[インシデントまとめ] サイトM&Aの情報漏えいについてまとめてみた

2017年10月30日、GMOインターネットは同社のサイト売買仲介サービス「サイトM&A」において、登録された会員情報等がインターネット上に流出していたことを発表しました。ここでは関連情報をまとめます。

インシデントタイムライン

日時出来事
2017年5月17日以前今回情報流出した会員情報の対象期間。
2017年8月30日 16時52分掲示板にインターネット上に置かれたZIPファイルのハイパーリンク(公開先A)が投稿される。
〃 17時4分掲示板にZIPファイルがGMOグループ関連の情報ではないかといった内容が投稿される。
2017年9月1日 15時59分掲示板にサイトM&AのWebサイトのデータではないかといった投稿がされる。
あわせて公開されていたデータを別の場所(公開先B)にアップしたと投稿される。
2017年9月14日GMOインターネットへ情報漏えいの疑念があるとの外部からの連絡を受領。調査を開始。
2017年9月15日GMOインターネットが流出の事実を確認。インシデント対応を開始。
2017年9月19日GMOインターネットが警視庁渋谷署に被害相談。
2017年9月27日システム再構築、安全面の確認作業完了。サイトM&Aを再開。
2017年10月26日GMOインターネットが郵送、及びメールで対象者へ報告。
2017年10月30日 10時59分Twitter上でGMOからの謝罪を郵送で受領したと画像付きで投稿される。*1
マスコミ各社がGMOから情報漏えいがあったと報道。
〃 19時14分掲示板に別の場所(公開先C)にアップしたと投稿される。
GMOインターネットがサイトM&Aから情報漏えいがあったことをWebサイトで発表。
2017年11月1日3時22分掲示板に別の場所(公開先D)にアップしたと投稿される。
〃 9時40分掲示板に流出した情報がAmazonのKindle Storeに出版されていると投稿される。
〃 13時頃GMOインターネットがAmazon上での流出情報販売を把握。*2
〃 14時頃Amazonから販売されていた流出情報が削除される。*3
〃 (時間不明)GMOインターネットがサイトM&Aのサイトに情報漏えいがあったことを掲載。(10月30日発表と同じ)
2017年11月2日 2時25分掲示板に別の場所(公開先E)へのアップを示す内容が投稿される。

公式発表

被害の状況

  • サイトM&Aに登録された会員情報 1万4,612件 が外部へ流出。
  • 次の行為をサイトM&A上で行っていた場合に対象となる。
    • 会員登録
    • 売却案件登録
    • 情報開示請求
    • クイック査定
    • 問い合わせ
    • メールマガジン
流出した情報項目
  • ユーザー名
  • 法人名
  • 氏名
  • 住所
  • 生年月日
  • 電話番号
  • メールアドレス
  • 登録案件内容
  • 問い合わせ内容
  • クイック査定内容
流出対象外に係る情報

次に該当する場合は流出の対象に含まれない。

  • 2017年5月18日以降に登録した会員
  • サイトM&Aマーケットに登録した会員
金銭情報や悪用に係る情報
  • サイトM&Aではクレジットカードに関連する情報は保有していない。
  • 漏えいした情報の不正利用等の二次被害は10月30日時点で確認されていない。
  • 継続して不正利用等の監視を実施する。

インシデントの公表が遅れた理由

  • GMOインターネットが個人情報保護員会と相談をしたことによる。
  • 個人情報取り扱い事業者として適切な対応を検討した結果であるとGMOインターネットは説明。
  • インターネット上に公開された流出情報は郵送の時点で公開状態であり、さらなる拡散を防ぐことが目的。
  • その後サイトM&Aの情報漏えいについて多く問い合わせを受けたことから概要のみWebサイト上で掲載することとした。

原因

  • セキュリティ専門機関の調査によればシステムの脆弱性を悪用されたことによる。

GMOインターネットによる事故後の対応

  • 流出の事実確認後に即時Webサイトを停止(2週間後に再稼働)
  • 第三者セキュリティ機関への相談
  • 再発防止のために今回問題となったシステムをすべて新システムへ再構築
  • 再構築後はIPA公開の不正アクセス対策のチェックシートを用いた確認と専門機関による確認を実施
  • 管轄省庁へ事故の報告
  • 警視庁渋谷警察署へ被害相談
  • 公開されたままのデータの削除要請
今後取り組む施策
  • WAFなどのセキュリティ対策製品の導入
  • セキュリティテストの定期的な実施
  • JPCERT/CCからのクリティカルな情報への適切な対応
  • 第三者機関へセキュリティリスクチェックの依頼と実施

更新履歴

  • 2017年11月1日 AM 新規作成
  • 2017年11月2日 AM 流出した情報の悪用(Amazon Kindle Store上での販売)等続報追記
  • 2017年11月2日 PM 誤字修正