阿波銀行の情報漏えい、被害のテスト環境は「本来廃止すべきだった」 システム高度化作業でも利用
阿波銀行が6月3日、4月公表の顧客情報漏えいの調査結果を発表した。不正アクセスを受けたテスト環境は本来廃止すべきだったが、AIを使ったシステム高度化作業などに転用していたと判明。同行は管理態勢の不備を認め、頭取ら役員を処分した。
阿波銀行(徳島市)は6月3日、4月3日に公表した不正アクセスによる顧客情報漏えいの調査結果を発表した。本来廃止すべきテスト環境をAI高度化作業などに使い続け、消すべき顧客データも残っていたと判明。同行は管理態勢の不備を認め、福永丈久頭取ら役員の処分を明らかにした。
同行は、不正アクセスの直接の原因を「何者かがID・パスワード等を不正に利用し、外部からテスト環境にアクセスしたこと」だとしたうえで、自社の管理態勢にも問題があったと認めた。
原因について3つの不備を挙げた。1つ目は、廃止すべきだったテスト環境を残していたこと。同環境はOAシステム(行内で情報を共有するシステム)の開発やテスト用で、目的完了後もAIを活用したシステムの高度化作業などに使い続けていた。2つ目は、同環境に保管していた顧客データを開発完了後に消去すべきだったのに、消去できていなかったこと。3つ目は、同環境で不正アクセスを防ぐ仕組みが十分に機能していなかったことだ。
処分は、福永頭取と山下真弘専務がそれぞれ報酬月額の30%(1カ月分)を自主返納。三河広明常務が報酬月額の30%を減額(1カ月)する。関係した職員も行内規定に基づき処分したという。
第1報によると、漏えいを確認した顧客情報などはのべ2万7745件。内訳は、2024年10月時点の法人向けインターネットバンキング契約先の情報が1万872件、21年3月末時点の株主情報が1万1122件、その他の顧客・関係先の情報が5751件だった。株主情報に関しては、うち5271件が配当金の受取口座番号を含む。一方、暗証番号やパスワードは含まれていないとしている。
同行は3月24日に外部のセキュリティ会社から漏えいの可能性について連絡を受け、調査を始めた。二次被害は確認しておらず、テスト環境は警察の捜査終了後に廃止し、行内の全情報システムを見直すとしている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
CAMPFIRE「従業員がGitHub認証情報を個人開発サーバに誤アップロード」 不正アクセスの原因公表
従業員が発行したGitHub認証情報が、個人開発で利用していたサーバに意図せずアップロードされ、第三者に悪用されたことが原因だったという。
女性向け転職サイトで3万8000件の不正ログイン 「女の転職type」にリスト型攻撃
キャリアデザインセンターは、転職サイト「女の転職type」のスマホアプリが不正アクセスを受け、最大1万8253人分の会員情報を第三者が閲覧したおそれがあると発表した。外部で入手したIDとパスワードを悪用するリスト型攻撃を受けた可能性があるという。
乗っ取り被害を受けた在日米海軍の公式X、ユーザー名も取り戻し“完全復活”
在日米海軍司令部は5月28日、不正アクセスによる乗っ取り被害を受けていた公式Xアカウント(@CNFJ)が復旧したと発表した。
GitHub内部リポジトリへの不正アクセス、「悪意あるVS Code拡張機能」が関与と特定 約3800件流出か
GitHubは、自社の内部リポジトリへの不正アクセスについて、調査の続報を公式Xアカウントで発表した。侵害経路はコードエディタ「Visual Studio Code」の拡張機能を通じた社員の端末への攻撃で、流出は内部リポジトリのみにとどまると現時点での見解を示した。侵害された端末を隔離した上で、セキュリティ処置を開始したという。
GitHub、内部リポジトリへの不正アクセスを「調査中」 ハッカー集団「4000件窃取」と主張
ハッカー集団が、GitHubの内部リポジトリ約4000件を窃取したとダークウェブ上で主張。これを受けた対応とみられる。