旅モバ

旅、モバイル、サーバ関連(Linux,FreeBSD)、クラウド・Webサービス、その他PCの話題など。

ベクター(Vector)の個人情報流出問題

2012年3月22日に発表された内容ですが、オンラインソフトのライブラリ公開や「シェアレジ」「プロレジ」というサービスでオンラインソフトの販売を行うベクターのサイトに不正アクセスが発生し、約26万件のクレジットカード情報を含む個人情報が流出する事件が発生しました。

 株式会社ベクターは22日、同社のサーバーに不正アクセスの痕跡があり、最大で26万1161件の個人情報が流出した可能性があると発表した。一部にはクレジットカードの情報が含まれており、ベクターでは調査結果やユーザーへの補償方針について都度報告するとしている。

 ベクターによると、3月21日午前2時30分ごろに同社の一部サーバーに異常が発生し、システム担当者が対応したところ、3月19日午後8時55分ごろから3月21日午前0時1分ごろにかけて、4回の不正アクセスと思われる痕跡があることを発見し、調査を開始。その結果、顧客情報を保持するサーバーに対しても不正アクセスしたと思われる痕跡があり、個人情報が外部に流出した可能性があることが判明したという。

 不正アクセスされた個人情報を保持するサーバーには、最大で26万1161件の個人情報が蓄積されており、一部にはクレジットカードの情報も含まれていた。最悪の場合、この全情報が流出した可能性がある。

 ベクターでは、判明している不正アクセス経路については3月21日午前5時10分ごろに経路を封鎖するとともに、他の考えうるアクセスルートについても、ログインパスワードの変更や不要なサーバー間のアクセス制限の実施などの対策を行なっており、個人情報を蓄積していたサーバーについてもシステムを改修し、当該サーバーに個人情報が蓄積されないよう変更した。また不正アクセスされたと思われるサーバーからは、すべての個人情報を削除した。

 ベクターでは、今回の事態を厳粛に受け止め、全社をあげてセキュリティ対策の強化、再発防止を図るとして、これまで実施した緊急の調査および対策に加え、引き続き調査、原因の究明、対策の実施を行い、解明された内容や追加の対策などについては都度報告していくと説明。また、ユーザーへの補償に関する方針などについても、決定次第報告するとしている。

このことを知ったベクター会員の方の中には、カード会社に対してカードの再発行を申請された方もいるでしょう。また、しばらくはカードの不正利用が発生していないか注意しなければならず、面倒なことが発生したと感じていることと思います。
また、ライブラリ公開されているプログラムの改ざんの可能性も心配なところですが、その点は
ベクター不正アクセス、個人情報漏洩よりもプログラム改竄が問題では?など指摘まとめ - NAVER まとめ
を見てもらうこととして、ここでは個人情報流出の話題のみ取り上げます。


この問題では、不正アクセスによりカード情報を含む個人情報が流出した可能性があることが主な問題となっていますが、それ以上に大きな問題があります。それは、現時点(2012/3/24時点)においても、ベクターから会員やに対する連絡(メール等)が一切行われていないことです。
Webサイトでのアナウンスや報道で事件として取り上げられたことで周知は行われていますが、本来知るべき会員に対しては一切連絡が行われていません。会員の方は、報道で取り上げられて知ったという方が大半でしょう。このことから、ベクターの対応が不誠実に感じている方も少なくないと思います。
また、A8.netベクターアフィリエイトパートナーとして提携している方においては、以下の内容のメールが届いていると思いますが、これを見て、「何でアフィリエイトパートナーにはいち早く連絡しておいて、会員に対しては一切連絡していないの?」と不信感を持った方もいるでしょう。

ベクターアフィリエイト パートナー様各位

お世話になっております。ベクターアフィリエイト担当でございます。
平素は弊社商品の拡販にご協力賜りましてありがとうございます。

既に報道等でご存知かとは思いますが、弊社サーバーへの不正アクセス
により、個人情報流出の危険が発生いたしました。

詳細な調査を実施するため、本日よりクレジットカードによるお支払い
を一時停止しております。

◆不正アクセスによるお客様情報流出の可能性に関して
http://www.vector.co.jp/info/spinfo/20120323.html

(以下略)

ベクターの立場においては、Webサイトで経過説明を行っていることや、報道において事件として取り上げられていることで、広く周知されたと認識しているのかもしれません。また、速報レベルでありのままの事実を会員に伝えるのは、混乱を招くという考えもあったのかもしれません(例えば、会員に対する連絡は、弁護士に相談してから対応するとか、内容がまとまったら対応する等)。
しかし、それは報道が出るまでに考えることであって、報道が出てからでは全く意味がありません。また、報道が出て事件が公になってからも会員に対して直接連絡が行われず、しかも2日以上経っても未だに連絡が行われない事態は異常であり、不誠実であると言わざるを得ません。

残念ながら流出した個人情報はどうしようもありませんので、誠実な対応を期待しつつ、今後においてはベクターがどのような対応を行うのか、その動向を注視していきたいと思います。ベクター社内においても混乱している状況なのかもしれませんが、こういうときこそしっかりとした対応をしていただきたいところです。