サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年4月22日号 (第125号)

2013年4月12日~2013年4月18日

今回の収集期間内では、13件のサイバーセキュリティ事件事故が報道されました。内訳は以下の通りです。

侵入・感染が1件、妨害を伴う侵入・感染が1件、情報流出・紛失を伴う侵入・感染が2件、情報流出・紛失が9件でした。

今号では、設定作業の不備による個人情報漏えい事案が3件報告されました。

うち2件は、サーバの管理作業の不備が原因で、顧客情報がネット上で参照可能な状態となっていました。

ほか1件は、システム更新作業における設定不備が要因となり、迷惑メールの大量送信を招いたと報告されています。

設定や管理作業の不備よる情報漏えいの防止には、システムの管理規程、手順を策定し遵守することが必要です。

その他注目すべき事案は、退職した元社員の私用のメールを盗み見、不正アクセス禁止法違反容疑で、警察の取調べを受けていたことが明らかになりました。元社員の営業秘密漏えい容疑を調査するためとしていますが、調査のための情報開示には法律に基づいた手続きが必要であり、情報システムの専門家だけではなく、法律の専門家も交えた対応が必要です。

ウェブサイトのセキュリティ対策

昨今、ウェブサイトで非公開情報が閲覧できてしまったり、情報の不正持ち出しや改ざんなどの事案が報告されていますが、これらは不正行為によるものだけでなく不具合(脆弱性)や検証の見落とし、誤操作などによって発生することも多く、システムリリース前のチェックや異常がないか監視することも重要な対策です。

ウェブサイトのセキュリティ対策は対策内容や取り組みによって効果が異なり、リスクそのものを取り除く抜本的対策と外部からの攻撃などの要因に対して発生するリスクを軽減する表面的(皮相的)対策に分類して考えるとより効率的な対策を講じることができます。

抜本的解決とは、ウェブサイトに不具合(脆弱性)や誤操作などのリスクが存在しないよう構築、運用することです。抜本的対策を実施することによって、不具合(脆弱性)を狙った攻撃や誤操作を発生させる機会そのものをなくすことで、様々な攻撃や事故に対応することが期待できます。

一方、表面的(皮相的)対策とは、根本的解決とは違い、特定の不具合や誤操作などのリスクに対して、一定期間もしくはリスクを軽減するための対策と言えます。

ウェブサイト構築の設計段階から抜本的対策を行うことが理想ですが、対策が広範囲でかつ構築期間や費用もかかるため、リスクの重要度や対策の優先順位を鑑みながら、表面的(皮相的)対策と組み合わせた対策でも効果があると言えます。すでに運用されているウェブサイトの対策を実施する場合でも抜本的対策を講じることが望ましいですが、同じく時間や費用の面から設計段階からの対策より対応が難しいと言えますので、表面的(皮相的)対策をより有効活用することが肝要です。

最後に、対策を進める上で重要なことは、リスクと現状を把握し、どのような対策が必要なのか、行うべき対策がどのような効果を得られるかを様々な観点から正しく理解することと言えます。


MBSDでは【セキュリティコンサルティングサービス】でシステム管理規定や運用手順の策定を【情報漏えい調査】では法律に基づいた調査作業を行い、原因の特定と再発防止策の策定までをトータルで支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年4月12日

サイバー事件 情報流出・紛失
某県教育委員会は、県立高校の元非常勤講師が所持していた生徒の個人情報を保存したUSBメモリを盗まれたと発表した。県教委によると、元非常勤講師は公園に駐車した自家用車が車上荒らしに遭い、リュックサックごと盗まれたという。当該USBメモリには、当該非常勤講師が勤務した県立高校2校の生徒280人分の氏名、成績等の個人情報が保存されていた。また、個人情報持ち出しに際して必要な校長の了解も得ていなかった。県教委は、情報管理を徹底し、再発防止に努めるとしている。

サイバー事件 情報流出・紛失
某ペット用品輸入販売会社は、同社が運営するオンラインショップのサイト上において、顧客の個人情報が閲覧可能な状態であったと発表した。同社顧客の指摘により発覚した。同社によると、2010年1月27日から2012年6月17日の間に登録された顧客2124人分の個人情報が、2012年6月18日から2013年4月3日まで、特定のURLを直接指定すると参照可能だったとのこと。加えて、検索エンジンにデータが登録され、検索も可能な状態だった。対象の情報は、顧客氏名、住所、メールアドレス等で、口座番号やクレジットカード情報は含まれていない。 原因はオンラインショップのリニューアル作業の不備で、一時的にサービスを停止し、安全を確認した上で4月4日に再開した。なお、個人情報の不正利用確認されていない。同社は、対象の顧客に報告、再発防止に努めるとしている。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某府警察本部は、某化学品メーカーの幹部が退職した元社員の私用メールを盗み見したとして、不正アクセス禁止法違反容疑で、関連会社を捜索したことが明らかになった。警察は、同メーカー幹部から事情を聴取、書類送検する方針。 報道によると、元社員が、同メーカーが取引先に対して元社員の行動に関する問い合わせを行ったことを聞き、自身のメール履歴を調べたところ、8回に亘る不正なアクセスが判明し、警察に相談した。同メーカーの社長は盗み見の事実を認めており、元社員による営業秘密漏えいを調べるためだったとしている。

2013年4月13日

サイバー事件 情報流出・紛失
某中央官庁はメールを誤送信したと発表した。13日に発生した地震の被害状況の確認をするためのメールを誤り、某国のミサイル発射に関する被害状況を確認する内容のメールを送信したというもの。同中央官庁は、再発防止に努めるという。

サイバー事件 情報流出・紛失
某市は、防災センター無線室から、個人情報が保存されたノートPCが盗まれたと発表した。市は被害届を提出、警察が窃盗容疑で捜査にあたっている。盗まれたのは、給与計算用のPCで、職員氏名、給与額などが保存されていた。

サイバー事件 情報流出・紛失
某鉄道会社は、沿線駅の定期券販売所の金庫から現金とともに、住所と個人名が記載された定期券交換手続き用の資料2部と、氏名のみが記載された敬老無料乗車券330人分の資料が盗まれたと発表した。なお、現時点では個人情報の流出による被害は確認されていないという。

サイバー事件 情報流出・紛失
某県は、個人情報1268人分が保存された外付けHDD1台を紛失したと発表した。県によると4月8日、職員が紛失していることに気が付いたという。当該HDDには県が主催フォーラム参加者と託児所利用児童の933人分の氏名と緊急連絡先、女性人材リスト登録者335人分の氏名、生年月日、住所、勤務先等の個人情報が保存されていた。また、フォーラム参加者の個人情報の内、309人分には、パスワードも設定されていなかった。施錠可能な場所に保管する内規に反して、机上に置いていたという。県は、関係者に謝罪文を送付する予定。

サイバー事件 侵入・感染サイバー事件 侵入・感染サイバー事件 侵入・感染
某県は、県工業技術センターのネットワークが外部から不正アクセスされ、センターを発信元と詐称した約27万通の迷惑メールが発信されたと発表した。ネットワーク管理会社で調査したところ、不正アクセスを防ぐシステムを更新した際に設定を誤ったとしている。

2013年4月15日

サイバー事件 情報流出・紛失
某ラジオ局は、479人分の個人情報がネット上で閲覧可能な状態にあったと発表した。発表によると、2009年10月から2012年12月の懸賞当選者の氏名と住所が流出した。番組担当者が、データ保存サービスを使用して当該個人情報を保管する際に、ロックをかけ忘れたのが原因という。視聴者からの指摘で判明した。

2013年4月16日

サイバー事件 情報流出・紛失
某市教育委員会は、市立小学校元校長が在職時に自宅で保管していた児童の個人情報が記載された資料を流出させたと発表した。元校長が当該資料を廃品回収に出したところ、市民が偶然発見、市議を通じて市教委に通報した。市教委によると、資料は平成6年の教頭在職時、及び同15年の校長在職時の児童に関する書類4枚で、持ち出し禁止のものだった。 市教委は、該当者に直接訪問し謝罪するとしている。

サイバー事件 情報流出・紛失
某中央官庁は、地域センターおいて行政書類が強風のため飛散、一部が回収できなかったと発表した。強風で紛失した書類は、農業に関する交付金申請書類で、対象農家の氏名、住所、電話番号、生年月日等の個人情報が記載されていた。センターでは、飛散した書類の捜索を行っているが、12人分が未だに所在不明で、該当の農家に事情説明と謝罪を行った。

2013年4月17日

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某鉄道会社は、会員向けウェブサイトが不正アクセスを受けたため、一部会員のログインの制限を実施したと発表した。同社によると、調査を行ったところ、会員サイトに対して特定のIPアドレスからの約26,000件のアクセスが確認された。この不正アクセスにより、会員97人分のアカウントが不正にログインされていた。同社は、該当の会員に連絡を取ると共に、警視庁サイバーテロ対策協議会と国土交通省に通報した。

2013年4月18日

サイバー事件 侵入・感染
某府は、業務を委託しているセンターウェブサイトが不正アクセスを受けたと発表した。発表によると、不正アクセスされたのは母子健康センターで、サーバ管理会社から何者かがFTPのパスワードを入手、不正アクセスを行った可能性があると報告された。サーバ管理会社は、アクセス管理を実施、FTPパスワードの変更も実施した。また、ウイルスの感染や情報漏えい、ウェブサイトの改ざん等は確認されておらず、セキュリティ管理に問題はなかったとしている。センターは、原因調査を継続する。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ