東建コーポレーション、不正アクセスにより約65万件の個人情報を漏えい

賃貸マンションの建設や不動産の管理の東建コーポレーションは2020年11月17日、同社グループのネットワークが不正アクセスを受けて、個人情報が外部に流出した可能性があると発表した。*1 本件について考えをまとめみた。

2020年10月20日に実施した社内調査で、同社グループのWebページを経由して、ユーザーの情報を管理していたサーバーが不正アクセスを受けたことが分かった。

安全性を確認してから再開する予定。

弊社グループのホームページから、各種ユーザー様の情報を保管していたサーバーへ第三者による不正アクセスを受けた*2

同サイトに大量のアクセスがあったことから、社内調査を進めていた。
www.nasluck.co.jp

子会社で厨房設備などを手掛けるナスラック（同市）の料理レシピサイトを利用する際に登録した顧客の氏名、住所、電話番号、生年月日などが流出したという。*3

料理レシピサイト　との記述から以下と推測

最大で65万7096件の情報が外部に流出した可能性がある。
以下、公式サイトにある、漏えい情報一覧

2000年から2020年９月までに、同社グループのサイトで問い合わせやユーザー登録をしたり、キャンペーンに応募したりしたユーザーに関する情報。

料理レシピサイトに不正アクセスがあり、利用する際に登録した顧客の氏名、住所、電話番号、生年月日などが流出したとあるが、公式サイトから流出情報の一覧に東建コーポレーションの情報が含まれている。

また、公式サイトでは

<<弊社グループで使用するホームページから、各種ユーザー様の情報を保管していたサーバーに第三者による不正アクセスを受けた>>

との記述から、「子会社ホームページ」から「各種ユーザ様情報を保管したサーバー」宛てに攻撃を行った、いわば「サプライチェーン攻撃」の一種ではないかと推察。

セキュリティ対策が強固な本丸企業のDBを狙うよりも、より脆弱なサプライチェーン企業から攻撃を行い、そこを踏み台にして本丸企業の秘密情報を入手する攻撃。

情報セキュリティ事件・事故のまとめ