サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年2月4日号 (第114号)

2013年1月25日~2013年1月31日

今回の収集期間内では、11件のサイバーセキュリティ事件・事故が報道されました。その内訳は、情報流出・紛失が8件あり、改ざん・破壊、及び、侵入・感染が3件でした。

今号では、ウェブサイトの改ざん事案が3件発生しています。3事案とも現時点で、サイトは閉鎖されたままで、3月末まで復旧しないものもあるとのことです。

サイト改ざん被害を受けた場合、原因調査から復旧、再開までサイトの閉鎖が避けられません。サイトを利用して事業を行っている場合は、売上減少などに加え、風評被害などによる様々な影響も発生します。このような被害に遭わないため、事前、事後の対策が必要です。

他に注目すべき事案は、人為的ミスによって個人情報が流出した事案が2件発生しています。人為的なミスによる事案は後を絶ちませんが、人為的なミスをなくすことは難しく、発生を限りなくなくすことと、発生してしまった際の被害を最小限に留めるための様々な対策が必要です。

ウェブサイトの改ざんが増加

サイバーセキュリティ事件簿でも度々取り上げられているウェブサイトの改ざん事案ですが、独立行政法人情報処理推進機構(IPA)「コンピュータウイルス・不正アクセスの届出状況および相談受付状況[2012年年間]」によると、同機構に届け出のあった不正アクセス被害内容のうち、32%がウェブサイト改ざん被害によるものとのことです。

ウェブサイト改ざん手口の傾向は、CMS(Content Management System)やサーバ管理ツールのセキュリティ上の欠陥(いわゆる脆弱性)を悪用するものが目立ったとのことですが、被害原因の約半数が不明だったことからも、攻撃手口が巧妙化していると考えられている一方で、以前から報告されているウェブサーバにコンテンツをアップロードする端末のウイルス感染によるものが原因との報告がされています。

ウェブサイト改ざんのきっかけとなる不正侵入を防ぐため、ウェブサイトに関連するシステムの対策として、管理者ID、パスワードの管理や通信経路のアクセス制御設定を厳格に行い、セキュリティ上の欠陥(いわゆる脆弱性)を解消するなどの不正侵入を防止する対策と通信やシステムログを頻繁に確認し、不正侵入が発生した場合はいち早く発見し、被害を最小限に留める対策が必要といえますが、自社でこれらの対策を行うことは人手や費用など様々な理由で難しいのが現状です。これらの対策を効果的に実施するため、手順を簡略化、自動化できるツールや運用そのものを委託できるサービスなどがあり、これらを比較、検討し活用することもお勧めします。

MBSDでは、ウェブサイト改ざん対策には、【セキュリティ診断サービス】で改ざん攻撃の耐性と対策を、【セキュリティ監視サービス】で改ざん攻撃をリアルタイムに検知、防御し、安全なサイトの運用を支援いたします。また、改ざん対策全般の仕組み作りなどを、【セキュリティコンサルティングサービス】で支援いたします。

万が一、改ざん被害が発生した際には【情報漏えい調査サービス】で事故対策をトータルに支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年1月25日

サイバー事件 改ざん・破壊
某独立行政法人は、外部からの不正アクセスによる攻撃を受け、ウェブサイトの一部が改ざんされたことを発表し、当該ウェブサイトを閉鎖した。 同法人によると、当該ウェブサイトは農林水産省からの受託研究の成果を公開することを目的としており、個人情報や機密情報の漏えいは確認されていないが、今回の原因究明を進めるとしている。

2013年1月26日

サイバー事件 改ざん・破壊
某県立博物館は、外部からの不正アクセスによる攻撃を受け、ウェブサイトの改ざん被害に遭ったと発表した。 県の発表によると、開示用ウェブサイトに不正な文字が表示され、公開用データベースのデータにも改ざんが行われていたが、個人情報漏えいなどの被害は無いという。 県が、ウェブサイトの制作業者に調査を依頼し確認したところ、改ざんは国外から行われており、閲覧者の海外サイトへの誘導を試行した痕跡があった。

2013年1月28日

サイバー事件 情報流出・紛失
某不動産会社は、167人分のメールアドレスを流出させたと発表した。 同社の発表によると、賃貸物件を案内する電子メールを顧客に送る際に、担当者が誤って送信先アドレスを表示したまま、全員に送信してしまったとのこと。同社は、誤送信の判明後、対象の顧客に謝罪、誤送したメールの削除を依頼した。

2013年1月29日

サイバー事件 情報流出・紛失
某政令市は、某市立中学校教師が、生徒及び教師288人分の個人情報等が記載された資料を校外で紛失したと発表した。同校は、生徒と父兄に事情説明と謝罪を行う予定。

2013年1月30日

サイバー事件 情報流出・紛失
某オンラインサービス提供会社は、同社サービスを利用する顧客のファイルが外部から閲覧可能な状態であったと発表した。発表によると、プログラムの不備により削除されなかった25件のCSVファイルがサーバの公開領域に保存され、1760件の個人情報が閲覧可能であったが、8件のアクセスが確認されているとのこと。同社は、ファイルの削除を実施しサービスを停止。ログを分析してアクセス状況を確認、ファイルの所有者へ個別に連絡する予定としている。

サイバー事件 情報流出・紛失
某県警察本部地域課は、県内中駐在所の警察官が、住民の個人情報が記載された「案内簿」を一時紛失したと発表した。案内簿には、約130世帯分の個人情報が記載されていた。駐在所付近の住民から拾得の届出があり、案内簿を回収した。

サイバー事件 情報流出・紛失
某地方出先機関は、個人情報を含む公文書を紛失したと発表した。不要書類に紛れ、誤って廃棄した可能性が高いとしている。同機関は、該当者に事情説明と謝罪を行った。

サイバー事件 情報流出・紛失
某政令市は、就労相談者79人分の個人情報が記載されたリストを紛失、未だ発見に至っていないと発表した。市は、該当する相談者に事情説明と謝罪を行っている。なお、当事案において、情報漏えいの二次被害の報告は上がっていない。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某県は、県庁ウェブサイトへのサイバー攻撃を受け、県内各所の雨量水位観測情報システムのサイトが閲覧出来ない状態になっている。外部からの不正アクセスによりデータベースが改ざんされたことが原因。県は、当該サイトを閉鎖し、対策本部を設置。県警察本部と対応を協議している。

2013年1月31日

サイバー事件 情報流出・紛失
某自動車製造会社は、販売代理店から832件の個人情報を含む顧客情報がインターネット上に漏えいしたと発表した。発表によると、代理店の担当者が、顧客情報を誤ってサイトの公開領域に保存していまい、ネットで検索可能な状態になってしまったとのこと。現在は修正されており、情報の不正利用は確認されていない。各代理店が、対象顧客に謝罪と説明を行う予定。

サイバー事件 情報流出・紛失
某県は、職員が電子メールの操作を誤り、県民1066人分の個人情報を流出させたと発表した。発表によると、当該職員は、誤って個人情報が記載されたファイルを電子メールに添付し、240人に送信したとのこと。メールの受信者のからの指摘で誤送信が発覚した。同県では、個人のPCにデータを保存することは禁止されているが、職員はバックアップのため保存していた。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ