概要
委託先:ソフトバンクの業務委託先「UFジャパン」から、携帯電話契約者の個人情報が外部に流出した可能性が判明。対象サービスは「ソフトバンク」「ワイモバイル」の2サービス。
また、現時点で約14万件(内訳:13万7,156件)に及ぶ見込みとされている。
流出した情報の内容
対象データは、氏名、住所、生年月日、電話番号、性別、年齢、料金プランなどの契約・利用状況、顧客管理番号など。
また、クレジットカード情報、銀行口座情報、マイナンバーなどは含まれていない模様。
漏えいの背景と経緯
発端は2025年3月下旬、他社への勧誘目的で不適切に情報が使われているとの通報があり、ソフトバンクが調査を開始。
その結果、USBメモリ持ち出し(UFジャパン協力会社・元従業員)が行われていた事が発覚した。
2024年12月に不正立ち入り・USB接続しての情報持ち出しが監視カメラ映像で確認された。
また、クラウド共有の不備があることも分かった。個人情報を含むファイルがクラウドにアップロードされ、業務関係者でない3名が閲覧可能な状態にあったとされる。なお、ダウンロードの痕跡等は現時点では確認されず。
UFジャパンは、契約に反して無許可の協力会社契約、監査での虚偽報告、警備員不配置など不適切運用が明らかとなった。
現在の対応状況
ソフトバンクは2025年6月3日に監督官庁および関係機関へ報告し、警察にも相談中。
また、5月20日にUFジャパンとの業務停止、6月9日付けでUFジャパンとの委託契約を解除した。
調査の継続として、UFジャパンに残されたパソコンのフォレンジック調査、関係者へのヒアリングなど全容解明中。引き続き情報流出の可能性を確認している。
今後の注目点
- 流出した個人情報が悪用された被害の有無(現時点では確認されていない)の正式発表
- フォレンジック調査や警察捜査の進展状況
- 業務委託先全体に波及するような同様の問題発覚の有無
私見
最近はサイバー攻撃による事件が多かった印象だが、こういったセキュリティ事故は、本件のようにシステム内通者であることが多く、これはもっとも防ぐのが難しい事故でもある。
今回は通報による契機がトリガーとなったが、こういった報告をしてくれる第三者がいなかったら、発見も対応ももっと遅れていた可能性がある。しかしながら、一度出てしまったものを検知するのは相当難しく、現実的ではないような気もしている。
となると、どうやったら防げのか?を考える方がいい。
今回はusbでデータが抜かれていたので、まずこれを防ぐ仕組みを設ける。良くあるのは、usbを使用禁止にしたり、職場で管理された特定のデバイスでしかデータのやり取りをできないようにする手法だ。外部デバイスを利用申請必須とし、管理者が一時的に貸し出しするような運用のイメージである。
だが、正直なところこれくらいはやっていたはず。なので、データを抜けるとすればusbなどの外部デバイスを管理していた人間になる。もしここが流出源だと仮定すると、なかなか恒久対策は難しい。それこそ誰も信用できなくなってしまうからだ。
だからこそ、内通者によるインシデントは難しい。特に再発防止策の検討は相当苦しくなるだろう。人間が集まって仕事をしている以上、こういった事件のリスクはゼロにはならないし、それを踏まえ消費者が納得する策を提示しなくてはならない。
あくまで仮定でアレコレ書いてきたが、まだ本件については調査中だ。引き続き続報を待ちたいと思う。
最後に
今のところこの手の事件を間近で見たことないけど、マジで防ぎようがなくね?俺リアルで人狼ゲームみたいなことしたくねえよ。
コメント