M2Jで個人情報が漏れた話
M2J(マネースクウェア・ジャパン)というFX等の各種投資商品を取り扱う会社でサイバー攻撃があり、個人情報が漏れました。
自分も口座を持っていて、見事に個人情報が漏れました。
一応、情報処理安全確保支援士ですので、落ち着いて今後の対策についてまとめてみたいと思います。
大きく、漏えいの流れの概要、今後の対策と注意点、不平不満の3点です。
1 個人情報漏えいの流れ
上記サイトに記載もありますので、簡単に言えば、
サイバー攻撃を受けてセミナー申込者情報が流出したので、第三者機関に調査依頼をしたら、去年の7~11月にもサイバー攻撃を受けていて個人情報が漏れてました てへぺろ☆(・ω<)
ということのようです。
私の個人情報については、去年の7~11月分に漏えいしたもので、
・個人情報が漏えいした人:およそ11万人
・漏えいした情報:生年月日、メールアドレス、電話番号、初回パスワードなど
とのことで、私については住所、氏名、口座情報、残高等の情報は漏えいしていないようです。
また、個人情報の漏えい以外の被害については今の時点で確認できていないようです。
2 個人情報が漏れたことに対する対策と注意点
これはQ&Aにも書かれていることですが、
・不審なメール、電話がある可能性があるので、間違って開いてウイルス感染しないように気をつけるとか、振込詐欺なんかに合わないように気をつける
というのが第一でしょうね。
特にウイルスはランサムウェアや不正送金ウイルスなどによる被害も最近は多いようですし、ウイルス対策ソフトによっては検出しないようなので、そもそも触らないのが正しい対応だと思います。
あとは、他のサイトでも、
・生年月日を組み合わせた安易なパスワード
なんかも気をつけたほうがよいでしょう。
また、初回パスワードはM2Jが指定したパスワードですのでそのまま他で使用していることは少ないとは思いますが、M2Jのログ精査では不正利用が認められない以上、他サイトへのパスワードリスト攻撃等に悪用される危険性は認識すべきでしょう。
個人的には、最近M2Jでの取引を行っていなかったのでとりあえず全額出金して様子を見たいと思います。出金して残額がない以上、金銭的被害は回避できると考えています。
3 不平不満
一番の問題点だと思うのは、「サイバー攻撃」という安易な用語を使用して、それ以上の根本的原因について言及がないことでしょうか。
サイバー攻撃を受けたので対策しました。安全です。以後気をつけます。
と言われて、信用できますか?
せめて、
・第三者機関とはあるがどこなのか、どの程度の技術力なのか(これがわからないと、本当に依頼したのかと疑念を抱かざるをえない)
・個人情報の漏えいについてなぜ一部だけなのか、漏えいしなかった情報はなぜ漏えいしなかったのか
・サイバー攻撃とはいうものの、機器設定のミスによるものか、サイト作成上のミスなのか、標的型メールや水飲み場攻撃等によるウイルス感染によるものなのか、内部犯行的なものなのか
・昨年の被害に気づかなかった理由(管理体制なのか、怠慢なのか、とか)と今後の具体的対策の内容
くらいは開示してほしかったですね。
あと、ログイン履歴にIPアドレスとかプロバイダとかが表示されないので、不正利用されても利用者本人が調べようがないというのも問題でしょうね。