いつもマネックス証券をご利用いただき、ありがとうございます。
「銘柄スカウター」に関するデータへの不正アクセスについて、開発会社より連絡を受け、その後の調査により判明した内容を以下のとおりご説明申し上げます。
なお、対象のデータにお客様を特定することが可能なデータは含まれておらず、お客様を特定する情報が外部に漏洩している事実は確認されておりません。
■事案の概要
「マネックス銘柄スカウター」、「銘柄スカウター米国株」、「銘柄スカウター中国株」の開発・管理を行う株式会社アイフィスジャパン(以下、「アイフィス社」)において、第三者(以下、「不正アクセス者」といいます。)が以下のデータ(以下、総称して「対象データ」といいます。)を保管するデータベースへ不正にアクセスを試みた事象が2024年12月16日に発生しました。
(対象データ)
・ユーザーアクセスID
・お気に入り設定(銘柄コード)
・過去閲覧履歴(銘柄コード)
・比較対象(銘柄コード)
・10年スクリーニングの設定条件
■対象データへのアクセスによる影響について
・「ユーザーアクセスID」は、お客様の識別のために当社内で口座ごとに付与している内部管理用のコードであり、口座番号やログインID等とは異なるものです。「ユーザーアクセスID」単体でお客様を特定することはできません。また、当社の提供するサービスにおいてログイン等に利用できない情報のため、不正ログイン等の被害はございません。
・その他「お気に入り設定」等の銘柄コードや「10年スクリーニング」の設定条件についても、それらを用いてお客様を特定することはできません。
■経緯及び詳細
12月18日に本件が発覚した時点では対象データへの不正アクセスがあったかどうかが不明だったため、2月13日にかけてアイフィス社において外部の専門機関によるものを含め調査・検証を実施しました。
本件は、不正アクセス者が認証情報を格納していたサーバーに対して不正にアクセスし、認証情報を窃取したうえ、これを用いて対象データを保管するデータベースへの接続を試みたものであることが判明しております。
接続を試みたことまでは確認できておりますが、対象データの参照に関する記録は残っておりません。また、対象データの不正利用や改ざん等は確認されておりません。対象データの外部流出があったことを示す証跡は無いものの、外部流出の可能性を否定できないため、お客様へご説明申し上げるものです。
■お客様への影響
・仮に不正アクセス者がお客様によって登録された12月16日時点の対象データを参照した場合でも、対象データから個人を識別・特定することは事実上不可能です。
・不正アクセス者が窃取した情報を用いてアイフィス社及び当社の他サービスへの侵害または不正アクセスを行うことはできず、本件に起因して二次被害が発生することは想定されません。
■対応措置
アイフィス社において、想定しうる他のアクセス履歴等を確認し、当該不正アクセス者以外の者による不正アクセス、及び当該不正アクセス者の他の不正アクセスがともに発生していないことを確認しています。
また、窃取された認証情報の無効化、不正アクセス者のIPアドレスからのアクセス遮断、流出が発生したシステム環境の外部からのアクセス制限、及び不正アクセス検知のための監視強化を実施済みです。
加えて、外部からの攻撃検知のさらなる改善、運用するシステム環境における認証の強化、及び外部の専門機関の継続的なセキュリティチェックについても対応を進めております。
弊社では本事案を厳粛に受け止め、委託先の管理態勢を強化し、引き続き再発防止に努めてまいります。