マネースクウェアジャパン(M2J)から顧客情報流出。関東財務局より行政処分。

マネースクウェアジャパン(M2J)に行政処分が下る

「トラリピ」という自動売買で独自の立ち位置を作り、競争の激しいFX業界でも勝ち組に位置していたマネースクウェアジャパン(M2J)が関東財務局より平成29年7月28日に行政処分を受けました。処分の理由は、顧客情報の流出に対するものです。実はマネースクウェアジャパン(M2J)は以前より度々サイバー攻撃を受けており、それにより顧客情報が流出していたのです。

 

株式会社マネースクウェア・ジャパン(本店:東京都港区、法人番号5010401112058)(以下、「当社」という。)に対し、金融商品取引法(昭和23年法律第25号)第56条の2第1項の規定に基づく報告を求めたところ、顧客情報保護のためのセキュリティ管理態勢等に不十分な点が認められたことから、本日、当社に対し、同法第51条の規定に基づき、以下の行政処分を行った。

【業務改善命令】
(1) 今回発生した事案に関し、新規口座の開設を当面の間停止した上で更なる顧客情報の流出の危険を網羅的に検証するなど、顧客情報保護の観点から直ちに万全を期すこと。
(2) 流出した顧客情報の不正利用など被害拡大防止について、最大限迅速に対応すること。
(3) 今回発生した事案について顧客に適切に周知を行うとともに、顧客から問い合わせがあった場合は、万全の対応を行うこと。
(4) 上記(1)から (3)までについて、その対応・実施状況を平成29年8月16日(水)までに書面で報告するとともに、その後の進捗状況を当面の間、1か月ごとに書面で報告すること。

引用:http://kantou.mof.go.jp/rizai/pagekthp032000673.html

 

2016年と2017年にサイバー攻撃をうけて顧客情報が流出していた

マネースクウェアジャパン(M2J)の公式ホームページにはサイバー攻撃による顧客情報流出の経緯が説明されています。これによると2017年サイバー攻撃によって個人情報(約2,500件)が漏えいし、さらに2016年7月から11月にかけても外部より不正なアクセスを受け、当社サービスに係る顧客情報約11万件が流出していたことが発表されています。

これによりマネースクウェアジャパン(M2J)は行政処分を受けて新規口座開設の受付を停止し、顧客情報管理についての徹底的な検証と再発防止策などの対応をしなくてはならなくなっています。

 

サイバー攻撃によるお客様情報の漏えいについて(7月26日付追加情報)

サイバー攻撃によるお客様情報の漏えいについて(7月26日付追加情報)
・2017年サイバー攻撃によって約2,500件の個人情報が漏えいしたことが判明いたしました。
・2016年サイバー攻撃によって約11万件のお客様に関する情報漏えいの可能性があります。
詳細は以下の通りです。

2017年7月17日に、当社ホームページが外部より不正なアクセス(以下、2017年サイバー攻撃といいます)を受け、当社サービスに係る一部のお客様の情報が、サイバー攻撃を行った者(以下、攻撃者といいます)に漏えいした可能性があることをお知らせ(以下、7月17日付お知らせ(※)といいます)しておりましたが、調査を通じて、2017年サイバー攻撃によって約2,500件の個人情報が漏えいしたことが判明いたしました。

・・・続きあり・・・

引用:http://www.m2j.co.jp/info/newsdetail.php?id=1334

 

 

IDやパスワードが流出リスク、住所やマイナンバーは流出否定

さらに内容を見ますと流出した可能性がある情報とそうではないものに分かれています。

流出した可能性のある情報:お客様ID/生年月日/メールアドレス/電話番号/口座開設時に当社より送付した初回ログイン用のパスワード

流出を否定した情報:お客様の氏名、住所、銀行口座情報、変更後のログインパスワード、マイナンバー情報

 

■2016年サイバー攻撃の時期
当社サーバー上のログを解析したところ、2016年7月から11月にかけて、攻撃者が当社ホームページに不正アクセスを行い、お客様の情報の一部が漏えいした可能性があることが判明いたしました。

■2016年サイバー攻撃に於いて漏えいした可能性のあるお客様情報の主な内容及び件数
お客様ID/生年月日/メールアドレス/電話番号/口座開設時に当社より送付した初回ログイン用のパスワード(お客様が当社の外国為替証拠金取引サービス「M2JFX」の口座開設をした際に、当社からお客様に郵送で送付する書面に記載されている、初期的に設定されたログインパスワードを意味します。なお、初回ログイン用のパスワードはすでに無効化されております。)
2016年サイバー攻撃において約11万件のお客様に関する情報が漏えいした可能性があります。被害件数等の被害状況の調査を第三者機関に依頼しており、2017年7月31日頃に公表させていただく予定です。また、お客様の氏名、住所、銀行口座情報、変更後のログインパスワード、マイナンバー情報は漏えいしていないことは確認しております。

■現時点で確認されている被害及び現時点での状況
2016年サイバー攻撃に伴い過去のアクセスログ等について第三者機関も交え調査いたしましたが、2017年サイバー攻撃と同様、現時点で攻撃者に対する情報漏えい以外のお客様の被害について、確認できているものはございません。
万が一疑わしいお取引がございましたら、末尾に記載の当社カスタマーデスクまでお問い合わせください。第三者機関の協力も得ながら取引状況等について調査し、誠実に対応させていただきます。

 

杜撰と言わざるを得ない。さらなる被害が確認される可能性もある

今回の情報漏洩は2017年において発覚したものであり、それが起きたことにより調査を拡大してさらなる過去の流出が明らかになるなど、情報管理が杜撰であったと言わざるをえないものです。再調査によって過去の情報漏洩が明らかになっており、今後の徹底した調査によってさらなる情報漏洩が明らかになっても不思議ではありません

 

 

スポンサードリンク