[DIARY] ARRLのシステムはかなり深刻な状況のようですね

公開日 2024年5月18日　最終更新日 2024年5月18日 by JE2UFF_Toshi

おはようございます。今日も天気が良い朝になりました。風も無く清々しい朝ですね。予報では日中は29度まで上昇する予報です。どうなることやら。

さて、数日前からダウンしているLoTWサーバーですが、16日にはARRLのHPで以下の報告がなされました。

We are in the process of responding to a serious incident involving access to our network and headquarters-based systems. Several services, such as Logbook of The World® and the ARRL Learning Center, are affected. Please know that restoring access is our highest priority, and we are expeditiously working with outside industry experts to address the issue. We appreciate your patience.

簡単に言えば、LoTWを含めたARRLの本社サーバーに不正アクセスを受けたインシデントが発生したとのこと。

当然、会員からはデータベースへの不正アクセスですから、個人情報の流出が懸念されるために沢山の問合せがARRLにだされているようです。

その回答として、昨日には追加として以下のコメントが発表されました。

Some members have asked whether their personal information has been compromised in some way. ARRL does not store credit card information anywhere on our systems, and we do not collect social security numbers. Our member database only contains publicly available information like name, address, and call sign along with ARRL specific data like email preferences and membership dates.

ARRLはARRLののデータベースには、ARRLのに登録するための名前、住所、コールサインなどの公開情報と、メール設定や会員登録日などであり、クレジットカード番号や社会保障番号などは保管されていないとのこと。

確かに、DXCC等を申請したときにクレジットカード番号を入れますが、このクレジット番号を保存すると言うチェックも無いし、レスポンスも返ってきませんので、都度入力して都度クレジット会社との間で通信をしているだけのようです。

外部の専門機関と協力して対応を急いでいるようですが、アクシデントではなくインシデントと表記しているので、不正アクセスはあったが情報は流出していないのではないかと推測されます。

しかし、不正アクセスをさせてしまったと言う事は、セキュリティホールがあったと言う事になりますので、この部分を現状把握、要因解析、対応策を外部業者と行っているのでは無いかと思われます。

復旧したら、みんな一気にUploadするので、それはそれでまたトラブルの原因になりそうですね。