『最大手チェーン店』個人情報729万件漏えいの可能性、約500店舗を展開...なぜ
漫画・ネットカフェチェーンの最大手「快活CLUB」を運営する快活フロンティアは28日、外部からサーバーに不正アクセスを受けた影響で、会員の個人情報729万件が漏えいした可能性があると発表した。この件数は、昨年(24年)に起きた企業の個人情報の漏えい・紛失事故のなかで件数ベースで最多の東京ガス(約416万件)、2位の三菱電機(約231万件)を足した数字よりも大きいが、なぜ、これほど多い件数となったのか。また、なぜ快活CLUBが狙われたのか。業界関係者の見解を交えて追ってみたい。
ソフトドリンクやソフトクリームの無料提供(一部店舗除く)などで人気の、全国に約500店舗を展開する快活CLUB。バリ島をイメージさせる店内には、インターネットが利用できる個室があり、漫画が読めるのはもちろん、店舗によってはオンラインゲームができたり、カラオケ、ダーツ、ビリヤード、コインランドリーもある。部屋の広さや席のタイプも店舗によってさまざまで、ワイドルーム、ファミリールーム、リビングルーム、VIPルーム、マッサージシート、ペアシートなど、利用客が自分の好みや利用目的に合わせて幅広く選択できる。Wi-Fi、ロッカーなどが多くの店舗で無料で利用できるほか、有料サービスとしてはシャワーや食事もとることができる。料金は店舗によって異なり、東京都内のある店舗は鍵付完全個室の利用で3時間パックが1680円(税込、以下同)、24時間パックが7020円となっている。会員制のため入会金370円がかかる。
快活CLUBは、大手ビジネスウェアチェーン・AOKIホールディングス(HD)が2003年に1号店を出店して始めた事業。運営元の快活フロンティアはAOKIHDの完全子会社であり、快活CLUBのほかにカラオケチェーン「コート・ダジュール」、フィットネス「FiT24」を展開している。
今回、情報漏えいの可能性があるとされているのが、快活CLUBの会員・仮会員、FiT24会員、FiT24インドアゴルフ会員(全て一部が対象)。情報の範囲は以下で、件数は計約729万件に上る。
【情報の範囲】
姓名・カナ姓名・性別・郵便番号・住所・電話番号・生年月日・会員番号・会員種別・会員ステータス・最新保有ポイント及び有効期限・店舗コード・最終会計日時・バーコード・プッシュ通知希望・クーポンメッセージ
なお、会員登録時の身分証明書情報(運転免許証等)、クレジットカード情報、メールアドレス、会員アプリのパスワードは含まれていないという。
経緯としては、1月18日にサーバーに対する不正アクセスを検知し、サーバーからネットワークを切り離すなどの対策を実施。調査により、会員アカウントを管理するシステムへの不正アクセスの形跡が確認された。快活フロンティアは「不正通信の遮断手法の強化等を実施することにより影響の拡大の防止策を講じるとともに、対策本部の設置、警察への相談及び個人情報保護委員会に必要な報告を行っております。引き続き、原因の調査と被害の全容把握に向けて取り組んでまいります」(同社リリースより)としている。
なぜ快活CLUBが狙われたのか。大手SIerのSEはいう。
「会社の発表によれば、一斉に大量のアクセスを仕掛けるDDoS攻撃を受けたということですが、情報を抜かれているということは、合わせ技でウイルス系のソフトも仕掛けられた可能性も考えられます。快活CLUBが攻撃の対象になった理由としては、快活CLUBの持つ会員数が非常に多いという点があるかもしれませんが、快活CLUBが狙われたというよりは、攻撃者がランダムに多数の企業・組織のシステムにウイルスメールを送付したり攻撃を仕掛けていくなかで、たまたま快活CLUBのシステムに脆弱性があり、引っかかった可能性もあります」
「盗んだ個人情報を欲しがる業者なり組織に売って利益を得たり、攻撃対象に身代金を要求したりという経済的な利益を得ることが目的かもしれませんし、快活CLUBに何らかの理由で恨みを持つ者が、被害を与えて困らせるためにやったのかもしれません。目的としてはさまざまなことが考えられますが、攻撃を受けた企業にとって重要なのは再発防止のためによりセキュリティーレベルの高いシステムをつくることであり、攻撃者の目的が何であるかを考えるのは、あまり意味がなかったりもします」(同)
大規模なサイバー攻撃としては、昨年に発生したKADOKAWAのシステム障害の事案が記憶に新しい。6月、動画共有サービス「ニコニコ動画」や会社のオフィシャルサイト全体など広い範囲で障害が発生し、同社はサイバー攻撃を受けた可能性が高いと発表。犯行声明を出していたハッカー集団は盗んだデータを公開し、従業員の個人情報や取引先情報などを漏えいさせた。快活CLUBも身代金を要求されている可能性はあるのか。
「こればかりは、まったく分かりません。一般的には、もし身代金を要求されているのであれば、対外的に公表する際にその旨を記載するでしょうが、快活CLUBはそのようには説明していないので、要求されていないと考えるのが自然ということになります。ですが、公表するのかしないのかは、個別企業ごとの高度な経営判断となるので、さまざまな要素やリスクを踏まえて総合的に判断した結果として、身代金を要求されているという事実を公表しないケースもあり得ます。そこは外部から口をはさむべきことではないでしょう」(同)
近年、サイバー攻撃は増えている。総務省「令和5年版 情報通信白書」によれば、情報通信研究機構(NICT)が運用している大規模サイバー攻撃観測網(NICTER)が2022年に観測したサイバー攻撃関連通信数(約5226億パケット)は、15年と比較して8.3倍に増加。米サイバーセキュリティ企業・クラウドストライクが公表している「最も一般的なサイバー攻撃の種類トップ」(23年9月20日)によれば、サイバー攻撃の種類別1位は「マルウェア」、2位は「サービス拒否(DoS)攻撃」、3位は「フィッシング」、4位は「スプーフィング」、5位は「アイデンティティベース攻撃」となっている。マルウェアは標的に危害を与える目的のソフトウェアで、「ランサムウェア」「トロイの木馬」「スパイウェア」「ワーム」などが代表的だ。DoS攻撃は標的のシステムに対して大量の架空のリクエストを送付し正常な稼働をできなくするもので、複数の発信元からより大量の架空リクエストを送信するDDoS攻撃への警戒も高まっている、とビジネスジャーナルが報じた。
編集者:いまトピ編集部
