不正アクセスによりマーケ支援「ferret One」などから約40万件の顧客情報流出か

ferret」や「ferret One」などのマーケティング支援ツールを提供するベーシックは12月20日、同社が利用するクラウドサービス「AWS」に対して不正アクセスがあり、第三者に顧客登録情報など計40万件ほどが流出した可能性があると発表した。

流出した可能性がある情報の詳細は以下の通り。

ベーシックはferretやferret OneなどのWebマーケティング支援サービスを提供する企業。同社については、Webページ作成サービスの「OnePage」のリリース時簡易CRM付きフォーム作成ツールの「formrun」の買収時などにTechCrunch Japanでも紹介してきた。

ベーシックが利用するAWSへ不正アクセスがあったのは2018年9月26日のこと。同社は当該クラウドにバックアップ用の顧客情報が入ったファイルを格納しており、不正アクセスをした第三者がそれを閲覧できる状況にあった。

一方、ベーシックが不正アクセスを検知したのは2018年12月6日のことだ。同社はクラウドサービス内に不正なサーバーが構築されているのを確認。それを受けて調査をおこなったところ、9月に不正アクセスがあったことが分かった。この不正サーバーにはEthereumのマイニング用とみられるプログラムが構築されており、IPアドレスの調査から不正アクセス元は海外からであることは確認済みだという。

ベーシックは不正アクセスが発覚した2018年12月6日に、不正アクセスの原因となった認証キーを無効化。12月7日には警視庁に連絡し、第三者の調査機関への手配を開始したという。ベーシックはこの件を受けて、「原因等に関しては引き続き調査を行い、詳細が判明次第公表する予定です。弊社では、このたびの不正アクセスによる事態を厳粛に受け止め、セキュリティ管理体制の構築やセキュリティに関する従業員教育の徹底など、再発防止の対策を速やかに講じてまいります」とプレスリリースの中でコメントしている。

9月の不正アクセスから12月のサーバー構築までの間に不正アクセスの形跡があったかにどうかについて、ベーシックは「発覚後に、当該APIキーでログを確認することによりアクセスがあったことは確認しております。問題のAmazon S3バケットに関してはバケットにアクセスした痕跡は確認できましたが、オブジェクトにアクセスしたという事実は確認できていません」とTechCrunch Japanの取材で回答した。

また、9月の不正アクセスから発覚まで約3ヶ月間を要した原因については、「S3の監視体制、アクセスキーのポリシー設定に問題があったと考えております。どちらも、設定を強化して再発防止に努めております」としている。