サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年4月15日号 (第124号)

2013年4月5日~2013年4月11日

今回の収集期間内では、16件のサイバーセキュリティ事件事故が報道されました。内訳は以下の通りです。

侵入感染を伴う改ざん・破壊が3件、侵入・感染を伴う情報流出・紛失が4件、情報流出・紛失が9件でした。

今号では、前号の大手ポータルサイトヘの不正アクセスと類似した事案が、3件報告されました。

1件は外部からアカウントへの総当たり攻撃と思われる大量の不正アクセスを検知し、高い頻度でユーザーIDとパスワードを的中させていることから、アカウントの情報源があると見ています。

他の2件はアカウント情報が不正にアクセスされ、対象アカウントのユーザーにIDやパスワードの再設定を行うように依頼しています。

攻撃対象となった事業者はいずれも早い段階で事態を公表し、対象アカウントをロックし、パスワード再設定の依頼を行ないました。また、状況や対応などの詳細情報を逐一公表し、ユーザーに注意喚起を行っています。事業者は自社被害だけでなく、ユーザーが被害の被害を防止するためにも、迅速な対策が必要です。

他に注目すべき事案は、スマートフォンの電話帳から情報を搾取することを目的したアプリをメールで配信した容疑で家宅捜索を受けました。スマートフォンはインターネットに常時接続されたPCと同等と考えるべきであり、事業者がセキュリティ対策を行っていた既存の携帯電話の環境と比べ、セキュリティリスクが高いことが理解されておらず、また、急速な普及にセキュリティ対策が追いついておらず、個人情報保護に関する問題は大きくなっていくと懸念されています。

今後は通信事業者、端末メーカー、サービス事業者、コンテンツプロバイダや専門家を中心に具体的な対策を進め、ユーザーが安心して利用できる仕組みづくりを進めていくことが必要です。

強固なパスワードが必要な理由

ポータルサイトや会員制ウェブサイトに対してID、パスワードを見破り、不正にアクセスする事案が急増していますが、攻撃されたポータルサイトや会員制ウェブサイトにはインターネットユーザーのほとんどが1つないしは複数ユーザー登録をしていると言っても過言ではないでしょう。攻撃もIDやパスワードを利用可能な文字の組み合わせを全て試す「総当たり攻撃」だったものが、今号では、他のサイトから搾取した情報を参考にしたと思われる攻撃事案が発生しています。

前号で「パスワードは8文字以上、英数文字混在で誕生日や電話番号などは使用しない」「複数のサービス(サイト)で同じID、パスワード表は使わない」ことが有効な対策と紹介しましたが、メールやSNS、ネットショッピングなど、複数のサービス(サイト)を利用している中、複雑かつ異なるパスワードを管理するのは現実的には難しいと言えます。

しかし、パスワードの解析にかかる時間は技術の進歩とともに短縮されており、情報処理推進機構によると、パスワードに使用できる文字数と入力桁数によるパスワードの最大解読時間について以下のような情報が公開されています。

出典:情報処理推進機構(http://www.ipa.go.jp/security/txt/2008/10outline.html

また、他の公開情報によると、数字のみの組み合わせの場合は4桁で2.5ミリ秒、8桁でも4.1分という結果が出ています。

それらのことから、複雑かつ異なるパスワードを管理することは現実的に難しくとも必要な対策ですが、人手で管理するには限界があり、パスワード管理ソフト、ICカードや指紋などの生体認証などのシステムを利用することで、管理負荷が軽減できます。パスワード管理ソフトは無償のものもあり、個人ユーザーでも手軽に利用できるものがソフトウェア公開サイトなどから入手できますので、活用されることをお勧めします。


MBSDでは【セキュリティコンサルティングサービス】で個人情報など機密情報運用管理の仕組み作りや運用までを、【セキュリティ監視サービス】で不正アクセスをいち早く発見し被害を最小限に食い止め、不正侵入や情報搾取被害が発生した場合は原因調査から再発防止策を【情報漏えい調査サービス】でトータルに支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年4月5日

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某電気通信会社は、運営するインターネット・サービス・プロバイダーの会員サイトに対する不正アクセスがあったと発表した。同社によると、特定のIPアドレスから断続的に約2万件のアクセスを検知したため遮断し、調査を行ったところ不正ログインが行われた痕跡を発見した。会員の30アカウントが不正にログインされ、保有ポイントが無断で参照された恐れがあるという。同社は、不正にログインされた対象のアカウントをロックし、全ユーザーのログインを暫定的に規制する処置を取った。なお、連絡先など個人情報の流出は確認されていないという。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某市議会議員のウェブサイトが改ざんされていたことが明らかになった。市議によると、ウェブサイトが改ざんされたのは1月25日で、内容の一部が書き換えられていたという。現在、警察は不正アクセス禁止法違反等の容疑で捜査をしている。

サイバー事件 情報流出・紛失
某市教育委員会は、市内中学校の新入生266人分の健康診断票原簿と児童指導要録写しを紛失したと発表した。同中学校教諭が、原簿と要録写しを誤って焼却廃棄したという。市教委は、生徒の個人情報が外部に漏えいした可能性はないとしている。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某動物園は、ウェブサイトが改ざんされたと発表した。同動物園によると、改ざんされた期間は3月25日から同31日までで、当該ウェブサイトを閲覧すると、ウイルスに感染、クレジットカード番号の入力を促すサイトに誘導されたという。同園職員がウェブサイトを更新しようとして不審なファイルを発見して発覚したもの。現在は、不審なファイルを除外しサイトは復旧しているという。動物園は、3月31日まで改ざんの事実を公表していらず、危機意識が足りなかったと釈明した。また、当該ウェブサイトの閲覧者に、ウイルス対策ソフトウェアによる対策を呼び掛けている。

2013年4月6日

サイバー事件 情報流出・紛失
某県出納局会計指導課は、県立高校の非常勤講師10人分の個人情報が記載された書類が所在不明になっていると発表した。所在不明になっているのは、同校非常勤講師10人分の報酬等に関する会計書類で、会計事務指導の検査の際に発覚した。県は、他の種類に混在していると見ており、外部へ流出した可能性はないとしている。なお、非常勤講師に謝罪した。

2013年4月8日

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某大手レンタルビデオチェーン会社は、会員向けポイント管理サイトでなりすましによる不正ログインが発生し、利用ポイントが不正利用されたと発表した。同社によると、会員から記憶に無い利用履歴があると指摘があり当該サイトを停止、セキュリティ専門会社と調査したところ、不正ログインが判明した。不正に利用されたのは、299アカウントで、ポイントギフトが利用されていた。なお、外部からの侵入及びID、パスワードの漏えいは確認されていないとしている。同社は、不正にログインされた会員に個別にパスワード変更を依頼している。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某電子書籍販売会社は、同社が運営するウェブサイトが外部から不正アクセスされたと発表した。同社によると、4月5日、複数のIPアドレスから総当たり攻撃とみられる大量のアクセスを検知した。ログインIDとパスワードを高い頻度で的中させていることから、社外にアカウントの情報源がある可能性があり、約720アカウントが不正ログインされた恐れがあり、初期化した。 不正ログインの恐れがある約720アカウントのうち、549アカウントが会員情報ページにアクセスされ、46アカウントは決済代行会社への遷移が確認された。また、某オンライン銀行では、30アカウントで口座番号が表示されたという。 同社では、対策として同一IPアドレスからの連続アクセスの制限、攻撃元と想定されるIPアドレスのブロック等の処置を取った。なお、不正ログインの恐れがあるアカウントの利用者には、パスワードの再設定を依頼するメールを送付した。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某政令市は、市が関連するイベントのウェブサイトが不正アクセスされ、一時的に閲覧不可能になったと発表した。市によると、7日夜に市民から電子メールで連絡があり、ウェブサイトの改ざんが判明したという。翌日、ウェブサイト制作会社に復旧させた。なお、閲覧者のPCがウイルスに感染した報告は無いという。

2013年4月9日

サイバー事件 情報流出・紛失
某県警察本部は、クレジットカード会社らか照会された書類を誤送信したと発表した。発表によると、捜査のためにクレジットカード会社に照会した回答を宛先を誤ってファクス送信したという。誤送信ファクスを受信した当該家庭から連絡があり判明した。なお、コード番号は記載されておらず、書類は回収した。

サイバー事件 情報流出・紛失
某政令市病院機構は、委託業者が個人情報を含む5500件のデータを無断でPCに複写、院外に持ち出し盗難被害に遭ったと発表した。病院によると、PCには、取引先の住所、口座番号などが保存されていた。なお、同PCのシステムへのアクセスにはIDとパスワードが必要で、外部にデータが漏えいした恐れは低いとしている。

サイバー事件 情報流出・紛失
某町は、水道事業を委託した企業の社員が330人分の個人情報が保存されたノートPCが盗難被害に遭ったと発表した。発表によると同ノートPCには、過去10年分の町の取引先業者に関する個人情報が保存されていた可能性があり、当該社員は、水道事業の会計システム更新のため、町から関連データを受領し同PCで作業をしていたが、帰宅途上で立ち寄った飲食店で盗難被害に遭った。受託企業では、PCに取り込んだデータはサーバに保存後に削除する規定だが、当該社員の記憶が曖昧だという。データには、取引先業者330件の個人名、法人名、口座番号などが含まれているという。町は、町長名で全業者に謝罪の文書を送付した。

サイバー事件 情報流出・紛失
某独立行政法人は、職員がメールを誤送信し、57人分のメールアドレスを流出させたと発表した。当該法人によると、職員がボランティアの登録更新案内のメールを再送信したところ、送信先のメールアドレスを宛先に設定し送信した。受診者からの指摘で発覚、対象者に謝罪するとともに、当該メールの削除を依頼した。

サイバー事件 情報流出・紛失
某政令市は、市立中学校の臨時任用職員が生徒の個人情報230人分を外部に漏えいさせたことを明らかにした。市によると、当該臨時職員は生徒230人のクラス編成案や成績一覧等が記載された資料を持ち出し、一部の生徒に閲覧させていたが、その生徒の1人がスマートフォンで撮影し、18人がデータをコピー、それを他の16人が閲覧し、計36人に拡散した。匿名の通報で発覚した。市教委は、生徒宅を訪問し、謝罪する。なお、当該臨時職員は別の中学校に赴任予定だったが辞任した。

2013年4月10日

サイバー事件 情報流出・紛失
某県は、県立養護学校において、児童生徒の個人情報が記載された書類12枚を取り違えて配布したと発表した。取り違えた書類は、「健康連絡表」と「健康調査票」の二種で、緊急連絡先や既往症などが記入されていた。高等部の生徒の保護者から指摘があり、書類取り違いが判明した。同校は、校長らが保護者宅を訪問して謝罪する予定としている。なお、書類は9日までに全て回収した。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某県警察本部は、不正電磁的記録(ウイルス)保管容疑で、都内IT関連会社と関係先を家宅捜索した。同IT関連会社は、不特定多数にウイルス検索アプリを無償提供すると称したメールを送信、スマートフォンの電話帳から個人情報を抜き出すウイルスに感染させていた。

サイバー事件 情報流出・紛失
某道路会社は、電子メールの誤送信により9200名分のメールアドレスを流出させたと発表した。発表によると、同社の情報サービスに登録した利用者にキャンペーン案内メールを送信したが、誤操作により他者のメールアドレスが表示される設定となっていたことが、利用者からの問い合わせにより発覚した。同社は、対象の利用者に当該メールの削除を依頼、謝罪した。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ