人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず
■仮登録者の氏名、生年月日、住所、メールアドレスなど
人材派遣会社のアスカが、所有する個人情報、最大約3万件を漏洩したことがわかった。同社によると、5月下旬に外部から受けたサイバー攻撃が流出の原因としており、同社は群馬県警に被害を相談している。また「情報が流失したことについて、今後利用者にお知らせしていく」とし、情報漏洩について近々正式に発表する。
流出したのは、同社ホームページにおいて派遣の仮登録をしたユーザー情報で、氏名、生年月日、住所、メールアドレス、保育士資格の有無などが記載されていた。同社は「職務経歴や番地登録が必須な本登録をしたユーザーの情報は、流出していない」と説明する。
アスカは、1994年に設立。保育士や介護分野への人材派遣に特化し、グループ会社とあわせて、北海道から沖縄まで16の本社や支店を展開している。2019年2月の上毛新聞の報道によれば、保育関連では同社に約6万人が登録している。
■ホームページも不正に書き換えられていた
サイバー攻撃は5月下旬に行われ、これによって流出した個人情報リストがインターネット上の掲示板にアップロード・転載された疑いがある。また、同社HPの「お知らせ」や「お仕事募集」のページも不正に書き換えられ、「要人殺害募集:時給150000〜300000円」などの内容が記載されていたことがわかっている。アスカは5月25日に群馬県警に相談しており、「現在はシステムを更新済みであり、これ以上の情報漏洩はない」と説明する。
だが、情報漏洩よりすでに1カ月以上が経過しており、アスカは取材が行われた7月上旬でも、漏洩した疑いのあるユーザーに対しての連絡や、掲示板への削除要請などはしていなかった。個人情報が流出したとみられる一部ユーザーはプレジデント編集部の取材に応じ、漏洩との因果関係は明らかではないが「知らない番号から電話が来るようになった」と話している。
■個人情報保護法の観点からアスカに問題がある
これに対し、城南中央法律事務所の野澤隆弁護士は以下のように指摘する。
「漏洩認識後速やかに、被害者本人に連絡し、被害規模に応じた再発防止策の公表、個人情報保護委員会への報告等をすべきであった。個人情報保護法といった一般法では原則努力義務だが、漏洩から一カ月以上もアスカ側から公表等がなかった以上、人材派遣業関連の法令等により行政上の指導ないし処分が行われる可能性がある」
アスカは、1カ月以上も情報流出について周知しなかったことについて、「われわれが大騒ぎをすると、サイバー攻撃をした人たちをかえって喜ばせて、さらに被害が広がってしまう」可能性を考慮したという。しかし、プレス発表などではなくユーザー一人ひとりに連絡することはできたのではないかと問うと、「ある程度こちらの調査が終わった時点で連絡をすることを考えていた」と回答した。
■アスカはどのように情報流出したのか
アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。
「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。
2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。
■SQLインジェクションは古典的な攻撃方法
インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、Webアプリケーションに甘さがあった可能性は否定できない」と説明する。
アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。
また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。
※編集部註:初出時、アスカがSQLインジェクションを受けた原因について三上氏は「データベース設計の甘さがあった可能性がある」と推測していましたが、「Webアプリケーションの甘さ」に訂正しました。(7月15日14時10分追記)
※編集部註:初出時、SQLインジェクションの事例として2011年のソニーの個人情報流出問題を記載していましたが、その後SQLインジェクションによる流出ではなかったことが判明したため、その記載を削除しました。(7月16日21時47分追記)
■1人あたり数万円以上の賠償額になる可能性
前述のソニーや2014年のベネッセ個人情報流出事件など、企業側の個人情報が流出する事件は起こっているが、多くは何らかの形で盗み出した個人情報を換金することが目的とされている。
だが、今回のアスカの流出に関しては、インターネット上に盗み出した個人情報がアップロードされ、それにより情報の希少性を損なっていることから、金銭を目的とした犯行ではなく愉快犯の疑いもある。三上氏はサイバー攻撃者について「以前から活動する国内グループの犯行の可能性がある」と分析する。現時点で登録ユーザーにどのような不利益があったのかは不明だが、金銭を目的としない分、対応に苦慮する展開も予測される。
さて、野澤弁護士は本件について以下のようにも指摘する。
「過去に情報流出があったベネッセなど、裁判に至ったケースもある。ベネッセの対応への評価は分かれているが、最低限の周知及び漏洩対象の顧客に金券の交付等が行われた。本件は、職業、つまり収入に直結する介護、保育等に従事する方だと分かってしまうため、情報価値は高い。一人当たりの賠償額は、情報漏洩事件では比較的高い数万円以上になる可能性がある」
アスカの担当者は「補償について、現状ではまだそこまでは考えておりません」と話す。
当然ながら、多くの人々の個人情報を不特定多数に拡散した可能性のあるハッカーの行為は言語道断であり、決して許されるものではない。だが、ハッカーがこうした攻撃を続ける限り、企業はセキュリティに対する知識をつけ、自ら身を守っていくしかない。
(プレジデント編集部)