三井住友フィナンシャルグループ、2社で不正アクセスによる個人情報流出の恐れ
- 元記事:クラウド型口座開設システムへの第三者のアクセスについて
- 元記事:クラウド型口座開設システムへの第三者のアクセスについて
- 元記事:クラウド型口座開設システムへの第三者のアクセスについて(2021/3/29発表)
- HP:三井住友フィナンシャルグループ
- HP:SMBC信託銀行
- HP:SMBC日興証券
| 会社名 | 株式会社三井住友フィナンシャルグループ |
|---|---|
| 株式情報 | 上場 |
| 漏洩種別 | 流出 |
| 漏洩対象 | サーバ |
| 漏洩場所 | 社外 |
| 漏洩内容 | 住所/氏名/生年月日/電話番号/メールアドレス/暗証番号 |
| 漏洩件数 | |
| 漏洩日時 | 2021/2/12 |
| 発表日時 | 2021/3/8 |
三井住友フィナンシャルグループ2社にてアクセス権設定不備により個人情報が閲覧可能状態。SMBC信託銀行及びSMBC日興証券にて利用している社外のクラウド型口座開設システムにアクセス権設定の不備があり、第三者からアクセスされ情報が閲覧されていたことが確認された。
不正アクセスの調査の結果、SMBC信託銀行では不正アクセスされた恐れのある対象顧客は2017 年 7 月 24 日~2020 年 7 月 18 日に口座開設を行った顧客で、不正アクセスが可能であった最大件数は37,176 件、そのうち101 件の不正アクセスが確認された。2017 年 7 月 24 日~2018 年 1 月 31 日の期間はクラウドサービス提供事業者のアクセスログ保存期間が過ぎており情報が確認できず、調査ができなかった。また、2018 年 2 月 1 日~2021 年 2 月 11 日の期間の調査で、2020 年 11 月 8 日と12 月 3 日の2回不正アクセスが確認されたがアクセスログの解析ができず、不正アクセスされた情報の特定ができなかった。
SMBC日興証券では12月24日に50名分の情報に対する不正アクセスが確認されたが、アクセスログ情報の解析の技術的な問題で、流出情報は特定できなかった。同社の調査期間は2019年12月16日から2021年2月11日で、2019年12月16日から2020年7月19日の間にHPからネットで口座開設を行った顧客の情報で、不正アクセスが可能であった最大件数は81,588 件、そのうち最大50 件の不正アクセスが確認された。
外部からのアクセス発覚後、同行は直ちにセキュリティの設定変更を行った。セキュリティ設定の変更後は外部からのアクセスは不可能な状態となっており、現時点では情報の悪用などは確認されておらず、情報の不正利用の形跡も確認されていない。
その後の調査により、同社ホームページから、2019 年10 月1 日から2020 年7 月18 日期間中にGLOBAL PASS:多機能 Visa デビット一体型キャッシュカードの口座開設の手続きを行った顧客の暗号化済のデビット用暗証番号が復号化されて閲覧された可能性があることが判明した。不正アクセスが可能であった最大件数は1,954件、そのうち最大101件が不正に閲覧された可能性がある。同社は当該顧客に、無料でデビット用暗証番号をご変更できる手続きの案内を行った。(2021/3/29追記)
