「株式会社エディオン」は、2022年4月11日に不正アクセスの被害を受け、顧客の情報漏洩・情報を削除された可能性があることを発表しました。
発表時には確定ではなかったものの、エディオン(EDION)の対応にネット上では様々な声が挙がっていました。
今回不正アクセスされた「エディオン(EDION)」はユーザーに対しての情報漏洩といった直接的な影響だけでなく、今回の件で利用者も減少する可能性があるため企業経営に大きなダメージが見られると思います。
今回は、
- エディオンの今回の事件概要
- エディオンの事件を参考に企業が注意すべき点
- 不正アクセスの対策方法
についてお話していきます。
この「エディオン(EDION)」の事件について、情報漏洩は防ぐことができたのか・企業ができる対策とは何かを解説していきます。
目次
エディオンが不正アクセスにより情報漏洩・削除の被害
株式会社エディオンのグループが運営するサーバーにて不正アクセス被害を受け、個人情報77,656件が流出している可能性があることを、発表しました。
※引用:株式会社エディオン
流出したとされる情報の内訳は以下の通りです。
- エアコン等の配送設置情報(顧客の氏名・住所・電話番号等)
- 顧客の荷物受取サインの画像
- 顧客の荷物受取サインの写真
クレジットカード情報等の決済情報はシステム上保持していないため、漏洩の可能性はないとのことです。
また、同発表で今後の対策について、以下のように公式HP上で発表しています。
※引用:株式会社エディオン
低価格で家電から日用品、食品、雑貨まで幅広く商品を取り扱っている「エディオン」。
発表直後は「漏洩の可能性」としていましたが、ネット上の声やエディオンのユーザーへの対応を見ると情報の流出・削除は確定しているようです。
エディオンの不正アクセス他人事だと思ってたら詫び状届いて該当者だったことを知る…
紙切れのみかぁ
QUOカードぐらい入っててもいいのになぁ…#エディオン#エディオン不正アクセス— しばお (@sense_of_wander) April 19, 2022
エディオンから詫び状が届いたぞ💢初めてエディオンで家電やらを沢山買ってこの始末。
ん〜情報漏洩ってこんな感じの対応なん?#エディオン#EDION#個人情報#漏えい#不正アクセス #詫び状 pic.twitter.com/vl4PUdNaUd— George Masu ♬🌸 (@George_Singer_) April 19, 2022
また、今回のエディオンのように個人情報を漏洩してしまうと、企業側での被害はシステムを破られたこと以外に、利用者の信頼を落としてしまいユーザーが減ってしまうという影響もあります。
今後の売上・新規顧客・リピーターの低下の可能性は高くなるでしょう。
エディオンの個人情報漏洩・情報削除の原因とは?
エディオンが個人情報漏洩・情報削除被害を受けた理由は不正アクセスです。
その不正アクセスは、企業のセキュリティシステムがシステムの脆弱性を突かれた攻撃を受けたことが考えられます。
これは、不正者にサーバーにアクセスされてしまい、不正者の思い通りに企業ページや内部システムを操作されているということです。
不正アクセスによる情報漏洩以外の被害の可能性
不正アクセスをされると情報漏洩や削除以外にも以下のような被害を受ける可能性があります。
- ホームページ・システムを改ざんされる
- 知らぬ間に加害者になる可能性がある
- 個人情報拡散の恐れがある
これらについて以下で説明していきます。
1. ホームページ・システムの改ざんをされてしまう
企業が不正アクセスをされるとサーバー上のデータが書き換えられホームページを改ざんされたり、システムに不正ファイルを置かれたりするケースがあります。
これにより、ユーザーの個人情報やクレジットカード情報が不正者の手に渡り、不正に利用されてしまいます。
2. 知らぬ間に加害者になる可能性がある
ホームページを改ざんされてしまうことによりさらなる被害があります。
それは不正者に改ざんされてしまった後に、ユーザーが不正ファイル等を開いてしまった場合ユーザー側が加害者として利用されてしまうケースもあります。
3. 個人情報拡散の恐れがある
ホームページを改ざん後、知らぬ間に加害者になってしまう次の影響として、個人情報拡散の恐れがあります。
例えば、自社の個人情報を閲覧できるように改ざんされてしまい、ダークウェブと呼ばれる不正が行われるWebサイトにて売買される恐れがあります。
ダークウェブについては以下の記事で解説しています。
エディオンの情報漏洩は未然に防ぐことはできたのか?
エディオンの不正アクセス被害はシステムの脆弱性を突いた攻撃であると考えられるため、以下のような不正アクセス対策で未然に防ぐことができると考えています。
- サーバー・ソフトウェアの定期的な更新
- 定期的なシステムの脆弱性診断の実施
- ファイアウォール・IPS/IDSの導入
これらの対策について説明します。
※「不正アクセス対策について考えているが、何から始めたらいいかわからない…」というお悩みの方はこちらをご覧ください。
- 大人も知らないインターネットセキュリティ
対策①サーバー・ソフトウェアの定期的な更新
企業側はサーバー・ソフトウェアの定期的な更新をしましょう。
また、ユーザーに対して利用しているアプリケーションを常に最新の状態にすることも有効なので、ユーザーにアナウンスすることもおすすめします。
なぜなら、アプリケーションを常に最新の状態にしておくことで不正アクセスを受けにくくすることができるからです。
※運営企業のサポート期間が閉鎖してしまった場合:もしシステムの脆弱性が見つかっても対策されることはありません。
対策②定期的なシステムの脆弱性診断の実施
システム更新時やシステムリリースなどのタイミングで必ずシステムの脆弱性診断を実施するようにしましょう。
もしも、サイバー攻撃の標的にされてしまっても、定期的に更新していれば脆弱性を悪用した被害を未然に防ぐことができます。
システムがウイルスに感染してしまった場合は、自社が他社へウイルス感染させる感染経路の役割になってしまうことも考えられます。
対策③ファイアウォール・IPS/IDSの導入
ファイアウォールとIPS/IDSは両方導入することで不正アクセス対策の効果を発揮します。
またそれぞれする領域が異なっていきます。
そのため、両方導入していただくことを推奨させていただきます。
ファイアウォールとIPS/IDSについて、「よくわからない」「もう少し詳しく知りたい」という方は以下の漫画で解説している記事をご覧ください。
- ファイアウォールについて知ってみる
- IPS/IDSについて知ってみる
まとめ
エディオンは、不正アクセスの被害を受け顧客の情報の流出、削除の被害を受けました。
不正アクセス自体、悪いのは企業ではなく不正者ですが、情報の漏洩責任は企業側にあります。
個人情報漏洩・削除の不正アクセス被害が発生してしまうとユーザーへの直接的な影響はもちろん、時間の経過と共に被害が増大していきます。
また、ユーザーが知らぬ間に加害者になってしまうリスクがある点も分かりました。
ユーザーに直接的な影響があることにより、企業価値は右肩下がりになることが想定されます。
被害が発生し影響が出てから「適切な不正対策をしていれば…」と、後悔しないためのセキュリティ対策を行うことが最善です。
被害を最小限にするため、今後被害に逢わないためにも、本記事にてご紹介した内容を是非ご参考にしてください。
