概要
エイベックス・グループ・ホールディングスは、ウェブサイトが不正アクセスを受け、キャンペーン応募者の個人情報が流出した恐れがあると発表しました。不正アクセスは同社のアーティスト公式サイトに用いているソフトウェアの脆弱性を突いたものだったそうです。(コマンドインジェクション攻撃)
原因
弊社の見解
システム管理体制として、使用しているソフトウェアのアップデートなどの脆弱性対策を十分に組み込んでいなかったと考えられます。または、利用ソフトウェア選定時に「脆弱性発見後に、どのぐらいのスピード感で更新アップデート対応をしているか」といった提供元のセキュリティホール対応体制を判断軸として考慮していなかったのではないかと思われます。
被害
同社のキャンペーンに応募したリスナーの名前、住所、メールアドレス、電話番号などを含む個人情報約35万件が流出の恐れ。
対応
本件に関して、エイベックスはウェブ上でお知らせとお詫び文を掲載。リスナーに対しては、同社や同社所属のアーティストを名乗る不審なメール・メッセージへの応対や開封を控えるよう注意喚起をしています。本件公表12日後、外部専門家(弁護士、情報セキュリティ調査専門会社)を主要構成員とした調査委員会を設置し、さらなる原因究明と再発防止策の検討を図るそうです。
関連情報
エイベックス・グループ・ホールディングス株式会社
「弊社アーティストオフィシャルサイトへの不正アクセスによる個人情報流出の可能性のお詫びとお知らせ」(2016/04/28)(魚拓)
「弊社WEB サイトへの不正アクセスによる個人情報流出の可能性に関する調査委員会の設置について」(2016/05/10)(魚拓)
産経ニュース「エイベックスで個人情報35万件流出か 公式サイトに不正アクセス」(2016/04/30)
Security NEXT「エイベックス関連サイトに不正アクセス – 個人情報最大35万件が流出か」(2016/05/02)(魚拓)
