現在地 HOME > 掲示板 > IT6 > 923.html ★阿修羅♪ |
|
Tweet |
ソフトバンクBB、新たな900件のYahoo! BB会員データ流出問題でコメント
http://japan.cnet.com/news/sec/story/0,2000050480,20077344,00.htm?ref=rss
ニューズフロント
2004/12/01 15:15 Trackback (1)
ソフトバンクBBは11月30日、インターネット接続サービスYahoo! BBの会員データ900件が新たに流出したとされる問題についてコメントを発表した。それによると、該当データには氏名、住所、電話番号、携帯電話番号が記載されており、同社の会員情報と合致したという。前回の流出時の情報とはデータの特徴が一致しないことから、同社は恐喝未遂事件とは異なるデータとみている。
同データは、2004年11月24日の夜に日経BPがソフトバンクBBに持ち込んだもの。照合した結果、2003年3月11日〜22日時点の会員情報の一部と合致した。クレジットカード番号やパスワード、利用履歴などの信用情報は含まれていない。また、Yahoo! JAPAN IDなど同社固有のデータが記載されていないため、同社のデータベースのデータが複写されたものかどうかは不明。
そのほかの同社のコメントは以下の通り。
データの特徴から、営業用の申し込みデータが元データで、部門サーバに一時的に格納されていたものとみられる。データ件数は最大で約8万6000件
2003年3月11日〜22日のデータであり、恐喝未遂事件の犯人がデータを引き出したとされる2003年6月および2004年1月とは時期が違う。さらに、同事件の際に持ち込まれた情報とデータの特徴が一致しないことから、両者は異なるデータと考えられる。ただし、不正アクセスした犯人や協力者が、事前に当時と同じ手口で部門サーバにアクセスし、予備テスト的に情報を抽出した可能性はある
恐喝未遂事件の際の会員情報データは警察によって押収済みで、犯人も破棄している。架空請求などの報告も入っていないことから、顧客の個人情報が二次流出している兆候はみられない
先に明らかになった2件の顧客データの大量流出時のデータと今回持ち込まれたものは形式等が異なることから、ある時期まではYahoo! BB顧客データの取得が容易であったことが見てとれる。
ソフトバンクBBのプレスリリース
http://www.softbankbb.co.jp/press/2004/p1130.html
Yahoo! BBの顧客情報に関するお知らせ
本年11月24日夜に、日経BP社より(1)氏名、(2)住所、(3)電話番号、(4)携帯電話番号が記載されたYahoo! BBの会員情報と称するデータ900件が持ち込まれました。持ち込まれたデータを照合した結果、2003年3月11日から2003年3月22日時点の当社会員情報の一部と合致することが判明いたしました。しかしながら、当該データにはYahoo! JAPAN IDなどの当社固有のデータが記載されておらず、現時点では当社のデータベースのデータかどうかは不明であります。以下に現時点での調査結果をお知らせ申し上げます。
このたびは、お客様を始め関係者の皆様に多大なご迷惑、ご心配をおかけしましたことを深くお詫び申し上げます。
記
1.情報の内容
(1)氏名、(2)住所、(3)電話番号、(4)携帯電話番号
※クレジットカード番号やパスワード、利用歴等の信用情報は含まれておりません。
2.データ数
900件
3.照合結果と当社見解
(1) 900件は当社の会員情報の一部と合致することが判明しております。
(2) 2003年3月11日から2003年3月22日時点のデータの一部と符合することが判明しております。仮に当該データが当社のデータとした仮定した場合、当該時期にデータを引き出された可能性が高いと判断しております。
(3) 今回持ち込まれたデータの特徴から、母数となっている数字は、多くとも約86000件の営業の申し込みデータ(氏名、住所、電話番号、携帯電話番号)であり、部門サーバに一時的に格納されていたのではないかと考えられます。なお、クレジットカード番号やパスワードなどの信用情報は、元来、当社内には存在しておらず、当該サーバに入っていることはありえません。
4.Yahoo! BB恐喝未遂事件との関連性と当社見解
(1) 当該データは2003年3月11日から2003年3月22日時点のデータであり、恐喝未遂事件の犯人がデータを引き出したとされる2003年6月と2004 年1月とは時期が違っていること、また、前回持ち込まれた情報とはデータの特徴が一致しないことから、恐喝未遂と同じデータとは考えられません。しかし、 2003年6月と2004年1月に当社のデータベースに不正アクセスした犯人及び協力者が、事前に当時と同じ手口(他人のアカウントとパスワード使用)で部門サーバにアクセスし、予備テスト的に情報を引き出した可能性があると考えております。
(2) 恐喝未遂事件の際の会員情報データは警察が押収済み、かつ、犯人により破棄されております。また、架空請求などの報告も入っていないことから、2次流出している兆候は見られません。
5.これまでの顧客情報管理の強化策について
当社は、本年3月をもちまして、顧客データベース開発業務のネットワークからの遮断、アクセス権限保持者の大幅削減(現在3名)、高セキュリティエリアの設置、バイオ認証システムの導入、従業員教育の強化等、649項目にわたる対策を実施し、顧客情報管理体制を大幅に強化しました。また、個人情報管理諮問委員会を設置し外部の有識者からの提言を受けるなど、顧客情報管理を徹底しております。本件はこのような対策が実施される以前のことですが、当社としては引き続き、全社を挙げて顧客情報管理の徹底を図って参る所存です。