三菱UFJニコス会員専用WEBサービスへの不正アクセスで、894名の登録情報が不正閲覧、個人情報漏洩

本文（ネットバンキングに係る被害の防止）サマリー

・三菱UFJニコス会員専用WEBサービス不正アクセス
・三菱UFJニコス会員専用WEBサービス不正アクセス後の対応
・三菱UFJニコス会員専用WEBサービスへの不正アクセス総括
以上です。ご覧下さい。

三菱UFJニコス会員専用WEBサービス不正アクセス

三菱UFJニコス会員専用WEBサービス不正アクセスがあったようです。三菱UFJニコスホームページにて公開されています。

不正アクセスの内容

・発生日時・・・4月11日午前6時33分に不正アクセスを検知し

・不正アクセス経緯・・・インターネット上で利用される暗号化ソフト「オープンSSL」の脆弱性を狙った不正アクセス

・不正アクセス、閲覧された人数・・・延べ894名

・不正閲覧情報
　・カード番号
　・氏名
　・生年月日
　・住所
　・電話番号、
　・eメールアドレス、
　・有効期限、
　・WEBサービスID
　・カード名称
　・ご入会年月
　・ご利用代金お支払口座（金融機関名・支店名）
　・お勤め先名
　・お勤め先電話番号など
　・カードの暗証番号
という説明のため他の情報も流失している可能性があります。

しかし「カードの暗証番号」「WEBサービスログインパスワード｣は不正閲覧されていないとのことです。

後気になったのですが、不正閲覧された情報に
※弊社がカード発行業務を受託している先のWEB会員の一部のお客さまを含みます。
とのことです。
つまり問題は、受託されたカード発行業務、web管理のデータベースは三菱UFJニコス会員のデータベースと同様の場所に管理されて可能性が高いということです。

受託先も知らなかった事実かもしれません。別の場所に管理されていれば受託先の情報は漏洩しなかったのかもしれません。

三菱UFJニコス会員専用WEBサービス不正アクセス後の対応

・不正アクセスに伴う対応・・・影響範囲の調査を始め、一旦、WEBサービスを停止いたしました。
12日未明、同ソフトのバージョンアップを図るなど、安全体制が確保できましたので、12日午前7時48分に、WEBサービスを再開いたしました。

弊社では日ごろから不正検知システム（24時間365日体制で稼動）とのことです、これはどこの金融機関でも当たり前に対応していることです。

再発防止策

システムの防衛態勢を更に強化いたします。また、情報セキュリティ態勢の高度化に向けて、リスク管理要員や既存のサイバー攻撃対応要員を含めたネット不正対応の専門チームを組成いたします。

とのことですが、”ネット不正対応の専門チーム”を形成していなかったことが疑問に思います。

三菱UFJニコス会員専用WEBサービスへの不正アクセス総括

三菱UFJニコスは金融機関なので情報管理レベルは非常に高いとおもいます。

私も情報セキュリティ関連に10年ほど携わったのでわかります。

ただ私が危惧したことは2点
１．不正に閲覧された情報があまりにも多い。
２．受託された情報を不正閲覧されている
ということです。

つまりデータベース構成における脆弱性を感じます。

詳細は⇒三菱UFJニコス会員専用WEBサービスへの不正アクセスに関する報道