情報の保護策ではありますが、本番データ(ライブデータ)をテストに使ってはいけない、と明記されています。
PCI DSSV3.2.1
6.4.3 テストまたは開発に本番環境データ(実際の PAN)を使用しない
(ガイダンス)
セキュリティコントロールは、通常、開発環境ではそれほど厳しくありません。本番環境データを使用すると、悪意のある者に本番環境データ(カード会員データ)に不正にアクセスする機会を与えることになります。
ガイダンス部分(懸念点:赤字)が、今回「ナナポケ」が侵害を受けた所と重なる気がします。
経産省の情報セキュリティ管理基準(H28年度)では、テストデータを使う場合は、個人情報等の秘密情報は無価値化(マスキングや別な情報への置き換え)での保護を書いていますし、それ以外の運用情報も、テスト完了後に消去する事が書かれています。
総務省の地方公共団体における 情報セキュリティポリシーに関する ガイドライン(平成 30 年 9 月版)でも、個人情報等の機密性の高い情報をテストデータとして使用する事は禁止しています。
参考:覚えていませんでしたが、過去にも同じ事書いていました。
foxsecurity.hatenablog.com
本日もご来訪ありがとうございました。
Thank you for your visit.
更新履歴