ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

「フラット35」の顧客情報流出か 勤務先や年収も……メールサーバに不正アクセス、不正な転送設定も

» 2016年10月27日 10時45分 公開
[ITmedia]

 住宅ローン「フラット35」を扱う民間の金融機関・優良住宅ローンは10月26日、同社のメールサーバが不正アクセスを受け、顧客3万7247人の氏名や住所などの個人情報が漏えいした可能性が高いと発表した。メールデータを外部に開示しないことと引き替えに金銭を要求するメールも届いていたという。現在のところ、個人情報の悪用などの相談は受けていないとしている。

画像 流出した可能性がある顧客情報(ニュースリリースより)

 漏えいした可能性があるのは、返済中の顧客3万5738人分の氏名や金融機関名、口座番号、引き落とし金額、借り入れ手続きした顧客112人分の氏名、住所、勤務先、年収、資金計画情報、物件情報、つなぎ資金を利用した顧客1188人分の氏名、住所、つなぎ融資実行情報――など(複数の情報に該当する顧客含む)。

 システム管理責任者が9月30日、メールサーバへの不正アクセスを確認。役職員5人のアカウントが受信したメールを、外部のほかのメールアドレスに転送する設定が行われていることを発見した。同日中に転送設定を削除し、サーバの管理者パスワードも変更したという。

 10月3日、メールデータを開示しないことと引き替えに金銭を要求するメールをシステム管理責任者が受信。同日、警察と弁護士に相談し、メールサーバの管理会社にログ開示を求めた。翌4日、情報セキュリティ会社に調査を依頼。6日、全社員のメール含む社内システムのすべてのパスワードを変更した。

 メールサーバ管理会社から開示されたアクセスログを解析した結果、9月10日〜30日の間に受信したメールが漏えいした可能性が高いことが判明。個人情報が漏えいした可能性がある顧客には10月25日、ダイレクトメールで知らせた。

 メールサーバのIDとパスワードが第三者に取得され、不正アクセスを受けたとみられるが、ID・パスワード留注すの経緯は分かっていないという。再発防止に向け、個人情報管理体制やシステム運営体制を見直すべく、情報セキュリティ会社・弁護士のアドバイスを受けて検討しているという。

 現在のところ、顧客情報が悪用されたなどの相談は受けていないが、不振な連絡などがあれば、「お客様特別相談室」に電話で連絡するよう呼びかけている。

Copyright © ITmedia, Inc. All Rights Reserved.