サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年2月25日号 (第117号)

2013年2月15日~2013年2月21日

今回の収集期間内では、15件のサイバーセキュリティ事件事故が報道されました。内訳は以下の通りです。

情報流出・紛失が14件、その内1件は侵入・感染も確認されています。

別途、情報流出を伴わない侵入・感染も1件ありました。

今号では、メール誤送信の事案が3件発生しました。メール誤送信は送信者の宛先指定ミスなどの「誤操作」とシステムの設定不備などの「運用ミス」が大半を占めています。

「誤操作」で多いのが宛先や添付ファイルの間違いによるもので、送信前に人やシステムによって宛先や添付ファイルのダブルチェックを行うことで、誤送信のリスクを低減することができます。

メーリングリストや配信プログラムを使用する際は、運用を開始前に送受信のテストを実施することが必要です。

他に注目すべき事案は、内閣府の公文書管理委員会から政府保有公文書の保存管理状況が初めて公開されました。その中で、2011年度に181件の紛失や誤廃棄などが発生していたことが判明しました。原因は、はっきりとしていないものも多くみられ、焼失のほか、保管管理が適切に行われなかったため紛失、誤廃棄していたことが報告書に記載されています。

文書(情報)管理の必要性

内閣府の公文書管理委員会から公開された「平成23 年度における公文書等の管理等の状況について」では各省庁で某大な文書を保有していることが公開されました。省庁に限らず、企業や各種団体でも様々な文書を保有しており、文書の保有管理には紙媒体やPCやサーバ、CDやDVD、ハードディスク、USBメモリなどの様々な記憶媒体や昨今ではクラウドなどのネットワークなどと、多様化しています。

これら様々な形体で保有されている文書が紛失や外部に流出をしないよう、管理も保有状況に合わせて行わなければなりません。しかし、某大な文書の全てを管理するには膨大な労力と費用がかかります。そこで、文書を重要度ごとなど「整理・分類」をし、文書が格納されているサーバやPC、HDDなどには許可された者以外はアクセスができない、アクセスはできるが文書は閲覧しかできないなどの「制御」をし、アクセスが許可された者でも文書の改ざんや破壊、持ち出しなどが発生した場合に、迅速に原因の調査を行えるよう、操作ログの取得などの「監視」を文書の体系に合わせ対策を講じる必要があります。これらの対策は文書に限らず様々な機密情報においても同様の対策を講じ、情報紛失や流出を起さない堅牢で安全な環境構築が必要です。

MBSDでは、【セキュリティコンサルティングサービス】で体系的な文書(情報)管理体制の構築を、【セキュリティ監視サービス】で不正侵入や情報搾取を24時間365日監視し、堅牢で安全なセキュリティ環境構築の支援をいたします。また、万が一、情報の紛失や流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを一貫して支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年2月15日

サイバー事件 情報流出・紛失
某Webシステム開発会社は、同社社員が個人情報約27件(取引先の個人情報11件、自社社員の個人情報16件)を登録した業務用携帯電話を紛失したと発表した。当該社員は紛失判明後、直ちに同携帯電話の利用停止処置を実施し所轄の警察署に紛失届を提出した。

サイバー事件 情報流出・紛失
某イベント企画会社は、メール誤送信によりイベント参加者180人分のメールアドレスを流出したと発表した。宛先アドレスをー表示したまま一斉送信したもの。同社は当該対象者に謝罪し、誤送信メールの削除を依頼している。

サイバー事件 情報流出・紛失
某住宅建設会社は、地盤調査の委託先企業で発生したハードディスクの盗難事件により、顧客1343人の個人情報が被害に遭ったことを発表した。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
サイバー攻撃に対抗する技術者を養成するという某学院は、自社サイトが外部からの不正アクセスを受け、会員約1700人分の個人情報が流出し、データベースが削除されたことを明らかにした。会員にはメールアドレスリストが届き、犯人らしき人物からの犯行声明も届いたという。同社サイトの構築に用いられているスクリプトに、公開されている脆弱性修正パッチやセキュリティ修正バージョンが利用されていなかったとのこと。会員情報が保存されていたデータベースは、IPによる接続制限が行われていなかったため、IDやパスワードの不正使用で誰でも接続できる状態であったという。 同サイトは一時閉鎖し、データベースにはIP接続制限を実施。当該対象者に謝罪し、関係者とともに自力で犯人を特定するとコメントしている。

2013年2月16日

サイバー事件 情報流出・紛失
某特別区は、区が主催するワークショップ事業でメール送信設定を誤り誤送信が発生、個人情報が流出したことを公表した。イベント参加者3名のメールアドレスなど個人情報が186人のメーリングリスト登録者へ流出したもの。同区は、当該対象者に報告と謝罪を行ない、同メールの受信者に誤送信メールの削除を依頼した。

2013年2月18日

サイバー事件 情報流出・紛失
某鉄道会社は、定期券払い戻しに関する顧客個人情報5件を紛失したことを明らかにした。同社は、当該対象者に事情説明をし、委託先運送会社も含めて紛失書類の捜索をしている。

2013年2月19日

サイバー事件 情報流出・紛失
某建築関連財団法人は、メール配信プログラムの不備により、協会登録者へ送信する情報提供メールに宛先アドレスが表示されていたため、2582件のメールアドレスが流出したことを発表した。同財団法人は、当該対象者に謝罪文書を送付した。

サイバー事件 情報流出・紛失
某政令市教育委員会は、市立中学校教師が生徒142人分の個人情報を保存したUSBメモリを紛失したことを、「紛失したUSBを発見した」と同校教頭が虚偽の報告をしたことも含め、発表した。USBメモリは現在もまだ発見されず、同校は紛失届を提出した。

2013年2月21日

サイバー事件 情報流出・紛失
某信用組合で、平成18年9月にウイルス感染した業務用PCから数万件に及ぶ顧客個人情報の流出があったことが明らかになった。ウイルス感染はファイル共有ソフト「Winny」をダウンロードしたことによるものであった。個人情報保護法に基づく金融向けガイドラインに「情報漏えいは早急に公表すること」との定めがあるが、、同信用組合も監視当局も事態の公表や顧客への説明をしておらず、取材にも応じていない。

サイバー事件 侵入・感染
某市市役所内の業務用PCがウイルスに感染し、市ネットワークへの被害や個人情報の流出はなかったものの、公務に支障をきたした。調査によると、生活福祉課の職員が3ヶ月間に亘って業務に無関係なサイトをほぼ毎日閲覧し、約1万アクセスしていた中で、アダルトサイトへの接続からウイルスに感染したことが判明した。

サイバー事件 情報流出・紛失
某医科大学は、患者126人分の個人情報を保存したUSBメモリを、附属病院の医師が外出先で紛失したと発表した。USBメモリには二重のパスワードが掛けられており、現時点では当該情報の悪用は確認されていないという。同医大では、診療情報の持ち出しを原則禁止しており、やむなく持ち出す際にはデータを匿名にするよう規定されているが同医師は守っていなかった。

サイバー事件 情報流出・紛失
某大手宅配会社は、元従業員が2010年1月から2012年10月にかけて、法人顧客1社の出荷情報を、その顧客の同業他社へ不正に提供していたと発表した。不正に漏えいされた出荷情報は累計1万件にのぼるという。同社は、再発防止の為、社員教育を徹底するとしている。

サイバー事件 情報流出・紛失
某市の委託職員が、市営住宅家賃滞納者の個人情報106件が記載された名簿を紛失した。訪問徴収の外出途上で屋外に置き忘れ、気づいて取りに戻った時には既に無くなっていたという。同市は、当該対象者に謝罪と説明を行う予定。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ