ベネッセホールディングス（ＨＤ）は９日、760万件の顧客情報が漏洩したと発表した。最大で2070万件に達する可能性がある。通信教育「進研ゼミ」を含むサービスが対象。漏れたのは子供や保護者の住所や氏名、電話番号、子供の性別や生年月日など。

　社内調査を進めるなかで、特定のデータベースから顧客情報が何らかの形で外部に持ち出されていたことが分かった。原田泳幸会長兼社長は情報漏洩を謝罪したうえで「当社のブランドイメージへの影響は計り知れない。企業としての信頼向上に力を入れようと社内で話したばかりだった」と述べた。

　６月下旬から通信教育事業を手掛けるＩＴ事業者からのダイレクトメールが顧客に届き始め、顧客から問い合わせが急増していた。

　ベネッセの顧客リストに基づく営業がされている可能性があり、調査を実施。760万件の漏洩を確認した。データベースに保管されている件数から推定し、最大2070万件が外部に漏れている可能性があるという。

　進研ゼミはベネッセの国内教育事業の柱で、４月時点で365万人の会員がいる。

http://www.nikkei.com/article/DGXNASDZ0909K_Z00C14A7000000/

　ベネッセホールディングス（ＨＤ）が９日、最大で約2070万件にのぼる顧客情報が漏洩した可能性があると発表した。同日の記者会見で原田泳幸会長兼社長は「ブランドイメージへの影響は計り知れない」と語った。日本マクドナルドＨＤなどの社長を務めた経営手腕を買われ、６月にベネッセＨＤのトップに就いた原田氏は就任早々、大きな壁にぶつかった。

　ベネッセは各地の商業施設などでワークショップを頻繁に開いている。そこで入手した個人情報をもとに各家庭にダイレクトメールを発送し、興味を抱いた家庭を会員にしていくというビジネスモデルを構築してきた。

　顧客情報の流出では2013年、ヤフーが最大2200万件のユーザーＩＤが流出した可能性があると発表している。今回の情報漏洩はそれに次ぐ規模。「まるで宝の山」と同業他社がうらやむ顧客情報が漏れた。

　ベネッセは当面、社内で管理するデータベースの稼働を凍結、新規会員獲得のためのコマーシャルも自粛する。

　同日の記者会見で原田社長は「肝心な情報は漏洩していないため金銭的な補償は考えていない」とした。しかし04年、ソフトバンクグループで情報漏洩が起きた際、同社は１人当たり500円を補償している。ベネッセの14年３月期の営業利益は350億円。2070万件の個人情報の漏洩に対して補償するとなれば業績への影響は大きい。

　２年連続で会員数が減少している主力の「進研ゼミ」立て直しに向け、「プロ経営者」としてベネッセに招かれた原田氏。情報漏洩問題の解決が最初の大仕事となった。

http://www.nikkei.com/article/DGXNASDZ09H7Z_Z00C14A7EA1000/?n_cid=TPRN0004

誰もが知る大企業の法人向けクラウドサービスのセキュリティがゆるゆるな件

あえて名前は出さないのだが、今まで誰も気づかなかったのだろうかと、唖然としたセキュリティレベルの企業向けクラウドサービスのお話。

誰もが名前を知っている日本国内の某大企業が提供している、法人向けのクラウドサービスなのだが、仮想サーバーをOSレベルから自由に構築でき、社内ネットワークとVPNで接続したり、公衆のインターネットに対する仮想ファイアウォールを構築することもできる。

そして顧客企業のIT担当者が、同クラウドサービスの管理画面からログインして、仮想サーバーや仮想ファイアウォールの構築・変更・削除、また、仮想サーバーのコンソールを遠隔で直接操作することもできる。非常に利便性の高い法人向けクラウドサービスである。

ここまでは、法人向けクラウドサービスとしておかしな点は何もない。

ところが、である。顧客企業のIT担当者が使用する管理画面が、驚くべきことに公衆のインターネットにウェブで公開されており、認証がユーザ名とパスワードしかないのだ。もちろんSSLで暗号化されているが、ポート番号は443のウェルノウンポート。

グーグルやDropboxなど、個人向けクラウドサービスでさえ、ユーザ名・パスワードによる認証だけでなく、手持ちのスマートフォンをトークン代わりにした2要素認証になっている。そして最近では、セキュリティ対策が遅れに遅れていたアップルのApple IDとiCloudでさえ、有名人のプライベート写真の流出騒動をきっかけに2要素認証に対応した。

にもかかわらず、上述の日本の大企業が提供している法人向けクラウドサービスの管理画面、つまり、クラウド上の仮想サーバーや仮想ファイアウォールの設定をどうにでも変更できる画面が、グーグルやDropboxのような個人向けサービスと同じように公衆のインターネットに公開されており、しかもユーザ名・パスワードの認証しかないのである。

さらに驚くべきことに、今まで同サービスを導入してきた顧客企業から、管理画面が2要素認証になっていない点に対する指摘がなかったらしいのだ。

いや、正確に言うと指摘があったかなかったかは分からないのだが、当然、誰もが名前を知っている大企業なので、顧客企業から強い指摘があればすでに2要素認証になっていたはずだろう。

しかもこの大企業の同サービスと競合する、米国の法人向けクラウドサービスの管理画面は、以前からすでにユーザ名・パスワードによる認証に加えて、スマートフォンをトークンとする使い捨てパスワードによる2要素認証になっていたり、管理画面にログインできるグローバルIPアドレスの制限を自分で設定できたりする。

2要素認証がなければ、管理画面のユーザ名とパスワードが知らない間に漏えいした場合、不正アクセスを未然に防ぐことができない。

たとえば某通信教育大手の個人情報漏えい事件を思い出してみよう。

あのケースのように、上述の大企業の法人向けクラウドサービスを導入した顧客企業が、管理画面を使った管理作業を常駐の業務委託先社員や派遣社員にさせていたとしよう。

すると、業務委託先社員や派遣社員は、自宅の私物パソコンからでも管理画面にログインして、仮想サーバーなどの設定をいつでも変更できることになる。クラウド上のサーバーに個人情報や機密情報があれば、たとえば第三者と共謀するなどして、抜き放題になる。

もしも2要素認証になっていれば、例えばトークン代わりになっているスマートフォンを、退社時に持ち帰ることを禁止する、あるいは、管理画面にログインできるグローバルIPアドレスを制限するなどして、社外からのログインを防止できる。

上述の大企業の法人向けクラウドサービスは、いわば、裏口にゆるい鍵が一つしかついていない家のようなものだ。

僕が個人的にいちばん驚きだったのは、そのことを同社の既存の顧客が指摘しなかったこと、つまりどの顧客企業も「2要素認証にしてくれ！」と要望しなかった点だ。

同サービスの顧客企業には、サービスを提供しているその会社と同じく、日本人なら誰もが名前を知っている会社が名前を連ねている。

いかに日本の大企業が公衆のインターネットのセキュリティ・リスクについて認識が甘いかが分かる。日本のインターネットが海外とつながっていないとでも思っているのだろうか。

そういう企業がもし、社員が会社のPCを私用で使わないように、ウェブフィルタリングのシステムに投資していたとしたら笑いものだ。いちばん大事な扉を二重鍵にせず、どうでもいい換気窓に鉄格子をつけているようなものだからだ。

まあ、日本のIT業界のガラパゴスっぷりには驚かされることが多々ある。上述の大企業が提供している法人向けクラウドサービスの裏口のゆるさと、その顧客企業の呑気さもその一つだ。