KDDIの顧客情報400万人分が流出--恐喝未遂で容疑者2名が逮捕 - CNET Japan

インターネット接続サービス「DION」の顧客情報が約400万人分流出したと発表した。同日、この顧客情報を使ってKDDIから金銭を脅し取ろうとした恐喝未遂の疑いで、容疑者2名が警視庁に逮捕されている。

2003年12月18日までにDIONに申し込んだ顧客の名前、住所、連絡先の電話番号が399万6789名分。なお、この中には当時すでに解約した人の情報も含まれる。

バックドアがあるか、内部犯行かどちらかですね。もちろんバックアップテープとかもあり得ますよね。

今回流出した情報はKDDIの社内にある専用PCからしかアクセスできず、そのPCがある部屋に入るためにはICカードが必要となっていた。また、PCを利用するにはIDとパスワードが必要で、外部へのインターネット接続はできないようになっていた。当時、このPCを利用できる権限を持っていたのは、 KDDIの社員48名と委託ベンダー1社の177名、合計で225名のみだった。

やはり1年では不十分ですか・・・

KDDIではこのPCのアクセスログ保管期間を1年間としており、現在はすでにそのログを廃棄してしまったという。

【KDDI情報漏えい続報】「アクセス・ログは1年間しか保存していなかった」 | 日経 xTECH（クロステック）

じゃーどこから？？？

開発保守用パソコンは，IPアドレスとMACアドレスを管理している端末に限定していた。システム室への入退出はICカード，システム自体へのアクセスは IDとパスワードで管理していた。「インターネットとは接続しておらず，完全にクローズなシステム。当社の社員あるいは出入りのベンダーから持ち出された可能性が高い」。

関連URL

KDDI、DIONユーザーの個人情報の約400万件が外部に流出 | RBB TODAY

「DION」の顧客情報流出で、KDDI小野寺社長が会見

KDDI、400万人分の顧客情報が流出 | 日経 xTECH（クロステック）

KDDI、「DION」の顧客情報約400万人分流出を発表

KDDIの顧客情報流出、恐喝未遂で容疑者2人を逮捕

http://japan.internet.com/allnet/20060613/6.html

「DION」の顧客情報流出で、KDDI小野寺社長が会見

KDDIの顧客情報流出、恐喝未遂で容疑者2人を逮捕

KDDI、「DION」の顧客情報約400万人分流出を発表