2015年2月27日にテレワークコミュニケーションズのドメインサービス「アリクイネット」が不正アクセスを受け、登録情報の漏えいが発生したと発表しました。ここでは関連情報をまとめます。
公式発表
- 2015年2月26日 ARIQUI.NETをご利用頂いておりますお客様へ (2015年2月26日) (魚拓)
- 2015年3月4日 お客様情報の漏えいに関するお詫びとご報告 (魚拓)
タイムライン
| 日時 | 出来事 |
|---|---|
| 2015年1月12日 | テレワークコミュニケーションズがサーバーメンテナンスを実施。(以降アクセス制限が設定されていない状態) |
| 2015年2月24日 2時40分頃 | テレワークコミュニケーションズが不正アクセスを受けたことを把握。 |
| その後 | ログを調査し、ユーザーの管理者情報の漏えいが発覚。 |
| 2015年2月26日 | テレワークコミュニケーションズが不正アクセス被害について発表。 |
| 2015年3月4日 | 調査結果報告と対応方針として現行サービス再開見送りによる別事業者への移行を発表。 |
被害状況
テレワークコミュニケーションズのドメインサービス「アリクイネット」に管理者登録されたことがある情報が漏えいした。
- 全体の被害件数:2,048件 (重複54件を含む)
- 現時点における利用者件数:921件
クレジットカード関連の情報漏えいは無し
- クレジット決済関連情報は同社のサーバーに保管されていないため、漏えいの可能性はないとの発表。
原因
- テレワークコミュニケーションズのサーバーが不正アクセスを受けたことによる。
- 2015年1月12日のサーバーメンテナンスの際、管理者用画面のアクセス制限を設定しないままとしたため。
- ユーザー情報を全件取得するコマンドが実行されたことにより顧客情報が全て盗まれた。
対応
更新履歴
- 2015年3月1日 新規作成
- 2015年3月4日 対応欄を修正
- 2015年3月5日 調査報告を反映
*1:平文・あるいは復号可能な状態で保存していた? → 3月4日 暗号化を行わずに保持していたことが発表された。
