事案の発生
■被害企業
サーバー設置先: Akamai Technologies (EU) 、サーバー証明書: DigiCert TLS RSA SHA256 2020 CA1 (US) OV証明書
■被害サイト(実際にはこの開発環境)
サーバー設置先: Amazon (US) 、サーバー証明書: Cybertrust Japan SureServer EV CA G3
(JP) EV証明書
事案の概要
「ClassPad.net」の所管部門で、システムの誤操作により開発環境のネットワークセキュリティ設定の一部が解除状態となり、開発環境のデータベースに不正アクセスされ情報漏えいした事案です。
影響範囲
開発環境のデータベースに保存されていた、国内の個人と1,108の教育機関の計91,921件、海外の148の国と地域で計35,049件、合計で126,970件の個人情報が漏えいしました。
リリースにも書かれていますが、担当者の誤操作による設定不備を見逃した不十分な運用管理が原因です。ネットワークの運用状況を監視してアラートを発する仕組みが備わっていれば、防げた問題です。
本番環境は厳重に運用管理されていると考えられますが、開発環境に実データーの個人情報が保存されているのであれば、同じように厳重に管理・監視すべきでした。
本事案についての詳細は、カシオ計算機が発行した次のリリースに掲載されています。
※これまで月別に掲載していた過去のセキュリティ事案の一覧は下記に移設し、随時更新することにしました。