ホテルサンルート台北へ不正アクセス、宿泊客へのATM操作を促す不審電話で発覚

こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月16日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説「ホテルサンルート台北へ不正アクセス、宿泊客へのATM操作を促す不審電話で発覚 」
・委託先管理を適切におこなうニュース解説

ホテルサンルート台北へ不正アクセス、宿泊客へのATM操作を促す不審電話で発覚 | ScanNetSecurity

自社ではなく、委託先のサーバに不正アクセスがあったことが原因で、顧客情報が漏洩してしまったということです。自社の情報資産を外部へ委託する場合に気を付けるべきポイントについて説明します。

今回のインシデントは、顧客からカード情報を聞き出す内容の電話があった旨の連絡を受け、調査が開始されたということです。結論として、自社のシステムには問題はなく、委託先のシステムベンダーが不正アクセスを受けており、顧客情報が漏洩してしまったということです。具体的な原因として、システムベンダーが管理している情報を中継するサーバに不正アクセスがあり、顧客情報が第三者に抜き取られてしまったということです。
今後の対策としては、システムベンダーに対して第三者によるセキュリティチェックを徹底させるとともに、脆弱性が見つかった場合はその対策を実施するよう指示したということです。また、自社としてもシステムの安全性を高めるために、定期的に安全性の検証を行っていくということです。

委託先管理を適切におこなう

ホテル側でできるセキュリティ対策は、自社の情報資産を委託する組織の管理を適切に行うことです。「委託先管理」の具体的な方法について説明します。委託先管理とは、自社の情報資産にアクセスできる組織のセキュリティリスクを管理することです。情報資産とは、今回のインシデントで漏洩してしまった顧客情報だけでなく、パソコンなどのハードウェアやインストールされたソフトウェアなどの情報資産も含みます。

委託先管理の流れとしては、まず委託先の一覧を作成し、それぞれの委託先に対して評価を行います。委託先がアクセスできる情報資産の種類や、委託する業務内容を踏まえたうえで、セキュリティ対策が十分であるか評価します。例えば今回のインシデントでは、システムベンダーがアクセスできる情報資産は「顧客情報」や「中継サーバ」などがあげられます。委託する業務内容は「顧客情報の中継伝達」なので、中継サーバのセキュリティ対策は評価が必要です。システムベンダーへ過去に脆弱性診断を行っているか、指摘事項があった場合は修正を行っているかについて確認を行います。

ちなみに、ISMSやPマークいずれの場合でも委託先管理は必要とされており、セキュリティ対策においてもはや必須事項となっています。

放送を聴かれる方はこちら

記　にしもと