アッカ・ネットワークスは4月27日、3月下旬に発覚した201人分の顧客情報漏洩の調査結果を公表した。社員または派遣社員といった内勤者から漏洩した可能性が高いものの、漏洩の経路や誰が持ち出したかは不明だとした。

 アッカは3月22日、内部緊急対策委員会を立ち上げ、顧客情報漏洩の原因究明に乗り出した。委員会には、監査法人のトーマツと、システム・インテグレータのユーフィットのセキュリティ関連コンサルタントが加わり、およそ1カ月間、原因の調査を実施した。委員会は、アッカの社内システムの概要や業務フローの聞き取り調査、ログ情報やバックアップ・ファイルの分析、社内で利用しているUSBメモリーやCD-Rといった外部記憶媒体の回収・分析を実施。漏洩の経路を分析した。

 情報を漏洩した『犯人』として、委員会は、「ネットワーク経由で不正侵入するインターネット利用者」、「外部委託業者」、「社員または派遣社員の内勤者」を想定して調査を進めた。その結果、内勤者が漏洩した可能性が高いと結論付けた。

 まず、インターネット利用者の可能性を探るため、委員会はファイアウオールのログを調査した。しかし不正侵入の形跡はなかった。さらに、外部委託業者の可能性を探ったが、この可能性も低いと判断した。漏洩した情報に、メール・アドレスが含まれていたことが決め手となった。アッカは、外部委託業者にメール・アドレスの情報を渡していなかったからだ。

 内勤者が『犯人』であるという可能性は高まったものの、委員会は誰が顧客情報をどうやって外部に持ち出したかを突き止められなかった。内勤者がUSBメモリーやCD-Rといった記憶媒体を持ち出すケースと、メールなどインターネット経由で外部に送信したケースを想定して調査した。しかし、いずれも決め手となる証拠がなかった。

 外部記憶装置については、外部記憶装置の利用履歴を残していなかったので、どの外部記憶装置から漏洩したかはわからなかった。一方、インターネット経由で外部にデータ送信したケースについては、インターネットとメールに関するログは残っていた。しかしメールの添付ファイルの内容やどんなデータをやりとりしていたかまでは、ファイルとして管理していなかった。

 アッカはこのほか、漏洩を確認した201件の顧客情報に関する特徴を公開した。201件すべてに共通するのは、(1)個人名義で申し込んでいた、(2)インターネット・サービスと電話サービスを併用していたという点。さらに、顧客がサービス利用を申し込んだ時期は、2002年9月1日から2003年3月31日までだとわかった。

(西村 崇=日経コンピュータ)