Yahoo! BBの顧客情報を不正に入手してソフトバンクBBを恐喝した男が逮捕された事件について、同社が記者会見を開き、経緯を説明した。
ソフトバンクBBによると、2004年1月7日にソフトバンク子会社クラビットの取引先が湯浅輝昭容疑者(61歳、北海道函館市在住会社役員)から8名分の個人情報を提示されたことに端を発して、その後fuu fuuと名乗る別の人物(木全泰之容疑者、愛知県岩倉市在住31歳)からも104名分の個人情報データをメールで提示された。この時点でソフトバンクは警視庁久松警察とハイテク犯罪対策センターに相談したが、その後1月21日に湯浅容疑者から新たに130名分にあたるリストのコピーを渡され、恐喝を受けた。これらのリストに含まれるデータがYahoo!BBの回線情報などと一致することから、ソフトバンクは1月23日に242人分(合計数)の顧客データが流出したとする発表を行った。その後2月11日に両容疑者が逮捕され、湯浅容疑者の共犯2名も2月24日に逮捕された。
ソフトバンクBB 取締役副社長兼COO 宮内謙氏 | |
---|---|
一部報道では470万人分の個人情報が流出した可能性も指摘されているが、ソフトバンクBB 取締役副社長兼COO 宮内謙氏は、ソフトバンク側では容疑者が保有するデータを確認していないが「加入しようとしている顧客の人数と現加入者の人数を合わせるとほぼ470万になる」としている。湯浅容疑者らが保有していたデータと自社の顧客データの照合には2月25日に着手するとしており、確認には数日を要する。
流出したデータの二次流出に関しては、ソフトバンクBBが犯人追跡などの面で捜査協力を進め、犯人を早期に逮捕できたため、二次流出の可能性は低いとの警察の見方を紹介した。しかし、湯浅容疑者と木元容疑者が保有していたデータは同じものではなく、複数の手段や経路でデータが流出した可能性もある。
ソフトバンクBB システム&サプライチェーン本部長 鬼頭周氏 | |
---|---|
現時点では、顧客データが流出した経路は不明。外部からの攻撃の形跡はないという。また、ソフトバンクBBの顧客情報データベースには大量のデータを一括取得する機能はないと同社は説明している。同社は2003年秋以降、ISMS認証取得を視野に顧客情報へのアクセスの制限を強化してきた。ソフトバンクBB システム&サプライチェーン本部長 鬼頭周氏は、「顧客データベースにアクセスできるスタッフの数を132人から58人に削減し、データベースにアクセス可能な時間も短縮するなどの対策を進めていた」と説明する。
事件後に実施した顧客情報管理の強化策としては、情報閲覧権限の制限を強化したほか、アクセス時間の制限、パスワード変更期間の短縮化などを進めている。また、データベースのファイアウォールを強化。社内にも調査委員会を設けて個人情報管理の強化にあたっているとしている。同社は2005年上半期中に顧客数を600万人とすることを目標に営業活動を推進しているが、この目標を見直す考えはないとしている。
ソフトバンクBBでは、この件に関して電話窓口を設けて顧客からの問い合わせに対応している。
ソフトバンクBB 問い合わせ窓口
0120-956-827(10:00−19:00)
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」