サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年4月8日号 (第123号)

2013年3月29日~2013年4月4日

今回の収集期間内では、13件のサイバーセキュリティ事件事故が報道されました。内訳は以下の通りです。

侵入感染が2件、情報流出・紛失が11件でした。

今号では、大手ポータルサイトに対する不正アクセス事案が2件、報告されました。

1件は約10万アカウントに対して機械的な不正アクセスが行われ、うち3万アカウントに対して不正なログインが行われたとのことです。運営会社は不正なログインが行われたアカウントに対してログインをロックし、ユーザにパスワードの再設定を依頼しました。もう1件はユーザ名やパスワードの再設定に必要な情報の一部を抽出する不正プログラムが作動していることを発見し、プログラムを強制停止させると同時に不正アクセスの遮断を実施したとのことです。不正プログラムを強制停止した時点で、約127万件のデータが抽出されていたとのことですが、情報が外部に流出した形跡はないとのことで、運営会社は詳細な原因調査と再発防止に取り組むとのことです。どちらの事案も運営会社は不正行為を検知し対策するための監視を実施していたため、不正行為を早期に発見し、対策を講じることが出来たと言えます。不正にアクセス、情報抽出された件数は膨大ですが、監視を実施していてもわずかな時間でこれだけの件数を対象に不正行為を行うことができるという事実が明らかになったと言え、ポータルサイトに限らず、多くのユーザを所有する事業者は常時監視や不正行為が発生した際の対策手順の準備は必須と言えます。

他に注目すべき事案は医療機関での情報紛失事案が発生しました。個人情報保護法の成立時、国会では「特にその適正な取扱いの厳格な実施を確保する必要がある個人情報については、保護のための格別の措置が講じられるよう必要な法制上の措置その他の措置を講ずるものとする」と附帯決議がされており、厚生労働省からは「医療情報システムの安全管理に関するガイドライン」を公開し、医療関係における情報の取り扱いなどのセキュリティ対策について推奨される対策が記載されています。医療機関の責任者や情報システム担当者、システム導入に関わる事業者などは医療関係特有の情報やシステムを理解し、対策を講じる必要があると言えます。

ID、パスワード管理の基本

冒頭でも取り上げましたが、膨大な件数のID、パスワードやメールアドレスなどのアカウント情報を狙った事案が発生しました。不正アクセスによって氏名や生年月日といった個人情報の流出被害だけでなく、クレジットカード情報などの流出によって金銭被害が発生する可能性もあります。また、他のサービス(サイト)でも同じID、パスワードを利用していた場合、搾取されたアカウント情報を利用し、他のサービス(サイト)に以下のような攻撃を行われる危険性があります。

  • 搾取されたアカウント情報を使用して、他者をウイルス感染させるようなサイトへ誘導する
  • 搾取されたアカウント所有者になりすまし、事業者へ問い合わせなどと装ったウイルスを添付したメールを送付する
  • アカウントが搾取された事業者になりすまし、ユーザへアカウント情報変更依頼と称してフィッシングサイトに誘導する

このような被害を防ぐために、ユーザ、事業者は以下の対策を行うことをお勧めします。

ユーザの対策

  • 複数のサービス(サイト)で同じID、パスワードは使わない
  • パスワードは8文字以上、英数文字混在で誕生日や電話番号などは使用しない
  • パスワードは定期的に変更する
  • IDやパスワードをメモしない、やむを得ずメモする場合は人目につかないところに保管する
  • IDやパスワード、個人情報やクレジットカード番号などを入力するよう促す連絡があった場合は容易に入力しない

事業者の対策

  • 2要素認証などを利用した認証の強化
  • ログイン元IPアドレスを限定し、限定したIPアドレス以外からのログインは認証要素を追加
  • ユーザの異常行動を検知する仕組みの導入
  • ユーザへのセキュリティ啓蒙
  • ID盗難など情報を収集

MBSDでは【セキュリティコンサルティングサービス】で個人情報など機密情報運用管理の仕組み作りや運用までを、【セキュリティ監視サービス】で不正アクセスをいち早く発見し被害を最小限に食い止め、不正侵入や情報搾取被害が発生した場合は原因調査から再発防止策を【情報漏えい調査サービス】でトータルに支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年3月29日

サイバー事件 情報流出・紛失
某市は、身体障害者手帳の交付に関する文書2通を紛失したと発表した。市によると、文書には申請者の氏名、住所、障害内容等の個人情報が記載されていた。市は、申請者2名に経緯を説明、謝罪した。

サイバー事件 情報流出・紛失
某市は、業務委託した医療機関が、乳児と保護者80人分の個人情報を含む書類を紛失したと発表した。市によると、紛失したのは「予防接種実施申込書」111枚(67人分)と「乳児一般健康診査受診票」13枚(13人分)で、書類には氏名、性別、生年月日、住所、電話番号、健診結果などが記載されていた。申込書と受診票は、ファイルに入れて所定の棚に保管していたが、2月26日に紛失が判明したしたという。当該医療機関は、関係者に事情説明と謝罪を行った。

2013年3月29日

サイバー事件 情報流出・紛失
某生活共同組合は、配送担当者が組合員60人分の個人情報が保存された業務用携帯電話を紛失したと発表した。担当者が配送作業中に紛失したもので、組合員コード、組合員名、電話番号などが保存されていた。組合は、当該携帯電話の利用停止措置を実施、警察へ紛失届を提出しているが、発見に至っていない。なお、関係者には事情説明と謝罪を行っている。

2013年4月1日

サイバー事件 情報流出・紛失
某県は、県立病院付属看護専門学校教員が、学生39人分の成績一覧表を紛失したと発表した。一覧表には、学生の氏名と学籍番号、成績が記載されていた。試験の答案を破棄した際に一緒に誤廃棄した可能性が高いという。同校は、学生と保護者に文書で事情説明と謝罪を行った。

2013年4月2日

サイバー事件 情報流出・紛失
某市は、市立保育園保育士が園児115人分の個人情報が記載された名簿を紛失したと発表した。保育士は3月30日、帰宅途上に立ち寄ったトイレで園児の名簿が入った鞄を置き忘れたという。保育士は、園児の個人情報の持ち出しに必要な保育所長の許可を得ていなかった。

サイバー事件 情報流出・紛失
某県警察署は、警察官が5枚の交通違反者の個人情報が記載された交通反則告知書を紛失したと発表した。紛失した交通反則告知書には氏名、住所、連絡先が記入されていた。同署は、該当者に連絡、謝罪した。

2013年4月3日

サイバー事件 情報流出・紛失
某市は、区役所職員が住民69人分の個人情報を不正に閲覧したとして職員を停職3ヶ月の懲戒処分としたと発表した。市によると、当該職員は共用端末を使用して、住民69人の個人情報130件を業務目的外で閲覧していた。知人や親類からの相談に応じたのがきっかけで、市への公益通報制度で発覚した。

サイバー事件 侵入・感染
某ポータルサイト運営会社は、不正アクセスを受けたと発表した。同社によると、4月2日午前、特定のIPアドレスから秒間30件以上の機械的なログインを検知したため調査したところ、約3万アカウントに対するアクセスを確認した。対策として対象のアカウントをロックし所有者にパスワードの変更を依頼した。なお、クレジットカードなど信用情報の流出や不正利用は確認されていないという。 なお、不正アクセスは継続している。

2013年4月4日

サイバー事件 情報流出・紛失
某県は、子育て応援事業においてメールを誤送信し、会員2人分の個人情報を流出させたと発表した。県によると、システムリニューアルの際に当該会員のメールアドレスを誤って別人で登録してしまったという。誤送信されたメールには会員の氏名や住所が記載されており、受信した会員からの連絡があり判明した。

サイバー事件 情報流出・紛失
某議員は、異業種交流会の案内メールを誤送信、160人分のメールアドレスを漏えいさせたと発表した。同事務所によると、秘書がメールアドレスをbccでなく宛先に設定して送信したため、メールアドレスが受信者間で確認できる状態となっており、受信者から指摘があり、誤送信が判明した。当該議員の事務所は、該当者全員に謝罪、誤送信したメールの削除を依頼した。

サイバー事件 侵入・感染
某ポータルサイト運営会社は、不正アクセスを検知したと発表した。同社の発表によると、4月2日午後9時、登録メールアドレス、パスワードの再設定に必要な情報の一部、約127万件を外部に持ち出そうとした不正プログラム発見、直ちに強制終了させた。外部への情報流出はなかったとしている。同社は、サーバへのアクセス可能なIDとパスワードが不正に使用されており、原因を調査中としている。

サイバー事件 情報流出・紛失
某市教育委員会は、市立小学校の教師が、昨年度5年生だった児童37人分の個人情報が記載された書類を紛失したと発表した。市教委によると、書類には、児童の病歴や家族構成等が記載されていた。教師は今年1月に紛失に気付いたが学校に報告をせず、4月1日付けで異動していた。

サイバー事件 情報流出・紛失
某医科大学病院は、同病院の検診センターにおいて、健康診断受診者86人分の個人情報が保存されたノートPCを紛失したと発表した。病院によると、紛失したPCには、受診者の86名の氏名と年齢、性別などの個人情報が保存されており、3月21日に出勤した職員が検針センター受付に置かれていたPC2台の内1台が無くなっていることに気が付いた。病院では、盗難の可能性が高いとして警察へ盗難届を提出、関係省庁へ報告した。PCを紛失した20日は、センターの内装工事のため施錠されていなかったという。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ