記事

人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず

1/2

仮登録者の氏名、生年月日、住所、メールアドレスなど

人材派遣会社のアスカが、所有する個人情報、最大約3万件を漏洩したことがわかった。同社によると、5月下旬に外部から受けたサイバー攻撃が流出の原因としており、同社は群馬県警に被害を相談している。また「情報が流失したことについて、今後利用者にお知らせしていく」とし、情報漏洩について近々正式に発表する。

アスカの本社が入るビル(群馬県高崎市)
アスカの本社が入るビル(群馬県高崎市) - 撮影=プレジデント編集部

流出したのは、同社ホームページにおいて派遣の仮登録をしたユーザー情報で、氏名、生年月日、住所、メールアドレス、保育士資格の有無などが記載されていた。同社は「職務経歴や番地登録が必須な本登録をしたユーザーの情報は、流出していない」と説明する。

アスカは、1994年に設立。保育士や介護分野への人材派遣に特化し、グループ会社とあわせて、北海道から沖縄まで16の本社や支店を展開している。2019年2月の上毛新聞の報道によれば、保育関連では同社に約6万人が登録している。

ホームページも不正に書き換えられていた

サイバー攻撃は5月下旬に行われ、これによって流出した個人情報リストがインターネット上の掲示板にアップロード・転載された疑いがある。また、同社HPの「お知らせ」や「お仕事募集」のページも不正に書き換えられ、「要人殺害募集:時給150000~300000円」などの内容が記載されていたことがわかっている。アスカは5月25日に群馬県警に相談しており、「現在はシステムを更新済みであり、これ以上の情報漏洩はない」と説明する。

だが、情報漏洩よりすでに1カ月以上が経過しており、アスカは取材が行われた7月上旬でも、漏洩した疑いのあるユーザーに対しての連絡や、掲示板への削除要請などはしていなかった。個人情報が流出したとみられる一部ユーザーはプレジデント編集部の取材に応じ、漏洩との因果関係は明らかではないが「知らない番号から電話が来るようになった」と話している。

個人情報保護法の観点からアスカに問題がある

これに対し、城南中央法律事務所の野澤隆弁護士は以下のように指摘する。

「漏洩認識後速やかに、被害者本人に連絡し、被害規模に応じた再発防止策の公表、個人情報保護委員会への報告等をすべきであった。個人情報保護法といった一般法では原則努力義務だが、漏洩から一カ月以上もアスカ側から公表等がなかった以上、人材派遣業関連の法令等により行政上の指導ないし処分が行われる可能性がある」

アスカは、1カ月以上も情報流出について周知しなかったことについて、「われわれが大騒ぎをすると、サイバー攻撃をした人たちをかえって喜ばせて、さらに被害が広がってしまう」可能性を考慮したという。しかし、プレス発表などではなくユーザー一人ひとりに連絡することはできたのではないかと問うと、「ある程度こちらの調査が終わった時点で連絡をすることを考えていた」と回答した。

アスカはどのように情報流出したのか

アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。

「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。

SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。

2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。

SQLインジェクションは古典的な攻撃方法

インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。

アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。

また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。

1人あたり数万円以上の賠償額になる可能性

前述のソニーや2014年のベネッセ個人情報流出事件など、企業側の個人情報が流出する事件は起こっているが、多くは何らかの形で盗み出した個人情報を換金することが目的とされている。

だが、今回のアスカの流出に関しては、インターネット上に盗み出した個人情報がアップロードされ、それにより情報の希少性を損なっていることから、金銭を目的とした犯行ではなく愉快犯の疑いもある。三上氏はサイバー攻撃者について「以前から活動する国内グループの犯行の可能性がある」と分析する。現時点で登録ユーザーにどのような不利益があったのかは不明だが、金銭を目的としない分、対応に苦慮する展開も予測される。

あわせて読みたい

「情報流出」の記事一覧へ

トピックス

  1. 一覧を見る

ランキング

  1. 1

    格安スマホ業界にまで波及した価格破壊

    自由人

    06月19日 08:14

  2. 2

    「米国は病気」と罵りつつ、周庭さんは釈放…G7を敵に回した習近平政権の行き詰まり

    PRESIDENT Online

    06月19日 18:11

  3. 3

    菅原一秀氏から違法行為を強要されていた元秘書が「説明責任果たせ」と顔出し訴え

    田中龍作

    06月19日 22:04

  4. 4

    都民ファーストの不振ぶりが目立つ都議選 小池旋風が影を潜めた影響か

    早川忠孝

    06月19日 16:34

  5. 5

    世帯年収400~600万円のリアル「残業ありきの給料で毎日クタクタ」

    キャリコネニュース

    06月19日 18:44

  6. 6

    さらに活用が進む、つみたてNISA~2021年は買付金額が1兆円超えか~ - 前山 裕亮

    ニッセイ基礎研究所

    06月19日 08:55

  7. 7

    河井克行氏に「実刑判決(懲役3年)」の衝撃。もらう側の罪は?そして自民党の責任は

    音喜多 駿(参議院議員 / 東京都選挙区)

    06月19日 08:26

  8. 8

    少子化高齢化問題に悩む中国 「日本の経験を中国に伝えるのは意義がある」舛添要一氏

    舛添要一

    06月19日 10:36

  9. 9

    「正社員で20代を浪費したくない!」フリーター女性の叫びと、垣間見える不安

    キャリコネニュース

    06月19日 13:17

  10. 10

    東京の飲食店は来週月曜日からどう変わる?

    内藤忍

    06月19日 16:21

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。