報告した経緯
2018年11がつに大手教育出版社Personは、大規模な不正アクセスに見舞われました。この事は2019年3月にFBIに報告されましたが、どのくらいのデータが不正アクセスされているのかの全貌を把握したのは、8月下旬でした。
正確なレコード数は不明ですが、13,000を超える教育機関が影響を受けているという事は確認されています。
流出したのは、過去から現在までの学生の名前や生年月日を含むデータ個人情報です。流出の可能性のあるユーザとクレジットカード監視サービスに、流出したことを通知しました。
どのように不正アクセスされたか
不正アクセスに関するニュースが毎週あり、なぜそんなに発生するのかと疑問に感じると思います。
不正アクセスは、1つの原因だけではなく、「セキュリティーホール」「パッチの管理不足」「リモートデスクトップ(RDP)ポート」などさまざまな要因で発生します。
被害に遭わないように会社等で不正アクセスを防ぐための最善方法は下記を実装することです。
- アプリケーションのホワイトリストを実装するセキュリティソリューションを展開する
- すべてのオペレーティングシステムとサードパーティアプリケーションを最新の状態に保つ
- 使用されていないすべてのRDPポートを無効にします
- 二要素認証を有効にする
- 従業員に役割ベースのアクセスを強制する
- 強力なパスワードを実装する