昨年世間を騒がせていたLINEヤフーの個人情報流出事件の続報です。
ーーーーーーーーーーーーーーーーーーーーーーーーーーー
<過去blog>
個人情報保護委員会 LINEヤフー ネイバー経由で44万件の 個人情報流出への対応
https://plug-in01.com/topics/archives/253
LINEヤフー ネイバー経由で 44万件の個人情報流出
https://plug-in01.com/topics/archives/227
ーーーーーーーーーーーーーーーーーーーーーーーーーーー
前回取り上げたのが2024年の5月ごろでした。
その進捗について、また個人情報保護委員会から資料が公表されましたので、共有したいと思います。
↓
その前におさらい。
不正アクセス侵入経路は以下の通り。
(2024年3月28日に公表された個人情報保護委員会の資料(https://www.ppc.go.jp/news/press/2024/240328/)より抜粋)
↓
登場人物は以下の3社。
LY社(LINEヤフー社)、NC社(NAVER Cloud社@韓国)、
そしてA社(セキュリティ保守会社@韓国)。
最初に感染したのはA社のPC。
そこから①〜⑦の順番に攻撃されて行ったわけです。
前回に引き続き、この構図を前提に、対策を見てみましょう。
↓
前回の報告と比較して、当然ながら「完了」した項目が増えています。
一番上の項目の
「LY社が管理するシステムについて、認証基盤の分離を優先的に実施し、NAVERグ ループと認証基盤及び認証情報を共通化している状態を解消した。」
これが完了したのは大きいですね!(元々令和6年6月完了予定)
その下のシステム分離については、「予定どおり進行中」とのこと。
また、セキュリティガバナンス関係もほぼ「完了」となりましたし、
技術的安全管理措置については、追加で項目が増えて、対策を強化していることが窺えます。
次の報告は2024年12月27日とのこと。
もう1年以上も追っかけていますが、
全てが完了するまで、ユーザとしてもチェックしていきたいと思います!