「ソフトバンク・グループの業務に従事していた者が、今回の情報漏洩事件にかかわっていたことが判明した。報告するとともに、改めてお詫びしたい」。ソフトバンクBBの孫正義社長兼CEO(最高経営責任者)は5月31日午後5時から、今年2月に発覚したADSLサービス「Yahoo!BB」の会員情報451万分が漏洩した事件について記者会見した(写真)。
今回判明したのは、5月30日に逮捕された容疑者Xが顧客データベースにアクセスして顧客情報を引き出したこと。ソフトバンクBBの退職者(以下、A氏)から入手したアカウントとパスワードを使って、新宿のインターネット・カフェから同社のシステムにアクセスした。孫社長は「容疑者Xの逮捕によって、今回の事件の全貌はほぼ明らかになった。これで我が社の社員も安心して業務に打ち込める」と説明する。
容疑者Xはソフトバンク・パブリッシングが発行している月刊誌「PC JAPAN」に31本の記事を執筆していたフリーライター。孫社長は、「容疑者XがPC JAPANに連載していたことを重く受け止め、同誌は当分の間、休刊する」と発表した。
容疑者Xのやり方で顧客情報を引き出すためには二つの権限が必要。メンテナンスなどのためにリモートから社内システムに接続できる権限と、顧客データベースにアクセスするための権限である。この二つの権限を両方持っていたのは18人で、このうちの一人であるA氏が容疑者Xに両方の権限を持つアカウントとパスワードを漏らした。
孫社長は「A氏は保守業務、それも故障時にハード故障かソフト故障かを切り分ける業務を担当していた。そのため、リモート・アクセスの権限と顧客データベースに接続できる権限の両方が必要だった」と語る。
A氏について、孫社長は「直接情報を引き出したのではなく、パスワードなどを提供しただけと推測される。この行為自体は法律上問題がないため、逮捕されていないし名前を明かせない」と語る。
A氏が退職後にも有効なアカウントを持っていた理由について、「両方のグループ・アカウントを持っていたため」(孫社長)と説明する。通常、同社の個人アカウントは退職時に削除していたが、グループ・アカウントは残るためA氏が退職した後でも利用できる状態になっていた。「A氏は両方のグループ・アカウントを持っていた唯一の人物」(孫社長)という。
その上、鬼頭周(あまね)情報システム第1本部本部長は「グループ・アカウントは2002年12月から、グループ・アカウントを削除した今年1月まで変更していなかった」ことを明かした。「当時は、一つの業務につき、一つのグループ・アカウントを割り当てていた。孫社長は、「業務を分析したところ、グループ・アカウントは絶対に必然なものではなかった。現場で業務の際に便利だったので、自然発生的にできあがってしまった」と自戒する。
ソフトバンクBBは3月から、顧客データベースの開発業務のネットワークを外部から切断した。そのほか高セキュリティ・エリアを作る、指紋認証を導入するなどの649項目のセキュリティ対策を実施している。
「記事公開時に容疑者とされたX氏は逮捕後、刑事処分の執行猶予期間を満了し更生している」とX氏の代理人弁護士から申し入れがあり、本文中にある容疑者1名の実名をXに変更しました。 [2018/09/14 18:20]
