サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年5月20日号 (第129号)

2013年5月10日~2013年5月16日

今回の収集対象期間内では、16件の情報セキュリティ事件事故が報道されました。事件事故の内訳は以下の通りです。

侵入感染が2件、侵入感染を伴う改ざん・破壊が1件、侵入感染及び情報流出・紛失が2件、情報流出・紛失が11件でした。

今号では、中学校教師がPC管理システムの機能を無効化し、使用を禁止されている私用のUSBメモリを使用していた事案が報告されました。中学校教師は、市が導入したPC管理システムの私物USBメモリの使用制限機能を回避するソフトウェアを作成、データを私用のUSBメモリに複写していました。また、学校のPCを自宅から遠隔操作していたことも発表されています。市は、USBメモリの紛失事故が相次いだことを受けて、管理システムを導入したとのことですが、今回の事案により、対策の見直し、強化が必要になるでしょう。

その他注目すべき事案は、中央官庁やオンラインショップなど対する不正アクセスが3件報告されました。

警察やセキュリティ監視機関では、不審なアクセス痕跡を発見し、関係企業や団体に通報する事案が継続して発生しており、今後も、同様の事案が続くものと考えられます。

内部情報持ち出しなどの不正を予防する

今号で中学校教師が管理システムの機能を無効化して内部情報を持ち出した事案が発生しましたが、内部情報持ち出しという不正行為を防止するためには、外部からの不正アクセスや標的型攻撃などによる情報流出とは異なる対策が必要です。

内部不正による情報流出(持ち出し)対策の難しさは、IDS、IPSなど不正検知システムだけでは検知が難しく、人的な対応も必要になり、また、人間が行うため単純な行動パターンでの検知が難しく、事前、事後で対策が異なり、社員が社員を監視することが更に対応を難しくします。

システム的な事前(予防)対策としては、深夜や休日にファイルコピーや印刷を行ったり、アクセス制御されているサーバやDBサーバ、通常業務では使用しないサーバへの頻繁なアクセス、メールやファイル転送サービスへのアクセスなど、また、これらを大量に行うなどの挙動を検知監視する仕組みが必要です。

また、人的対策としては単純な行動パターンだけでは判断が難しいため、複数の証跡や行動(ログ)の組み合わせによって不審な行動を定義し、退職が近い従業員や行動に問題のある従業員をモニタリングし、更に定義した行動は状況を鑑みながら常にチューニングすることが必要です。

内部不正と思われる事案が発生した場合には、詳細な解析(フォレンジック)をし、事案の詳細を把握することが重要で、法的な対応も含めた社内調査も必要になることがあります。

対策のポイントは防止(抑止)することが最も重要で、不正が発生した際には早期発見と迅速な調査、対処が被害を最小限に留めることになります。


MBSDでは、【セキュリティコンサルティングサービス】で体系的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、万が一、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年5月10日

サイバー事件 情報流出・紛失
某市民病院勤務の看護師が、患者999人分の個人情報が保存された私用PCを紛失したと発表した。市民病院によると、PCに保存されていた情報は患者の年齢、病名、患者番号などで、氏名や住所、生年月日などは含まれていなかった。看護師は、資料作成のため、病院から私用PCに情報を複写、持ち帰っていたという。病院は、盗難被害にあった可能性もあり、警察に被害届を提出した。同病院は、私用PCの使用を許可していたが、個人情報は削除するよう指示していた。

サイバー事件 情報流出・紛失
某市は、嘱託職員が介護認定者の個人情報が記載された資料1枚を紛失したと発表した。市によると、調査対象者の自宅前で資料を取り出した際に突風で吹き飛ばされたという。資料には、介護認定者の氏名、被保険者番号、認定結果等が記載されていた。現時点で、個人情報が悪用された連絡はないという。市は、該当の介護認定者に謝罪した。

サイバー事件 情報流出・紛失
某信用金庫は、取引先情報3124件が保存されたUSBメモリが所在不明になっていると発表した。発表によると、所在不明になっているUSBメモリは、顧客が作成し同金庫に提供した口座振替用の取引先データを保存したもので、氏名、口座名義人、口座番号、取引記録などが含まれていたが、悪用の被害等の報告はないという。同金庫は、該当の取引先に謝罪を行い、監督官庁に報告した。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某市中学校教師は市が導入したUSBメモリの使用を制限するパソコン運用管理システムを無効化するソフトウェア作成していたことが明らかになった。教師は、共用のPCから教材用データを私用USBメモリにコピーしていた。市教育委員会は、2011年11月に私用PCが接続されると管理職に警告される管理システムを、市内の全小中学校の導入していた。また、自宅から学校のPCを遠隔操作していたことが明らかになった。

サイバー事件 情報流出・紛失サイバー事件 情報流出・紛失
某古着販売会社は、同社が運営するオンラインショップのウェブサイトが不正アクセスされ、会員情報が外部に流出したと発表した。サーバ管理を委託した業者から連絡があり、問題が発覚したという。同社によると、不正アクセスの原因はDBに対するSQLインジェクション攻撃で、30568人分のメールアドレス、パスワードと一部会員のIDが流出したが、クレジットカード情報は含まれていないという。同社は、不正アクセスの判明後、プログラムの修正を実施した上でオンラインショップを再開した。今後は、パスワードの暗号化とセキュリティ安全性診断を実施するとしている。なお、顧客に謝罪、外部流出した情報が悪用される可能性があるとして、同社と他社のウェブサイトでのサービスのパスワードも変更するように呼び掛けている。

サイバー事件 情報流出・紛失
某県教育員会は、県立高校の教師が生徒と卒業生410人分の個人情報が保存されているUSBメモリを盗まれたと発表した。発表によると、教諭は休日出勤の途上で立ち寄った駐車場で鞄を盗まれた。当該USBメモリには、生徒と卒業生の氏名、住所、成績などが保存されていたという。県教委によると、教諭はテスト問題作成のためUSBメモリを持ち帰っていたが、個人情報の削除を忘れていた。なお、生徒・卒業生の個人情報が外部流出した報告ないとしている。同県は、県立学校における個人情報管理指針を定めており、原則として生徒の個人情報は校外への持ち出しはしないことになっていたが、後日、市民より警察に届出があり、盗まれたUSBメモリが入った鞄が、教諭に返却された。保存されていた個人情報が更新された形跡はないという。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某検索エンジン最適化サービスを展開する某社は、ウェブサイトが不正アクセスにより改ざんされ、閲覧者のPCがウイルスに感染する恐れがあると発表した。業務委託先のサーバが不正アクセスされ、ファイルが改ざんされたという。同社は、改ざんされた期間の5月1日から7日の間の閲覧者に、セキュリティ対策ソフトウェアによる確認及びブラウザのCookieとキャッシュの削除を依頼している。

2013年5月11日

サイバー事件 情報流出・紛失
某中央官庁は、職員が帰宅途上で職員名簿を紛失したと発表した。名簿には、30人分の個人情報が記載されており、職員は電車で帰宅途中に名簿が入った鞄を紛失し下車後に気が付き、警察と鉄道会社に届け出、職場に報告した。

2013年5月13日

サイバー事件 情報流出・紛失
某学会は、ウェブサイトの設定に不備があり、24人分の個人情報がネット上で参照可能であったと発表した。学会スタッフが、学会主催の学術大会への参加申し込み行うウェブサイトを作成した際、入力データの参照が可能な権限のままだった。会員から不備を指摘するメールがあり発覚した。

サイバー事件 情報流出・紛失
某銀行は、顧客情報が記載された帳票67000人分を紛失したと発表した。紛失した帳票は、預金通帳と証書を紛失した際に提出する喪失届で、氏名や住所、電話番号、口座番号が記載されていた。同行によると、紛失した帳票は、東京都内、埼玉県、神奈川県、千葉県の72支店で受付けたもので、書類を集約した拠点で誤廃棄した可能性が高く、外部流出した可能性は低いという。

2013年5月14日

サイバー事件 情報流出・紛失
某政府機関は、ウェブサイト利用者へ案内メールを誤送信し、メールアドレスを流出させたと発表した。発表によると、案内メールを送信する際に、宛先メールアドレスを表示したまま発送したという。政府機関はメールを送信した対象者の謝罪、当該メールの削除を依頼した。

2013年5月15日

サイバー事件 侵入・感染
某警察本部生活環境課サイバー犯罪対策室は、専門学校生が大学生にウイルスを送信したとして、不正指令電磁的記録取得・同供用罪で書類送検したと発表した。同県警察本部によるウイルス作成罪の適用は、初めての事案。

サイバー事件 情報流出・紛失
某市水道局は、水道検針業務を委託した会社の従業員が、契約者の個人情報が記載された「事前連絡表」を紛失したと発表した。事前連絡表を自動車に置いたままにしたところ、所在不明になったという。市は、事前連絡票の明確な保管基準を設けておらず、今後は配布を取りやめるとしている。

2013年5月16日

サイバー事件 侵入・感染
某市福祉政策課は、民生委員が市民101人分の個人情報が記載された「災害時要援護者登録者台帳」を紛失したと発表した。市福祉政策課によると、民生委員は地区代表の会議に参加、台帳を自宅に持ち帰ったが5月8日、紛失に気づき、13日に市に報告し、14日に警察へ届け出た。台帳が悪用された報告はないが、市は該当者に直接謝罪する方針。

サイバー事件 情報流出・紛失
某区教育委員会は、区立小学校教師が4年生110人分の名簿を紛失したと発表した。区教委によると、教師は名簿を鞄にいれたまま飲食、電車で帰宅途中に網棚に載せたまま帰宅してしまったという。現時点で、名簿が悪用された報告はなく、教師は警察に盗難被害届を提出した。

サイバー事件 情報流出・紛失
某市教育委員会は、市立中学校教師が生徒の個人情報が記載された資料を一時的に紛失したと発表した。紛失した個人情報は、A4サイズ1枚で生徒の成績や素行、経済状況などが記載されており、進級時のクラス替えを目的として作成したもの。4月5日、教師が校内で紛失したが14日に別の教師が発見した。市教委は、管理を徹底したいと話している。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ