2014年7月はベネッセコーポレーションで発生した、大量の個人情報漏えい問題がタイムラインを騒がせました。
2014年7月のセキュリティクラスターは、ベネッセコーポレーションが2000万人分以上もの個人情報を名簿業者に販売され、それがたくさんの会社に出回って販促などに使われてしまったことが大きな話題となりました。サーバーの脆弱性を突かれたりするなどの派手な攻撃ではなかったのですが、非正規社員が社内業務の深い部分までアクセスする権限を持っており、機密データを不正に持ち出せる環境にあったことで、サーバーへの攻撃以上に人ごととは思えなかったセキュリティ関係者も多かったようです。
技術的な話では、アプリケーションによる証明書のPinningや、ブラウザーのオートコンプリートについて活発に議論が行われていました。また日本最大のセキュリティコンテスト「SECCON」や、日本人だと思われる謎の(?)グループ「binja」がDEFCON本戦の出場権を得た「Secuinside」など、週末にはCTF関連のツイートも多く見られました。
進研ゼミやさまざまな雑誌で有名な、ベネッセコーポレーションが個人情報を漏えいしていたことが分かり、メディアなどで大きく取り上げられるだけでなく、セキュリティクラスターでも多くの人がツイートしていました。
ここまで話題になった理由は、最大2070万件という日本では例のない漏えい件数だったこと、そして漏えいした名簿が他の会社へ渡り、営業活動に使われていたということが挙げられるでしょう。漏えいの原因は、セキュリティホールを突かれたということではなく、業務に携わっていた派遣社員による情報の不正な持ち出しということでした。
この事件に関してセキュリティクラスターでは、内部犯行は人ごとではない、という雰囲気でした。またベネッセの個人情報の取得方法について言及するツイートや、登録する個人情報を会社ごとに微妙に変更している人が多いために、名簿が流用されていると気付いたというツイートも見られました。
「一太郎」や「ATOK」などで知られるジャストシステムが、この漏えいした個人情報が入った名簿を購入し、営業活動に使用していたことが後に分かります。ジャストシステムから勧誘を受けた人の方が多かったこともあり、ベネッセ以上にひどく叩かれていました。
ジャストシステムは当初、名簿は購入したもので法的には問題ないと強気の声明を出していましたが、誰も擁護してくれなかったこと、そしてデータの出どころをジャストシステムが問わなかったことを名簿業者が公表したため、ジャストシステムの語調もすっかりトーンダウンし、名簿は全て廃棄するという発表をしていました。
この件については、「確かに道義的には問題があるけれど、実は個人情報保護法でもJIS的には問題ない」とのツイートもありました。
Copyright © ITmedia, Inc. All Rights Reserved.