300 - [´・ω・`] torix.dizum.com 2023/12/27(水) 19:52:47.11 ID:vjlLeABB0
取り繕ってるけどnoindexの設定怠ってただけじゃねぇの
2023-12-19
朝日新聞社から
個人情報流出(本年9月6日判明)に関する調査結果のお知らせ
2023年9月6日に判明し、同日お知らせした朝日新聞デジタル及び紙面ビューアーの一部会員様の個人情報が外部に流出した事案につきましては、会員様をはじめとした関係者の皆様に多大なるご心配とご迷惑をおかけしておりますことを深くお詫び申し上げます。
当社は、本件について個人情報保護委員会に報告・相談するとともに調査を進めてまいりました。調査に際しましては関係者へのヒアリングのほか、サイバーセキュリティーを専門とする法律事務所の助言を得て、外部の専門機関にフォレンジック調査を依頼し実施してまいりました。この度、被害範囲や原因に関する調査結果がまとまり、本日、個人情報保護委員会に報告しました。
これらの調査で判明した事実を以下の通りお知らせいたします。
1. 個人情報の流出の経緯
2023年9月6日(水)未明、社外の方から「朝日新聞の顧客の情報がインターネット上に流出している」とのご連絡をいただき確認したところ、朝日新聞デジタル及び紙面ビューアーの会員情報を管理しているシステムに外部からアクセスすることができ、一部の会員様の個人情報が閲覧できる状態になっていることが判明しました。
これを受け、当社は、直ちにシステムを停止し、新たな流出が起きないように対応しました。
2. 流出した個人情報の範囲
流出が確認された個人情報は、三重県の四日市市、鈴鹿市、亀山市及び川越町のそれぞれ一部地域の、朝日新聞デジタル及び紙面ビューアーの会員様884名の「氏名・住所・電話番号・ご契約いただいたコースの種類」でした(※メールアドレス及びクレジットカード情報は含まれておりません)。
そのほかの個人情報が流出していないか外部の専門機関が調査した結果、上記884件以外の情報について、外部からのアクセスや流出の発見には至らなかったとの結論を得ました。
3. 個人情報の流出に至った原因
朝日新聞デジタルと朝日新聞紙面ビューアーの会員情報を管理しているシステムを2017年に更新した際、外部からのアクセスを拒否するための仕組みが、設計通りに実装されていませんでした。社内のセキュリティー監査でも、この脆弱性を見つけることができませんでした。
その結果、顧客情報にアクセスできるURLを外部の人間が入手した場合、顧客情報が閲覧可能な状態になっていました。通常、このURLを外部者が入手することはできませんが、今回、特定地域の顧客情報にアクセスできるURLが一部の検索エンジンの検索結果に登録されていました。
専門機関からは、システムを操作する一部端末に入っていた閲覧ソフトの機能の一時的な不具合により、検索エンジンにURLの情報が送られた可能性が高い、との見解をいただきました。また、流出が確認された当該URL1件以外に、検索エンジンに登録されたURLは確認されませんでした。
4. 情報の流出による二次被害
これまでの調査では9月6日のお知らせを上回る被害は確認されておりません。また、これまでのところ、お客様の個人情報が悪用されるなどの二次被害も確認されておりません。
5. 再発防止策
現在、個人情報の流出が生じたシステムの利用は停止しております。システムの稼働を再開する前にシステムを当初の設計通りに改修するとともに、外部の専門機関の助言を踏まえて、追加のセキュリティー対策を講じます。
今後、システムの脆弱性が見過ごされることがないよう、システム開発プロセス及びセキュリティー監査のフローを全面的に見直し、再発防止に努めて参ります。
6. 本件についてのお問い合わせ先
朝日新聞お客様窓口
(メールアドレス) [email protected]
(電話番号) 0120-383-636 平日9時-18時 土9時-17時
なお年末年始(2023年12月29日〜2024年1月3日)はお休みをいただきます。
ご迷惑をおかけしたお客様に改めまして深くお詫び申し上げます。