こんにちは風吹です。
先日こちらでも書いたカゴヤの個人情報漏洩事件の件ですが、
ようやく終結した模様?
ようやく終結した模様?
本日、下記のようなメールがカゴヤから届きました。
[件名]
【KAGOYA】不正アクセスによるお客様契約情報流出に関するお詫びとご報告
流出規模はあくまでも予想なんでしょうが、
原因・不正アクセスの手口第三者の不正アクセスにより、OSコマンドインジェクション(※)
の脆弱性を利用されて、DBサーバー内の情報を不正取得された。
(※)OSコマンドインジェクションとは、閲覧者からデータの入力や操作を受け付けるような
WEBサイトでプログラムに与えるパラメータにOSに対する命令文(コマンド)を紛れ込ませて
不正に操作する攻撃のことです。
流出の対象期間 2015年4月1日〜2016年9月21日
個人情報の件数 48,685件だそうです。
流出した情報(疑いを含む)は、 @氏名 A住所 B電話番号 Cメールアドレス
Dご契約アカウント名・パスワード
2016年9月16日、社内スクリーニング(ふるい分け選別調査)の結果、複数のお客様サーバーに
プログラムファイルがアップロードされている状況が判明。
被害拡大を防ぐために、カゴヤが設定したパスワードは全て即時変更。
これにより、初期アカウントのメールボックスをメインに使っていた全ての顧客は
メールの送受信及び管理画面へのアクセスを断たれ、変更することすら出来なくなり、
混乱になったようです。
結果カゴヤでは対応に追われ、長期間の間電話サポートをやめてしまったため
ここまで長く混乱が収まらなかった模様です。
僕が使っているアカウントも、まるまる1週間、使えない状況でした。
ここ最近、「カゴヤ 個人情報漏洩」のキーワードでのアクセスが多かった所を見ると
人によってはかなり長期化してたみたいですね。
まぁ、「これ以上の被害拡大よりは、顧客すらアクセスできないほうがまだまし」という
判断だったのでしょうが、もう少しなんかやりようが無かったんですかねと、
思うのは僕だけでしょうか。
