任意に入れた個人的な情報まで漏洩
SecurityNEXTは『リクルートが発行する旅行情報誌「北海道じゃらん」の関連サイトが、サイバー攻撃を受けたことがわかった。会員の個人情報が流出した可能性もあるとして調査を進めている。』と報道した。
さらに『氏名、性別、生年月日、住所、電話番号、メールアドレス、ニックネーム、ハッシュ化されたパスワードのほか、婚姻状況や職業など任意で入力された情報も対象となる。』と報道した。
利用意図がはっきりしない「任意情報」として、ニックネームや婚姻情報や職業なども漏洩対象とされており、そうした情報の収集に対する責任が発生してしまった例となります。
「マーケティング情報として利用する(予定)」の得られる価値を上回る負債となってしまい、どの様に事態を収集するのか注目していました。実際にフィッシングメールが送られたといった具体的な被害が出始めていることで、そうした警戒のお知らせ以上の対応があるのか?を注目したことになります。
結論としては、残念ですが、たいした対応もされずにサイトを閉鎖して幕引きという形になりそうです。リクルート社の発表でも、再発防止策には具体性のない「お気持ち」が記されているだけです。
利用者側の対策としてですが、そのサイトに登録する情報について、本当に登録していいか?よく考えて、警戒しながら対応すべきですね。今からでも登録しているサイトの情報のうち「任意情報」は消しておいた方がいいでしょう。
https://www.security-next.com/168415
「北海道じゃらん」に攻撃、個人情報流出か - フィッシング攻撃も
https://www.recruit.co.jp/newsroom/pressrelease/2025/0319_15575.html
『北海道じゃらん』不正アクセスに関するお詫びとお知らせ
https://www.recruit-hokkaido-jalan.jp
『北海道じゃらん』
« パスワード管理ツールが解読され攻撃に悪用される | トップページ | 情報漏えい発覚経緯が珍しいケース »
「column」カテゴリの記事
- 求人サイトの管理パスワードが「123456」(2025.07.18)
- QRコードを利用したフィッシングは「クイッシング」(2025.07.16)
- 攻撃が予告されているのに...(2025.07.07)
- ドメインを勝手に放棄すると詐欺に加担する?(2025.07.03)
- 削除型ランサム(2025.06.16)
コメント