サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年1月15日号 (第111号)

2013年1月4日~2013年1月10日

今回の収集期間内では、10件のサイバーセキュリティ事件事故が報道されました。内訳は以下の通りです。
  ・情報流出・紛失が8件と、侵入・感染が2件(その内1件は改ざんあり)でした。

今号ではHP上での個人情報取扱いが関係する事案が発生しています。

改ざんの事案は、外部からの不正侵入による個人情報の改ざん事案で、不正侵入対策を中心としたセキュリティ対策の確認と強化が必要と言えます。情報流出の事案は、本来閲覧できない情報が閲覧できる状態になっていたというもので、HPの開発中や公開前に不備がないかの確認を十分に行うことが求められます。

どちらの事案も攻撃によって被害を受ける可能性や設計・設定不備によって情報が流出するリスクを最小限にするための常時監視や定期診断が必須と言えます。また、不測の事態が発生した際にいち早く原因を把握し対策を講じることで、被害を最小限に留める準備が必要です。

他に注目すべき事案として、誤送信による顧客情報の流出事案が発生しています。

顧客情報を外部へ送付する場合は、メールやFAX・紙媒体など発送手段ごとに誤送信を防ぐための仕組みが必要であると言えます。FAXや紙媒体など、情報が直接記載された媒体送付への対策は特に厳重であることが求められ、またメールなど電子媒体の場合には、万が一、流出や紛失が発生した際にデータが簡単に読まれないようにパスワードの設定や暗号化しておくことなどが必要です。

個人情報関連事故の傾向と対策

一般財団法人日本情報経済社会推進協議会(JIPDEC)が公開した「個人情報の取り扱いにおける事故報告にみる傾向と注意点(平成23年度)」によると、平成23年度中にJIPDECおよび指定審査機関(18機関)にあったプライバシーマーク取得事業者で発生した事故の原因として「紛失」(26.7%)が最も多くなっていますが、「誤送付」については媒体ごとに分類・集計されているためこれを合計すると56.4%と半数にも上ります。中でもメールの誤送信は19.9%と突出しており、宛先のアドレス選択や添付ファイルの選択ミスなど、いずれも送信前のチェックで防止できる原因であると言えます。

定常的に個人情報の送付が発生する場合は、人的なチェックの他に、誤送信を防止する機能を持ったシステムの導入などの対策も必要と言えます。

また、本報告書ではネットワークシステムやIT機器操作における事故に関する報告も目立っているとされています。非公開情報が公開されてしまったり、不正行為による情報の持ち出しや改ざんがなされるなどの事例が報告されており、これらの事例では被害対象の規模も大きく、報道されるケースが多いとのことです。これらの多くはプログラムの不具合や検証の見落とし、システムの誤操作などによって発生しており、システムリリース前のチェックを第三者に依頼するなど効果的な事前確認、過去の事故発生原因を参考にした確認の手順や体制作りが必要と言えます。


MBSDでは、HPへの不正なアクセスによる改ざんなどの攻撃を24時間365日監視し、異常が検知された場合に通知する対策を【セキュリティ監視サービス】で、開発中や公開前のHPに脆弱性や不備などがないかのチェックを【セキュリティ診断サービス】で、不測の事態が発生した際は原因の特定と事後対策を【情報漏えい調査サービス】で、各要件に合わせてサイバー攻撃や情報漏えいへの対策を支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年1月7日

サイバー事件 情報流出・紛失
某市で発生した連続殺人事件に関して、捜査機関が全国の医師会に照会した行方不明者情報が、一時的にネット上に流出したことが明らかになった。2012年9月、外部から警察本部に連絡があり、当該捜査情報がネット上に流出していることが発覚したもの。 某県医師会は、警察本部から行方不明者の受診履歴照会要請を受け、会員の協力を得るため会員に限りアクセス出来るパスワードを設定して行方不明者情報をホームページに掲載したが、実際には検索サイトを経由すれば誰でも当該情報を閲覧可能な状態となっていた。

サイバー事件 情報流出・紛失
某国立大学は、副学長が出張中の路上において鞄を盗まれた際に、学生と卒業生96人分の個人情報が保存されたPCとUSBメモリを紛失したと発表した。同大学は、該当者に文書で謝罪と経緯の説明を行った。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某飲料品会社は、自社のホームページに不正アクセスがあり、ネット会員の個人情報47万件が改ざんされたと発表した。同社の発表によると、ネット会員から顧客向けサイトにアクセス出来ないとの連絡があり調査したところ、データが書き換えられていることが発覚した。情報セキュリティ専門機関などが調査した結果、不正アクセスの痕跡が見つかった。外部への情報流出は確認されていないという。同社は、当該をサイト閉鎖した。

サイバー事件 情報流出・紛失
某調理器具販売会社は、233件の顧客情報を流出させたと発表した。同社の発表によると、同社従業員が案内状を添付し顧客に送信しようとしたが、誤って顧客233人の個人情報を添付し送信してしまったもの。同社は、対象の顧客に謝罪し当該メールの削除依頼をした。

2013年1月8日

サイバー事件 情報流出・紛失
某通信事業会社は、同社地方支店の業務委託先従業員が相手先を誤ってFAX送信し、顧客情報430件を外部に流出させたと発表した。同社は、当該書類を既に回収しており、不正利用はないとしている。

サイバー事件 情報流出・紛失
某電子測定器製造販売会社は、同社従業員が顧客80人分の個人情報が保存されたUSBメモリを紛失したと発表した。同社によると、紛失したUSBメモリはセキュリティ機能が内蔵され、パスワードで保護されており、第三者が閲覧することは困難という。同社は、警察へ届出し、事実関係を自社ホームページへ公表。取引先への、個別連絡などの対応を行っている。

2013年1月9日

サイバー事件 情報流出・紛失
某政令市は、市内養護学校の『学籍に関する児童生徒指導要録』とする個人情報が掲載された文書5年間分が所在不明になっていると発表した。市教委は誤廃棄した可能性が高いとしており、今後の再発防止に取り組むとしている。

サイバー事件 侵入・感染
某メガバンクで同行を騙るフィッシングメールが出回っていることが発覚し、フィッシング対策協議会とともに注意喚起を行った。発信されたフィッシングメールは不自然な日本語で記述され、同行のインターネットバンキングから偽サイトに誘導してパスワードなどを入力させる手口であるという。同行には、300件以上の問い合わせがあり、その内2件は実際にカード情報が入力されたが、不正使用の被害は確認されていない。

サイバー事件 情報流出・紛失
某ITサービス事業会社は、自社運営及び運営受託を受けているインターネットショップにおいて、最大6556人分の顧客情報が一時的にネット上で閲覧可能な状態であったことを公表した。情報流出の二次被害は確認されていない。 同社顧客からの指摘があり、事態が発覚したもの。同社は直ちにデータを削除、対策本部を設置し原因究明と再発防止を進めている。現時点では、同社が委託している商品発送管理システムの脆弱性が原因としている。

2013年1月10日

サイバー事件 情報流出・紛失
某政令市では、市内中学校に勤務する教諭が、生徒の成績情報等の個人情報が保存されたUSBメモリを、同教諭が指導している部活動の遠征先で紛失したと発表した。当該中学校は臨時保護者会を開催し、事故の経緯や今後の対応について説明した。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ