サイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年5月27日号 (第130号)

2013年5月17日~2013年5月23日

今回の収集対象期間内では、13件の情報セキュリティ事件事故が報道されました。事件事故の内訳は以下の通りです。
 侵入感染を伴う改ざん・破壊が1件、侵入感染及び情報流出・紛失が3件、情報流出・紛失が9件でした。
 今号では、大手ポータルサイトが不正アクセスを受け、約2200万件のIDが外部に流出した恐れがあるという事案が発生しました。ポータルサイトへの不正アクセス事案が多発しており、運営企業は原因究明とセキュリティ強化を行っていますが、度重なる攻撃に被害は拡大しています。運営企業は早急な原因究明と更なるセキュリティ対策の強化の対応が求められ、ユーザもパスワードの変更などの対策が必要です。
 その他注目すべき事案はショッピングサイトが不正アクセスを受け、クレジットカード番号が外部流出した事案が発生しました。運営企業は原因究明とセキュリティ対策が完了するまでサイトを閉鎖するとしていますが、企業は事業が停止することで直接的な金銭被害と信用失墜による間接的な被害を受け、ユーザはクレジットカードの不正利用や個人情報の流出による被害に注意を払い、取引先や関係者へも波及的な被害にも対応が必要になります。

ポータルサイトへの不正アクセス対策

ポータルサイトへの不正アクセスによる情報流出が続いていますが、攻撃者は様々な目的で個人情報を狙った攻撃を今も行っています。攻撃が続いている背景には、不具合(脆弱性)のあるウェブサイトを検索し攻撃を行う、標的型攻撃によって攻撃対象の企業を特定し攻撃を行うなど、攻撃手法も多様化していると報告されています。


不具合(脆弱性)を狙った攻撃への対策

 ポータルサイト運営企業では、ファイアウォールや不正侵入検知、アンチウイルスを導入しているからセキュリティ対策は万全と考えている企業はないと思いますが、ウェブサーバなどの不具合(脆弱性)を突いた攻撃への対策として、定期的にセキュリティ診断を実施しているか、OSやミドルウェアだけでなく、独自のウェブアプリケーションも診断しているかどうかということを今一度確認することを推奨します。独自のウェブアプリケーションが稼働している場合は、表面的な診断だけでなくソースコードをレビューし、不具合(脆弱性)が発見されたら修正が完了するまでトレースするという管理プロセスを確立することも重要です。
 また、ウェブサーバへの攻撃は、不正アクセスを検知・防御する仕組みが重要で、IDS/IPSやWAFといた機器を導入し監視することが必要です。更に個人情報やクレジットカード情報が保存されているデータベースのログを取得、監視することも有効な対策といえます。


 標的型攻撃を含むサイバー攻撃は何らかの攻撃目的を持って行われます。ユーザが攻撃の発生そのものを防ぐことは困難であるため、攻撃されたとしてもその目的を未遂にするという考え方に基づき、セキュリティを検討する必要があります。セキュリティを一連のプロセスとしてとらえる「セキュリティライフサイクルマネジメント」を適切に行うことで事業継続性の確保、重要な資産の保護を行いながら、標的型攻撃への効果的な対策も実現することができます。
標的型攻撃への対策

 標的型攻撃の対策は一般的に「入口対策」、「出口対策」、「可視化」の3つの対策を包括的に対策することが求められます。

入口対策:
外部からの攻撃、不正侵入に対して入口で防御をすることにより攻撃者の侵入を阻止します。
出口対策:
不正侵入が成功してしまった場合、外部攻撃者との通信や情報流出を、出口で阻止します。
可視化:
組織内で起きている挙動や事象を可視化し、疑わしい活動、不正な活動、攻撃を発見特定し、攻撃を未然に防ぎます。

こうした対策は、セキュリティ専任担当者によって人、テクノロジー、プロセスを連動させ、包括的な運用が継続的に行われることが求められます。

MBSDでは、【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年5月17日

サイバー事件 情報流出・紛失
某国立医科歯科大学は、同大学研究科の教員が附属病院の患者2人分の個人情報が保存された個人所有のPCを紛失したと発表した。発表によると、PCは研究目的で教員が研究室に置いていたもので、患者の氏名、患者番号、生年月日が含まれていたが、パスワードは設定されていなかった。同大学は、警察に被害届を提出したが、現時点でPCは発見されていないという。

サイバー事件 情報流出・紛失
某地方自治体の土木事務所は、個人情報が含まれたPCとUSB機器を紛失したと発表した。発表によると、紛失したのは砂防情報管理システム用のPC1台とシステム認証用USB機器。PCには、「地元説明会実施経過書」に記載された土地保有者2079人分、砂防指定地台帳の土地所有者の氏名や地番など約600人分の個人情報が保存されていた。同府河川室河川環境課によると、業務委託先業者がシステムを更新したPCを2月に納品、当該土木事務所の物品倉庫に保管したが、4月に紛失に気が付いたという。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某食品会社は、同社が運営するオンライショップのウェブサイトが不正アクセスされ、クレジットカード情報を含む個人情報が外部流出した恐れがあると発表した。発表によると、ウェブサイトにウイルス感染の疑いがあるとして調査を行ったところ、外部からの不正アクセスに気が付いたという。流出した恐れがある個人情報は、2707人分の氏名、電話番号、メールアドレスで、内266人分はクレジットカード番号情報が含まれていた。同社は、問題発覚後に対象の顧客に個別に連絡をしている。また、警察の被害届を提出、主管する省庁と機関に報告した。クレジットカード会社とは、対応を協議している。なお、当該オンラインショップは、一時的に閉鎖しており、安全対策を実施した上で再開する予定としている。

サイバー事件 侵入・感染サイバー事件 改ざん・破壊
某県立博物館は、公開しているウェブサイトが不正アクセスされ、改ざんされたと発表した。発表によると、職員がウェブサイトを閲覧したところ、ソフトウェアのダウンロードを促す画面が出力された。なお、ウェブサイトには、個人情報は記載されていないという。同館は、ウェブサイトを閉鎖して原因調査を行っている。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某ポータルサイト運営会社は、サーバが不正アクセスを受け、最大2200万件のIDが外部に流出した恐れがあると発表した。発表によると、16日午後に不正アクセスが発生、IDが抽出されたファイルがサーバに作成されていた。当該ファイルの外部流出は確認されていないが、外部との通信量からみて可能性は否定出来ないとしている。なお、パスワードや、パスワードを忘れた際に使用する合言葉は含まれていないという。同社では、4月にもサーバへの不正アクセスが発生している。

2013年5月18日

サイバー事件 情報流出・紛失
某市立大学は、同大が開催した公開講座の参加者リストが、5年9ヶ月の間インターネット上で閲覧可能な状態にあったと発表した。発表によると、閲覧可能な状態にあった個人情報は、同大の公開講座に申し込んだ参加者16人分の住所、氏名、電話番号、メールアドレス等などで、担当者がアクセス制限や講座終了後の個人情報の削除を怠っていたのが原因という。同大は、16名にお詫び状を送り、問題のファイルを削除した。

サイバー事件 情報流出・紛失
某市立病院は、病院医師が250人分の手術症例が保存されたUSBメモリを紛失したと発表した。発表によると、紛失したUSBメモリには、患者番号、病名、手術方法、手術日が保存されていたが、氏名など個人が特定可能な情報は含まれていなかった。医師は、USBメモリを学会で使用後、鞄で入れて帰宅したというが、紛失していた。同病院では、個人情報が入った媒体を持ち出す場合は暗号化できる媒体を貸し出す規程だったが、医師は私有のUSBメモリを使用していた。

2013年5月21日

サイバー事件 情報流出・紛失
某政令市は、市立小学校講師が児童66人分の氏名が記載された書類を紛失したと発表した。発表によると、講師はテスト用紙を自宅で採点するため鞄に入れて退勤、飲食店で飲食した後、鞄を紛失したことに気が付いた。個人情報の持ち出しは管理職への届けが必要だが、講師は「自分は大丈夫だろう」と届け出ていなかったという。

サイバー事件 情報流出・紛失
某市は、市職員2名が住民票情報を漏えいさせていたと発表した。発表によると、職員が住民情報システムで男性会社員の情報を検索、同部の別の職員に目的を確認しないまま伝えていた。県警が男性会社員に対する恐喝事件の捜査で住民情報漏えいが発覚した。同市は、お詫びのコメントを発表した。

2013年5月22日

サイバー事件 情報流出・紛失
某通販サイト会社は、顧客情報がインターネット上で検索・閲覧可能な状態になっていたと発表した。発表によると、2月に実施したシステムの改良作業の際にアクセス制限を講じかったことが原因で、申込者の氏名と届先、住所電話番号など4273人分の個人情報がネット上で検索・閲覧可能であったという。なお、クレジットカード情報は含まれておらず、現時点で被害の報告はない。同社は、問題が発覚後直ちにアクセス制限を実施、検索サイトに関連データの削除を依頼、確認完了を確認した。また、監督官庁に事態を報告、関係者に謝罪文を送付する。

サイバー事件 情報流出・紛失
某国立大学は、附属中学校教師が担任する生徒39人分の健康保険証のコピーを電車内で紛失したと発表した。大学によると、帰宅途中の電車の中で健康保険証のコピーが入ったリュックサックを紛失した。コピーには生徒の生年月日や住所などの個人情報も記載されており、警察の届出を出しているが発見に至っていない。学校は、保護者会を開催して謝罪、再発防止に努めたいとしている。

2013年5月23日

サイバー事件 情報流出・紛失
某クリーニング店チェーン会社は、顧客の個人情報が記載された文書を輸送中に紛失したと発表した。発表によると、書類には顧客の氏名、住所、電話番号などの個人情報が記載されていた。事件発生後、警察に届け出るとともに付近を捜索しているが発見には至っていない。同社は、対象顧客の特定を進めており、判明次第個別の連絡、報告と謝罪を行う予定。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某メディア調査会社は、運営するゲーム情報ウェブサイトが不正アクセスされ、会員情報が漏えいしたと発表した。発表によると漏えいした会員情報は、IDとパスワード(暗号化して保管)、メールアドレス、ニックネーム、性別、年齢、趣味などで、氏名や住所、電話番号、信用情報などは取得、保有していないという。5月20日21時頃、同社の一部サーバの負荷が高まったことを受けて調査したところ、海外のIPアドレスからの不正アクセスを検知した。同社は、対象となるサーバを停止しているが、復旧の目処は立っていない。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ