ソフトバンクBBの「このたび明らかになった事実」について
2004/6/1
ソフトバンク・グループ代表 ソフトバンクBB 代表取締役社長 兼 CEO 孫正義氏 |
ソフトバンクBBは5月31日、同社顧客情報を基にした恐喝未遂事件に関して、現時点で判明した結果を発表した。ソフトバンク・グループ代表 ソフトバンクBB 代表取締役社長 兼 CEO 孫正義氏は「事件の全容はおおむね明らかになった。不幸中の幸いで(顧客情報の)2次流出はないと認識している」といまだ緊張した面持ちで会見に臨んだ。
顧客情報は、過去にソフトバンクBBで業務委託業者(契約社員)としてシステム関連業務に従事していた者(同社では“協力者”と表現)の内部犯行的な行為によるものだった。この「協力者」が、リモートメンテナンスサーバへアクセスするためのアカウントとパスワードを今回逮捕された容疑者らに伝え、容疑者らは同サーバを経由して、ソフトバンクBBの顧客データベースへ不正にアクセス、顧客情報を持ち出したことが明らかになっている。
同社の調査によると、顧客データベースにアクセスできたのは、社員、契約社員を含め、170人であり、リモートメンテナンスサーバにアクセスできたのは110人であった。今回外部に情報を提供できる可能性がある人物は、そのうちの顧客データベースとリモートメンテナンスサーバの双方のアクセス権を有する18人に絞られた。このうち、さらに顧客データベースとリモートメンテナンスサーバにおける各グループアカウント保持者を重ね合わせ、絞り込みをかけると「協力者」として該当する人物はただ1人となった。実は2月7日、ある匿名の電子メールが同社に届き、「協力者」として該当する人物の告発を行っていたという事実があった。同社は「即刻、この件を警察に通知した」(孫氏)という。
今回のソフトバンクBBによる顧客情報流出および恐喝未遂事件は、開発者向けのリモートメンテナンスサーバを設置し、比較的自由に社外からのアクセスを許してしまった点、グループアカウントという安全設定の低いアカウントを設定し、運用していたという点、パスワードの変更頻度の少なさ(2002年12月から変更していなかった)など、同社のセキュリティに対する基本的な意識や姿勢に原因の一端が認められる。同社は今後の対応として、649項目に及ぶ従業員に対する顧客情報管理の徹底教育をあらためて実施する。その中には、システム面として、リモートメンテナンスサーバを撤去、また、外部ネットワークから顧客DBを完全に遮断し、アクセス権限者を3人に限定、セキュリティシステムとして指紋認証機器の導入を急ぐなどの措置も含む。
今回逮捕された2人の容疑者のうちの1人(冨安泰生容疑者)は、ソフトバンク・パブリッシングが発行する雑誌「PC Japan」の2000年11月号から2004年6月号(4月6日発行)まで計31本の記事を「Beamz」のペンネームで寄稿していたフリーライターでもあった。主にセキュリティ対策に関し、技術者向けの記事を得意としていた。また、Webサイト「IT Media」においても2001年7月から2002年8月まで計32本の記事を寄稿していたことが同社の調べで明らかになっている。なお、“協力者”とされる人物も2003年10月号の「PC Japan」で、冨安容疑者が寄稿していた特集企画に、別のテーマで寄稿していた事実があったが、「両者がどの時点で初めての接触を持ったのかは明らかではない」(孫氏)。「PC Japan」は即刻休刊とし、ソフトバンク・パブリッシング幹部についても「何らかの処分を行う方向で議論している」(孫氏)最中だ。
(編集局 谷古宇浩司)
[関連リンク]
ソフトバンクBB
[関連記事]
ヤフーBB全会員に500円、情報流出事件で孫氏が謝罪
(@ITNews)
巨額の損害賠償請求に有効、フォレンジクスとは
(@ITNews)
セキュリティ10大ニュースで2003年を振り返る
(@ITNews)
個人情報流出で倒産するシステム・インテグレータ
(@ITNews)
掲示板が新たな脅威、トレンドがWebアクセス管理の新製品
(@ITNews)
情報をお寄せください:
最新記事
|
|