人生2度目の個人情報流出を釣りビジョンで体験した件

朝のメールチェックをすると、「釣りビジョン」からこんな件名のメールがきてました。

 

【重要】不正アクセスによるお客様情報流出に関するお詫びとご報告

 

────は? webに登録する要素なんてあったっけ……(そっち?)

いつも思うんですが、一般ピーポーの個人情報が漏れたところで、何を恐れる必要があるんですかねぇ? バキの家みたいになる程度でしょう。

スポンサーリンク

人生1度目の流出はベネッセでした。懐かしい

そんなわけで漏れました。

これが届いた時、登録してたことを忘れていたので「誰かと間違えてない?」と……。

流出したユーザーには個別でメール送信を、今はHP上で上記の謝罪文と同じ内容で掲載されていますね。

不正アクセスによるお客様情報流出に関するお詫びとご報告 | ニュースリリース | 釣りビジョン
このたび、弊社、株式会社釣りビジョンがお客様に提供しておりますWEBサイトに係るサーバーに対し第三者による不正アクセスがあったことが発覚し、不正アクセスの全容解明ならびに被害状況の調査を進めてまいりました。 調査の結果、WEBサーバーに連係するデータベース(以下、「DB」といいます)用サーバーに保管していたお客様情報6...

原因特定と保障対策まで決まってからのリリースだから、遅いといえば遅いけど、個別対応なので流出事案としては丁寧だと思います。

 

──がっつり流出した事件といえばベネッセが有名。

私も一応当事者だったらしく、QUOカードか何かをもらってラッキーだった覚えがあります。

リンク ベネッセ個人情報流出事件|wikipedia

 

データ流出の手口は多様化していますが、ネットワーク経由でデータベース(PC)に侵入、顧客名簿にアクセスして盗むパターンが主流。

釣りビジョンの流出は一応これに該当します。

流出過程の説明がすっごい丁寧で驚いた

個人情報流出に直接関係したのはこれで2回目。私は含まれないけど流出した──のはもっと多いですね。

直近では「Google+」もありましたけど、サービス自体終了させる力技が面白かった(他人事感)。

「Google+」の終了が2019年8月から4月に繰り上げ 5250万人に影響の新たなバグ発見で
Googleが、一般ユーザー向け「Google+」の終了時期を2019年8月から4月に繰り上げる。11月のアップデートで新たなバグがあり、企業向けも含む約5250万人の非公開個人情報が影響をうけたため(実被害はなかったとしている)。

ネトゲでも漏洩によく遭遇した気がしますが、その対応と連絡が、軒並み雑すぎた記憶があります。

それに比べれば、釣りビジョンのサーバーを管理する会社は有能じゃないかなと。

  1. 発覚と対応の経緯 (1)2019年1月5日、WEBサーバーおよびDBサーバーの保守・管理を委託している会社(以下、「委託先会社」といいます)より弊社に対して、サーバーの異常を検知したという報告があり、社内で調査を実施いたしました。その結果、通常では想定できない大量のアクセスを確認したため、同月7日に委託先会社に対してアクセスログに関する詳細な調査を依頼いたしました。 その結果、脆弱性診断ツールを悪用した攻撃により、第三者から弊社のWEBサーバーへ海外から不正アクセスされた形跡を確認し、お客様の個人情報が流出した可能性があることが判明いたしました。

※メールから抜粋

「何いってんだコイツ」と思う人もいるでしょうけど、説明はかなり丁寧です。

これは「意図的に狙った攻撃」なので、釣りビジョンを狙う奴がいることに、私はちょっと驚きました。

──ITに詳しい釣り業界にアングラーって想像つかないから、そこを突いたのかしらね。

不正アクセスの対策をするにはどうしたら?

もっとも確実な方法は、”インターネットに接続するな!”です。接続しなければ外部からアクセスする方法はありません。

映画でよくあるでしょう? 建物に侵入してネットと繋がっていないPCから直接データを移し、終わったところで警報がなって、「見どころはじまるよ!」的なパターンが。

 

個人で対処するに簡単な方法は、”初期設定から名前を変えたりファイルを移動させる”こと。

スパイウェアやウイルスは所詮プログラムです。てことは「ここのフォルダにあるこんな名前のファイル・拡張子をネットワークに流せ」と命令文で作成されているわけ。

PCに疎い人は大抵、OSを「Cドライブ」にインストールして、同じストレージにあるマイドキュメントに書類データを入れます。その一文字でも変えていれば、プログラムの命令文が実行できず、不発で助かる可能性が多少なりともあります。

いちいちメインのドライブ名やフォルダ名を変える人は少ないから、疎い人ほど被害者になりやすいってわけです。

 

あとはOSやアプリの脆弱性(バグ)を突いた攻撃もあります。

誰でも標的になる可能性は高いですが、保有する情報の重要性が高くなるし、確実にサーバー名が判明する企業が標的にされることが多い。

対処するには最新アップデートを必ず行いつつ、不必要なアクセスは遮断するようアクセス制限をかけること。

まだウイルス監視ソフトに頼ってんの?

メーカー製PC(ノート含む)を購入すると、もれなくついてくる邪魔な奴がいます。特に国産PCメーカーでのさばるAvastくんです。

ウイルス監視ソフトが必要だったのはひと昔前のこと。

現在はOS標準の性能が良くなりすぎて、要らない子になっていると知ってました?

Windows Defenderがついに最高位のアンチウイルス製品に成長 | ソフトアンテナブログ

PCのOSはWindowsとmacOSが巨塔。どちらも標準でウイルス対策ソフトが導入されています。

そこに別の監視ソフトを入れ、わざわざ内部で競合させてCPUの負担をあげてどうすんの? とは思う。

ウイルス対策は現実の風邪対策と同じ

インフルエンザが流行していますが、その存在を知らない人ほど感染しやすいです。

流行してると知りつつ、マスクをせずに手洗いうがいなど対策をしなければ、これも感染しやすいでしょ?

完全に対策しても、「絶対に感染しない!」 とは言い切れません。それをするなら、インフルエンザウイルスが存在しない国に逃げるほうが確実です。

 

ね? なんとなくPCの不正アクセス防止と感覚は似ていますよね。

ネットから侵入されるのを恐れるなら、ネットに接続しないようにするしかない。

ウイルス感染が怖いなら、外部からファイルを一切持ち込ませなければいい。

──それだけ対策をしようにも、感染してマスクもせず出社してゴホゴホするバカが来たら、大惨事になると予想はつくと思います。

情報流出の大半は人為的ミスが原因です。だから気を抜かないようにね。

個人情報はSNSに写真1枚アップするほうが漏れてる

今時、名前と住所が漏れたくらいで企業を責めても、無駄な時間と労力を費やすようなもの。実名でSNSしている人がそれで慌てているなら可笑しいですね。

金銭が絡む支払いに、クレカの情報が漏れてから慌てましょう。

 

SNSに写真をアップするのが当たり前になってきて、個人を特定する情報はこっちのほうが充実しています。

リアルタイム投稿していれば行動範囲や習慣もわかりますしね。

使う人次第でストーカー助長アプリになる危険性があります。

これに関しては特にツイッターとインスタがガバガバなので、写真からExifを消して投稿時間をずらすなど、女性はなおさら自己防衛手段を取るようにしましょう。

男性は金持ってそうな人が狙われるので、金銭的なアピールは控えるほうがいいです。

雑談
スポンサーリンク

にほんブログ村 釣りブログへにほんブログ村 釣りブログ 東海釣行記へ

気に入ったら
「いいね」お願いします!
更新情報はこちらでも

海釣りがメインでたまに淡水も。2019年の目標は月イチ釣行、浜インしつつ遠州サーフを再度マッピングしていきたい。

さししをフォローする
とある浜松アングラーの一生