作業用品店の会員情報、金庫を盗まれて漏洩

作業用品店の会員情報、金庫を盗まれて漏洩 43

ストーリー by hylom 2017年03月16日 7時00分
プロの犯行部門より

北海道や東北を中心に作業服等販売店「プロノ」を展開するハミューレで、従業員通用口が破壊されて顧客情報などを含むデータを保管していた金庫（約100kg）が持ち去られるという情報漏洩事件が発生した（ハミューレの発表PDF、Security NEXT）。

盗難された個人情報は同社のポイントカード利用者および通信販売利用者のもので、氏名および住所、メールアドレス、購入履歴など。通信販売を利用した顧客についてはクレジットカード番号やカード有効期限も含まれている。

再発防止策として「データセンターにバックアップを委託するなど、情報セキュリティの更なる強化を徹底」とされている。

この議論は賞味期限が切れたので、アーカイブ化されています。新たにコメントを付けることはできません。

記事ページを表示すべてのコメント取得

検索43コメント Log In/Create an Account

保管会社を使おうよ (スコア:3, 興味深い)

by Anonymous Coward on 2017年03月16日 10時08分 (#3177389)

紙のデータでもテープでも専門の保管会社があります。
物理セキュリティはそこらの事業所やオフィスビルよりも上だし、
利害関係の存在しない第三者なので、そこに預けるという手はあるのですが……
うちの会社では、倉庫会社と警備会社の、それぞれの保管サービスを検討しました。、
ですが、委託先の内部犯行をパラノイア的に危惧する役員の反対で、お流れになりました。
でもって、現在物理メディアの保管をどうしているかというと。
その役員が、海外出張の度にメディアを持ち出し、東南アジアにある支社の
金庫に入れに行く、という、愉快な(現場としてはやってられない）ことを
やっています。
＃もうすぐやめる会社だけど内情暴露なのでA.C.
- Re: (スコア:0)
  
  by Anonymous Coward
  
  アルソックやセコムのシール貼ってるだけで土曜のお昼になるとドア開けっ放しで誰もいなくなって盗み放題の我が社よりはましだと思う。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    これ職場の回線から書いていないよね？
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      そんな会社が通信記録とかとってると思う？
      ちなみに自分はシステム管理者で、うちは何も取ってません。
      - Re: (スコア:0)
        
        by Anonymous Coward
        
        そっちの発想はなかったです
        スラドの管理者が悪意発動すれば，ってハナシです．
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        あ。なるほど。スラドの管理者ならやりかね…ないない。
        でも中小企業なんて、ドメイン取っててもメールやWebの運用はホスティングだったりで、
        社内からの接続は、一般のご家庭と区別つきませんよ。
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        世の中のほとんどの企業は中小で、通信の監視なんかしてない。
        業務管理用のサーバーはあるけど、ネットワーク内のユーザー管理するような機械なんて当然ない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  クラウドサービスになるとパラノイアのほうが普通になる不思議
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    いっぱいデータ集まってるから狙われる頻度は確実に上がる。
    でも防御も厳重だからどっこいどっこい。
    どっちが安全かは標的型の攻撃リスク次第かなぁ……
金庫式PCケース (スコア:1)

by Anonymous Coward on 2017年03月16日 7時30分 (#3177314)

そりゃ、端子に何か付けてデーターだけ盗むのは出来るだろうけど、あっても良いじゃない。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  耐火のための断熱性とPCの排熱処理を両立させるのが難しそう。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    一応通風冷却方式の防犯金庫式PCケースを想定して投稿したが、耐火金庫式PCケースをと云うなら、防犯用の装甲と併せて充分な耐熱断熱吸熱材で全面を囲い、普段はヒートポンプで放熱し、火災時は内蔵コンピューターとヒートポンプをシャットダウンする方法がある。
    ペルティエ素子のみでは電源停止時の断熱性が劣るので不可だし、蒸気圧縮ヒートポンプのみは媒体次第で危険だから要注意。
    結局、水冷＋クーリングタワー（＋耐火金庫式PCケース内のヒートポンプ）で冷却するのが、耐火性が高いと思う。
    もう少し安価に済まそうと思えば、上面に空いた冷却通風口の耐火蓋を可燃性の糸で吊して開けておき、火災時にはこの糸が切れ冷却通風口を塞ぐ手法もある。
    （扉内部を鉄格子で塞いだ耐火金庫を、扉を上向きに設置し、糸無しでは扉が自然に閉じるよう、扉を糸で斜めに吊るし開けておくイメージ。糸が切れたら直ちにPCをシャットダウン）
- Re: (スコア:0)
  
  by Anonymous Coward
  
  再発防止策として「次の金庫は500kgだ！」ってのを期待したくなりますよね！
今度はデータセンターで漏洩かな (スコア:0)

by Anonymous Coward on 2017年03月16日 7時15分 (#3177310)

「事務所の防犯体制を改めて見直し強化」の方だけでデータセンターへ委託しないほうが安全な気がするな
- Re:今度はデータセンターで漏洩かな (スコア:1)
  
  by nemui4 (20313) on 2017年03月16日 8時09分 (#3177334) 日記
  
  その次はデータの暗号化ですかね、それも復数手段で暗号化して、一個キー無くして、全部喪失・・・
  
  シェア
  
  親コメント
  - Re:今度はデータセンターで漏洩かな (スコア:1)
    
    by love-m4 (10412) on 2017年03月16日 8時53分 (#3177356) 日記
    
    分散保管を検討しましょう。
    氏名台帳と
    住所台帳と
    取引台帳で。
    キーはマイナンバー。
    
    シェア
    
    親コメント
    - Re:今度はデータセンターで漏洩かな (スコア:2)
      
      by manmos (29892) on 2017年03月16日 10時11分 (#3177391) 日記
      
      レンタルビデオやの店員が身分証明書としてコソーッと。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      どの台帳でも漏れなくマイナンバーは確実に漏洩するわけか。素晴らしい。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  データセンターから盗まれたんだ！と言い訳が出来れば満足なんじゃないかな？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    盗まれるようなデータセンターを選択した責任を取られるだけです。
- またタンス預金信者か (スコア:0)
  
  by Anonymous Coward
  
  銀行の貸金庫なんて論外ですよね
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    データセンターのみに情報を置くならわからんでもないが、
    「データセンターにバックアップ」では情報漏洩のリスクを高めこそすれ
    防止になるわけがないだろう。
    - Re:またタンス預金信者か (スコア:2, 参考になる)
      
      by Anonymous Coward on 2017年03月16日 10時07分 (#3177388)
      
      スラドでのタイトルは漏洩になってるけど、大元では紛失になってる。
      たぶん、単に漏洩したのみならず、バックアップがなくて会員情報が完全に失われたんじゃないかと予想。
      そうなのであれば、「よそにバックアップする」というのは漏洩対策ではなく消失対策として理に適っている。
      
      シェア
      
      親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      みんなどんな大企業に勤めてるか知らんけど、
      ほとんどの会社は自社よりクラウドにでも置いといたほうがまだマシ。
      というのがセキュリティの実状なんじゃ。
データ漏洩（物理的に） (スコア:0)

by Anonymous Coward on 2017年03月16日 7時50分 (#3177322)

バックアップというか
データをセンターにおいて店には置かないのが正解だろ？
端末もChromebookにすれば管理コストも安くつくし
ネーム入れ用の刺繍ソフト用のPCも必要だろうけど
- Re: (スコア:0)
  
  by Anonymous Coward
  
  何でデーターセンターからや、データーセンターとの途中回線から盗まれる可能性を、そうも無視できるのかな？
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    無視できるくらい僅かだと見なされているからだろうね。
    逆に、無視できないくらいの確率であるとの根拠が示されないと、誰も気にしない。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そこの対策を万全にしたら、その次オマエは「なんでソーシャルハックや実務担当者からの横流しを無視できるかな？」と言うだろう。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    電線や通信ケーブルを夜中に盗むやついまだに多いけど、あれはマジでやばいから！
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    そりゃあおまいさん、盗まれたことに気付かなければ盗まれる方も安心ってもんよ!!
- Re: (スコア:0)
  
  by Anonymous Coward
  
  紙にしろデータにしろ、コピーできる状態にある時点で漏えいするリスクはあります。
  データセンターのみにデータを置き、Chrome端末でリモートから扱うといえばデータはデータセンターから動かないと思うかも知れませんけども、それは人間の意識するイメージでそうなっているだけで、電子データとしては使用しているChrome端末に全部コピーが来るんです。
  紙で言えば、FAXで書類を送ってもらって編集し、FAXで送り返して手元に残った書類はシュレッダーで廃棄するのと同じ。
  ここでシュレッダーで廃棄せずにどこかにコピーして送ったら漏えいですよね。
  やはり暗号化しておくしかないと思う。
  - Re:データ漏洩（物理的に） (スコア:2)
    
    by 90 (35300) on 2017年03月16日 15時29分 (#3177590) 日記
    
    手元に残るFAXの写しは、書類キャビネット全部より少なくて済むわけですね。
    そして、キャビネットごと盗まれる危険もなくなります。被害の範囲が小さくなりませんか?
    
    シェア
    
    親コメント
  - Re:データ漏洩（物理的に） (スコア:1)
    
    by nim (10479) on 2017年03月16日 12時11分 (#3177444)
    
    > やはり暗号化しておくしかないと思う。
    暗号化しても、端末のメモリ上に平文でデータのコピーが出来ることに違いはないし、
    鍵管理どうすんの？
    鍵を端末上においておいたら、一緒に盗まれるし、
    クラウドに置いておいても同じ。
    PBEなら鍵自体は置かなくていいけど、パスワード忘れたりもするし。
    
    シェア
    
    親コメント
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    Chromeはしらんけど、ふつうthin clientだったら画面だけじゃないの?
- Re: (スコア:0)
  
  by Anonymous Coward
  
  管理体制にもよるけど盗難耐性は金庫の方が上だと思うな。データセンターバックアップの利点は火事などによる喪失だと思う
  - Re:データ漏洩（物理的に） (スコア:1)
    
    by qem_morioka (30932) on 2017年03月16日 8時59分 (#3177361) 日記
    
    データセンターに忍び込んで該当するストレージサーバーを盗難するよりも
    店に置いた金庫の方が難易度が高い…だと!?
    # まぁ一時期流行った重機で丸ごとってのも難しくなったようだけどねえ
    
    シェア
    
    親コメント
    - Re: (スコア:0)
      
      by Anonymous Coward
      
      データセンターはオンラインで獲れるから致命的な脆弱性見つかってゼロデイされたら終わりだからねぇ。暗号化を鯖でやってたら生データで漏洩するかもだし
      - Re:データ漏洩（物理的に） (スコア:1)
        
        by qem_morioka (30932) on 2017年03月16日 10時13分 (#3177392) 日記
        
        しまった…作業用品店の顧客データなんてハッキングしてまで入手しないだろう
        それより直接金庫襲った方が楽だよよななんて考えてしまったが
        オンラインならそんなの関係なく漁れるか…　_(:3 」∠)_
        
        シェア
        
        親コメント
        
        Re:データ漏洩（物理的に） (スコア:1)
        
        by Anonymous Coward on 2017年03月16日 14時40分 (#3177548)
        
        そもそも今回の事件は、お金目当てで金庫盗んだのに中に入ってたのは個人情報だった…という話だったんじゃないかなぁと
        
        シェア
        
        親コメント
        
        Re:データ漏洩（物理的に） (スコア:1)
        
        by qem_morioka (30932) on 2017年03月16日 14時54分 (#3177558) 日記
        
        現金化する手段を持ってなければただの箱ですからねえ_(:3 」∠)_
        # だから技術というものが世の中に必要なんだよ!(えー
        
        シェア
        
        親コメント
        
        Re: (スコア:0)
        
        by Anonymous Coward
        
        実は1番高く売れたのが金庫であったという可能性が
- Re: (スコア:0)
  
  by Anonymous Coward
  
  この業界に居れば正解なんてないことが分かる
  所詮は確率論
ふむ、よぉしわかった！ (スコア:0)

by Anonymous Coward on 2017年03月16日 21時37分 (#3177834)

つまり金庫が自爆すればいいわけだな。
自爆はロマンだよ諸君！

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

保管会社を使おうよ (スコア:3, 興味深い)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

金庫式PCケース (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

今度はデータセンターで漏洩かな (スコア:0)

Re:今度はデータセンターで漏洩かな (スコア:1)

Re:今度はデータセンターで漏洩かな (スコア:1)

Re:今度はデータセンターで漏洩かな (スコア:2)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

またタンス預金信者か (スコア:0)

Re: (スコア:0)

Re:またタンス預金信者か (スコア:2, 参考になる)

Re: (スコア:0)

データ漏洩（物理的に） (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

Re:データ漏洩（物理的に） (スコア:2)

Re:データ漏洩（物理的に） (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re:データ漏洩（物理的に） (スコア:1)

Re: (スコア:0)

Re:データ漏洩（物理的に） (スコア:1)

Re:データ漏洩（物理的に） (スコア:1)

Re:データ漏洩（物理的に） (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

ふむ、よぉしわかった！ (スコア:0)