LINEのデータ管理問題、問われるクラウドサービス事業者の管理体制
~2021年3月の気になるセキュリティニュース~ セキュリティニュース

2021年4月8日

セキュリティニュース一覧

トピックスを紹介します。

「LINE」利用者の一部データが韓国で保管され、委託先の中国の関連会社から閲覧可能となっていた問題は、LINEを利用する行政サービスの一部停止が相次ぐなどの波紋が広がっています。
同社のプライバシーポリシーではデータ移転先の具体的な国名は示されておらず、また、国家情報法が施行される中国から閲覧できたことは、安全保障上の問題があるとの指摘もなされています。クラウドサービス事業者は、自社が扱う情報の保管先や取り扱いについて再確認し、必要かつ適切な管理を行う必要性があると考えます。

・LINE、個人情報保護指針の改定やデータ管理の体制強化へ
LINE株式会社が提供するメッセージアプリ「LINE」の利用者情報の一部が韓国のサーバで保管され、中国の関連会社で閲覧可能となっていた問題について、既に同社では国内利用者の個人情報に対する中国からのアクセスは完全に遮断する措置をとっており、韓国のサーバに保管されているデータについては、今後すべて国内に移転させることを発表しました[1]。
また、個人情報保護についての指針を改訂し、データ移転の可能性がある国名や目的を明記するとの方針を示しています。この問題では個人情報保護委員会のほか総務省や金融庁からも報告が求められており、親会社であるZホールディングス株式会社でも有識者による委員会を設置し、詳しい調査を進めているとのことです[2]。

また、早急な対応が必要なMicrosoft Exchange Serverの脆弱性情報が公開されています。
修正プログラムの適用前に攻撃が行われている可能性が考えられますので、該当ソフトウェアを利用している際には、被害有無の確認を含めた、適切な対処を実施することを推奨します。

・Microsoft Exchange Serverの複数の脆弱性に関する注意喚起
JPCERT コーディネーションセンター(JPCERT/CC)は、Microsoft Exchange Serverの複数の脆弱性に関する注意喚起を公開しました。脆弱性が悪用されると、遠隔の第三者がシステム権限で任意のコードを実行するなどの可能性があるとのことです[3]。
チェック・ポイント・ソフトウェア・テクノロジーズ社の調査では、既に悪用が確認されており、攻撃を受けたとされる企業は多岐にわたると報告されています。ゼロデイの脆弱性ということもあり、修正プログラムの公開前に被害が発生している可能性が考えられます[4]。該当ソフトウェアを利用する際には、まずは被害有無の確認を実施の上、修正プログラムの適用が必要です。Microsoft社では、ワンクリックの緩和ツール「Microsoft Exchange On-Premises Mitigation Tool」を公開しており、活用を呼びかけています[5][6]。

主なマルウェア・不正アクセス関連の記事を紹介します。

・Salesforce社クラウドサービスの「設定不備」問題、相次ぐ被害報告
SMBC日興証券とSMBC信託銀行は、利用していたセールスフォース・ドットコム社(Salesforce)のクラウドサービスのアクセス権限設定の不備により、合計で約12万件の個人情報が外部から閲覧可能な状態になっていたと発表しました[7][8]。同月には、コナミデジタルエンタテインメント(KONAMI)や、国際協力機構(JICA)などでも同様の発表がなされており、同社のサービスを利用する企業には、引き続きクラウドストレージなどのサービスが意図せぬ設定になっていないか、再確認や見直しなどの対応が求められています[9][10]。

・海洋研究開発機構にVPN経由で不正アクセス、約2,000人分の個人情報流出
海洋研究開発機構(JAMSTEC)は、VPN経由で不正アクセスを受け、約2,000人分の職員の業務用のIDやパスワードなどが窃取されたと発表しました[11]。業務システムにアクセスするアカウントが乗っ取られ、職員になりすましたVPN接続が複数回行われていたとのことです。同機構では、詳しい原因や機密情報の流出有無などの調査を進めるとしています[12]。

・SITAへの不正アクセス JAL、ANAで、計約192万人分の会員情報流出
航空会社向けに旅客処理システムを提供するスイスのSITA(国際航空情報通信機構)が標的型攻撃による不正アクセスを受け、日本航空(JAL)と全日本空輸(ANA)は、会員情報の一部が漏えいしたことを相次いで発表しました[13][14]。SITAは、世界の航空各社や旅行代理店などに様々なサービスを提供しており、流出被害は他の航空会社にも広がる可能性があるとの報道もなされています[15]。

・松井証券で約2億円の不正引出、委託先SEが顧客情報を不正取得
松井証券は、システム開発や運用業務の委託先であるSCSK株式会社の元社員が、顧客資産約2億円を不正に引き出していたと発表しました[16]。元社員は、業務上付与されたアクセス権限を悪用してログインに必要な情報を不正に取得、その後、顧客になりすまして有価証券の売却や預かり資産の引き出しを行っていたとのことです[17]。

その他、政府・業界動向などに関連する記事を紹介します。

・個人情報保護委員会、LINE問題を受け企業の実態調査へ
個人情報保護委員会は、LINE利用者の個人情報が中国の関連会社で閲覧可能だった問題を受け、同様の事例がないか、大規模な実態調査に乗り出すとの方針を示しました。日本経済団体連合会(経団連)と新経済連盟の加盟企業などに対し、個人情報を中国など海外に持ち出しているかやプライバシー保護策などを確認し、個人情報保護法違反の疑いがあれば行政処分も検討するとしています[18]。

出典

最後に

本記事は、2021年3月に報道されたセキュリティニュースを基に、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。


京セラコミュニケーションシステム株式会社
セキュリティニュースチーム

掲載されている情報は、発表日現在の情報です。最新の情報と異なる場合がありますのでご了承ください。

ページトップへ