|
謝罪するソフトバンクBB経営陣
|
ソフトバンクBBは、同社の顧客情報流出に関する恐喝未遂事件の容疑者が5月30日に逮捕されたと発表した。同社で過去に業務委託として働いていた人物が、顧客データベースへアクセスするための情報を容疑者らに伝えたという。
同社によれば、逮捕された容疑者は、以前にソフトバンクBBで業務委託としてシステム関連の業務に従事していた人物から、リモートメンテナンスサーバーへアクセスするためのアカウントとパスワードの情報提供を受けていたという。この人物は、リモートメンテナンスサーバーのほかに顧客データベースへのアクセス権も保有していた。
昨日逮捕されたのは森容疑者、冨安容疑者の2名。このうち冨安容疑者は、ソフトバンクグループであるソフトバンク・パブリッシングの月刊誌「PC JAPAN」でフリーライターとして執筆していた。ソフトバンクグループではこれを受けてPC JAPANを当面の間休刊とする。
孫正義代表取締役社長は、「今回の逮捕で事件がおおむね全容解明したので報告にいたった」とコメント。現時点では個人情報の二次流出に関する兆候は見られず、一部報道にあるような財務データへのアクセスもないと説明した。
● 協力者は業務委託終了後も外部アクセスが可能だった
|
2004年1月8日までのアクセス権限。両サーバーのグループアカウントを所有していた人物はただ1人
|
今回存在が明らかになった協力者は、ソフトバンクBBの業務委託として2002年5月から2003年2月まで働いていた。ソフトバンクBBでは通常退職者のアクセス権は削除していたが、協力者が所有していたのがリモートメンテナンスサーバー、顧客データベースともに複数で利用できるグループアカウントであり、協力者が退職後も外部からアクセスが可能な状態だったという。
2004年1月8日までのアクセス権限は、顧客データベースが170名、リモートメンテナンスサーバーが110名であり、両方にアクセス可能であり、リモートから顧客データベースへアクセスできた人物は18名存在した。ただし、グループアカウントの権限は顧客データベースのアカウントが36名、リモートメンテナンスサーバーが13名と少なく、両サーバーのグループアカウント権限を持つ人物は協力者ただ1名だったという。
グループアカウントの存在について孫社長は「真剣に考えれば必要性はなかった」とした上で「当時は急成長している事業の運用に自然発生的に作られたもので、会社として指示を出したわけではない」と説明。退職者が利用できないような対策が行なわれていなかった点については「メンテナンス意識が足りなかった」と反省の意を示した。
● 協力者特定のきっかけは1通の匿名メール
協力者の特定に至ったきっかけは、ソフトバンクBB宛てに送られた匿名のメールだという。このメールには協力者が事件に関わりがあることを示唆するような内容が記述されていたが、警察の捜査上の理由からその存在は今まで明らかにしていなかったという。
今回逮捕された冨安容疑者と協力者の関係は「聞くところによればハッカー仲間で、メールやチャットなどのやり取りで知り合ったとの報告を受けているが、どのように知り合ったはわからない」という。孫社長は「協力者は(退職後も)データベースへアクセスできることをハッカー仲間に自慢していたようで、それを聞いた仲間の1人が正義感からかメールで連絡を取ってきた」との経緯を説明した。
● PC JAPAN以外の媒体も今後対応を検討
|
ソフトバンクBB代表取締役社長兼CEOの孫正義氏
|
冨安容疑者は「BEAMZ」のペンネームを使い、PC JAPANで合計31本の記事を執筆したほか、Web上のニュース媒体「ITmedia」でも2001年7月から2002年8月の期間執筆していた。また、協力者も「黒川かえる」のペンネームでPC JAPANに1度執筆経験があった。PC JAPANはこれを受けて当面の間休刊とするが、ITmediaについては「ニュース媒体に近いもので、テーマが異なり大変広く多岐に渡っているため、出版活動を止めようとは思っていない」と休刊しない方針を示した。
孫社長はPC JAPANについて「内容そのものはセキュリティ対策に力を入れた上級PCユーザー向けの雑誌だが、タイトル等が刺激的であり、適切なタイトルではないな、と本日議論をしていた」とコメント。「ソフトバンク・パブリッシングの目的は、IT業界の健全な発展のための出版であったが、今回このような事件があり、出版物にそのような誤解を受けるタイトルや記事が出ていたのではないかと反省した。今後は真剣な議論の上で社内の処分を速やかに行なっていきたい」と述べたのち、PC JAPAN以外の媒体についても「どのような雑誌や単行本が発行されているのか、再度議論をしてみたいと思う」とした。
なお、ソフトバンク・パブリッシングという企業そのものについては「健全なものも出しており、会社そのものをなくすのはいかがなものかと思う」とコメント。「今回の事件の温床となるような雑誌、書籍等は認識できたので、それについては何がしかの処置をしたい」とした。
● 協力者の法的対処は現状では難しい
|
ソフトバンクBB 常務取締役兼CISOの阿多親市氏
|
協力者への対処については「内部協力者は本人が直接情報を退職後に入手して恐喝したという訳ではないため、現在の法律では対処が難しい」というのが実情だという。孫社長は「現在専門家と相談中だが、大変遺憾に思っている」と述べた。
顧客情報の二次流出については「現時点でサポートセンターへの問い合わせもなく、消費者センターへの問い合わせも0件と聞いている」とし、二次流出の可能性を否定。さらに「名簿屋などにも問い合わせてみたが、一切売買されていないとの回答を受けた」と付け加えた。
今回の個人情報流出に関して発生した直接的な費用は、ユーザー宛に送付した金券が「400万近いユーザーのうち、実際に換金したのは5月28日現在で188万人」と説明。また、新規顧客向けの販売プロセスを厳重なものに切り替えるなど、全体で100億以上の金銭的影響があったと考えているという。
企業としての責任は「前回の記者会見でも内通者の存在は認識しており、その点も含めた社内処分や顧客への対応を実施した」と説明。孫社長の退任については「デジタル情報革命、ブロードバンド革命を全うさせるのが最大の責任であり、途中でこの事業を投げだす訳にはいかない」と否定した。
ソフトバンクBBの常務取締役兼CISOである阿多親市氏は「社内のネットワークやデータベースを実際に足を運んで確認したが、他と比べて現状では大きくかけ離れているものとは思わなかった」との感想を述べたのち「指紋認証の導入やネットワークの切り替えといった作業を数週間で行なっていくスピードは相当早いのではないか」と語った。また、リモートメンテナンスサーバーについては「他社でも99%使われているだろう」とした上で、「社内ネットワークだけでの運営は大きな無理もあった」とした。
関連情報
■URL
ソフトバンクBB
http://www.softbankbb.co.jp/
関連記事:“Yahoo! BB顧客情報漏洩事件”特集
http://internet.watch.impress.co.jp/static/index/2004/03/01/ybb.htm
■関連記事
・ Yahoo! BBの顧客情報漏洩事件、流出経路に業務委託先の社員(2004/05/31)
( 甲斐祐樹 )
2004/05/31 17:38
- ページの先頭へ-
|