記事

人材派遣のアスカが最大3万件の個人情報を流出…1カ月以上も周知せず

1/2

仮登録者の氏名、生年月日、住所、メールアドレスなど

人材派遣会社のアスカが、所有する個人情報、最大約3万件を漏洩したことがわかった。同社によると、5月下旬に外部から受けたサイバー攻撃が流出の原因としており、同社は群馬県警に被害を相談している。また「情報が流失したことについて、今後利用者にお知らせしていく」とし、情報漏洩について近々正式に発表する。

アスカの本社が入るビル(群馬県高崎市)
アスカの本社が入るビル(群馬県高崎市) - 撮影=プレジデント編集部

流出したのは、同社ホームページにおいて派遣の仮登録をしたユーザー情報で、氏名、生年月日、住所、メールアドレス、保育士資格の有無などが記載されていた。同社は「職務経歴や番地登録が必須な本登録をしたユーザーの情報は、流出していない」と説明する。

アスカは、1994年に設立。保育士や介護分野への人材派遣に特化し、グループ会社とあわせて、北海道から沖縄まで16の本社や支店を展開している。2019年2月の上毛新聞の報道によれば、保育関連では同社に約6万人が登録している。

ホームページも不正に書き換えられていた

サイバー攻撃は5月下旬に行われ、これによって流出した個人情報リストがインターネット上の掲示板にアップロード・転載された疑いがある。また、同社HPの「お知らせ」や「お仕事募集」のページも不正に書き換えられ、「要人殺害募集:時給150000~300000円」などの内容が記載されていたことがわかっている。アスカは5月25日に群馬県警に相談しており、「現在はシステムを更新済みであり、これ以上の情報漏洩はない」と説明する。

だが、情報漏洩よりすでに1カ月以上が経過しており、アスカは取材が行われた7月上旬でも、漏洩した疑いのあるユーザーに対しての連絡や、掲示板への削除要請などはしていなかった。個人情報が流出したとみられる一部ユーザーはプレジデント編集部の取材に応じ、漏洩との因果関係は明らかではないが「知らない番号から電話が来るようになった」と話している。

個人情報保護法の観点からアスカに問題がある

これに対し、城南中央法律事務所の野澤隆弁護士は以下のように指摘する。

「漏洩認識後速やかに、被害者本人に連絡し、被害規模に応じた再発防止策の公表、個人情報保護委員会への報告等をすべきであった。個人情報保護法といった一般法では原則努力義務だが、漏洩から一カ月以上もアスカ側から公表等がなかった以上、人材派遣業関連の法令等により行政上の指導ないし処分が行われる可能性がある」

アスカは、1カ月以上も情報流出について周知しなかったことについて、「われわれが大騒ぎをすると、サイバー攻撃をした人たちをかえって喜ばせて、さらに被害が広がってしまう」可能性を考慮したという。しかし、プレス発表などではなくユーザー一人ひとりに連絡することはできたのではないかと問うと、「ある程度こちらの調査が終わった時点で連絡をすることを考えていた」と回答した。

アスカはどのように情報流出したのか

アスカによると、同社が受けたのは「SQLインジェクション」と呼ばれるサイバー攻撃の可能性が高い。

「SQLインジェクション」の「SQL」とは、データベースを操作するためのコンピューター言語のことで、「インジェクション」は「注入」を指す。不正な指令や操作をデータベースに注入し、データベースの情報を盗み出したり、利用者の端末にウイルスを感染させたりすることを目的とする。

SQLインジェクションによる個人情報流出は過去にも発生しており、2011年にはソニーの運営するゲーム用サービス「PlayStation Network」において、外部からの攻撃により7700万件以上の個人情報が流出。過去最大級の情報流出事件とされた。この事件で流出した個人情報もメールアドレス、住所、氏名、パスワードなどだった。

2015年には菓子メーカーのシャトレーゼもSQLインジェクションを受け、約21万人のユーザーIDやパスワード、電話番号などの個人情報が流出した。

SQLインジェクションは古典的な攻撃方法

インターネットセキュリティに詳しいITジャーナリストの三上洋氏はSQLインジェクションについて「攻撃がSQLインジェクションによるものであれば、データベースの設計に甘さがあった可能性は否定できない」と説明する。

アスカのシステム担当者によれば、SQLインジェクションは「かなり古風な手法」。「HPのセキュリティ面は外注のサービスに一任しており、SQLインジェクションによる攻撃は当然対策されているものだという思い込みがあったため、SQLインジェクションに対する対策の有無は確認したことがなかった」という。

また、アスカへのサイバー攻撃の直後、インターネット上の掲示板には犯行声明とみられる投稿があった。「SQL、3万件以上ありました」という文言とともに、個人情報が記載されたファイルがアップロードされた。

1人あたり数万円以上の賠償額になる可能性

前述のソニーや2014年のベネッセ個人情報流出事件など、企業側の個人情報が流出する事件は起こっているが、多くは何らかの形で盗み出した個人情報を換金することが目的とされている。

だが、今回のアスカの流出に関しては、インターネット上に盗み出した個人情報がアップロードされ、それにより情報の希少性を損なっていることから、金銭を目的とした犯行ではなく愉快犯の疑いもある。三上氏はサイバー攻撃者について「以前から活動する国内グループの犯行の可能性がある」と分析する。現時点で登録ユーザーにどのような不利益があったのかは不明だが、金銭を目的としない分、対応に苦慮する展開も予測される。

あわせて読みたい

「情報流出」の記事一覧へ

トピックス

ランキング

  1. 1

    韓国の国際法無視 強行なら好機

    木走正水(きばしりまさみず)

  2. 2

    河野大臣が表情変えた記者の質問

    BLOGOS しらべる部

  3. 3

    レバノン爆発 ゴーン氏の家破壊

    ABEMA TIMES

  4. 4

    吉村府知事の提案は試す価値アリ

    青山まさゆき

  5. 5

    春馬さん「結局カネ」家族に悩み

    文春オンライン

  6. 6

    大阪うがい薬推奨に医師らは呆れ

    中村ゆきつぐ

  7. 7

    バナナ食べる少女の広告Audi謝罪

    BBCニュース

  8. 8

    玉木氏に横柄? 枝野代表の狭量さ

    早川忠孝

  9. 9

    スタバと違い常連扱いないセブン

    内藤忍

  10. 10

    香港民主派の周庭氏に有罪判決

    ABEMA TIMES

ランキング一覧

ログイン

ログインするアカウントをお選びください。
以下のいずれかのアカウントでBLOGOSにログインすることができます。

コメントを書き込むには FacebookID、TwitterID のいずれかで認証を行う必要があります。

※livedoorIDでログインした場合、ご利用できるのはフォロー機能、マイページ機能、支持するボタンのみとなります。