[インシデント]株式会社葵

■株式会社葵
[企業情報]
業種:サービス業(インターネット学習塾の経営、中学生・高校生を対象とする進学塾の運営、eラーニングシステム・アプリの開発)
資本金:1億6900万円
従業員数:39人
企業URL http://corporate.aoi-zemi.com/

[インシデント発生日]
2018年6月27日

[インシデント概要]
同社が利用するスペインTypeform社が運営するアンケートシステムが不正アクセスを受け、「スマホ学習塾 アオイゼミ」で実施したアンケートの一部回答(具体的には2017年5月8日から2018年3月9日にかけて回答されたのべ5461件のデータ)が外部に流出。流出データにはユーザーID、デバイス情報などのほか、141件のレコードに生徒や保護者の氏名、電話番号、メールアドレスなど131人分の情報が含まれていた。

[規模]
141 件

[原因]
Typeform社による不正アクセスの検知(根本原因は不明)

[プレスリリース]
お客様情報の流出に関するお詫びとお知らせ
(参考)Typeform社の声明

[コメント]
SaaSって、セキュリティ面も含めてサービスを担保してもらっているのに、サイバー攻撃を受けて情報漏洩されてしまっては、SaaSの価値がなくなってしまう気がする。
SaaSベンダーのセキュリティ事故が多発するようであれば、企業はクラウドからオンプレに逆流する流れをとるであろう。SaaSベンダーには特に真剣にセキュリティ対策に取り組んでもらいたい。
株式会社葵は今回完全な被害者になると想定されるが、今後の対策としては、このようなセキュリティ事故を起こしたSaaSはやめ、別のもっとセキュリティ対策がしっかりされたSaaSベンダーに乗り換えるべきであろう。