サイバーセキュリティ事件簿過去のサイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2013年6月3日号 (第131号)

2013年5月24日~2013年5月30日

今回の収集対象期間内では、17件の情報セキュリティ事件事故が報道されました。事件事故の内訳は以下の通りです。

妨害を伴う侵入感染が1件、侵入感染が1件、侵入感染を伴う情報流出・紛失が3件、情報流出・紛失が12件でした。

今号では、クレジットカード情報の漏えいによって不正利用事案が発生しました。当該企業が、専門機関と共同で対応を進めているように、各企業はクレジットカード情報漏えい事案の増加により2要素認証の導入など対策強化をしていますが、ユーザも取引の相手(企業)が漏えいリスク対策がなされた信用のできる相手かどうかの確認をし、クレジットカードを利用したときは、必ず領収書を保管しておき、毎月送られてくるクレジットカードの利用明細書を確認することをお勧めします。

また、クレジットカード番号と有効期限だけでカードを悪用出来てしまう場合があり、ユーザからクレジットカード会社へ問い合わせを行った場合には本人確認のためにクレジットカード番号などを聞かれることはありますが、クレジット会社から電話でクレジットカード番号などを問い合わせすることはありません。電話やメールでクレジットカード番号などを聞かれた場合、むやみにクレジットカード番号や有効期限を伝えないことはクレジットカード番号漏えい対策の基本といえます。

ユーザが行うべき個人情報漏えいの対策

フィッシングやクレジットカード情報漏えい、スパイウェアなどの被害が増加していますが、クレジットカード番号やパスワードなどの個人情報が漏洩しないための対策方法をご紹介します。

個人情報漏えいの主な原因はスパイウェアやフィッシングなどによるものです。インターネットに接続されているパソコンの約8割はスパイウェアに感染しているという統計もあります。

スパイウェアはユーザが気づかないうちにパソコンにインストールされ、不正に個人情報を外部に送信したり、勝手に広告やツールバーを表示して宣伝などをするものであり、フィッシングは金融機関やショッピングサイトとそっくりの偽サイトを作り、ユーザをメールなどで偽サイトに誘導し、ログイン画面等を表示して個人情報を抜き取るものです。

アンチスパイウェアの活用

ウイルス対策と同様ユーザが意図せずインストール(感染)してしまうので、アンチスパイウェアでスパイウェアのインストール(感染)を予防し、定期的にスキャンを行う事をお勧めします。

データ抹消ソフトの活用

ファイルをゴミ箱に移動して削除したり、HDDをフォーマットしても、データの管理情報が削除されるだけでデータ自体は残っており、データ復元ソフトを使えば復元することができ、復元データから企業情報や個人情報(銀行の口座情報やクレジットカード番号など)が流出してしまう可能性があります。パソコンを廃棄したり譲ったりする時には、データ抹消ソフトを使うことをお勧めします。

暗号化通信の確認

ウェブサイトで個人情報を送信する際、通信が暗号化されてないと第三者に盗聴される可能性あります。個人情報を送信する際はブラウザで暗号化通信がされている事を確認し、暗号化通信されていないウェブサイトへの情報送信は行わないことをお勧めします。

アドレスバーでサイトの確認

正規(本物)のウェブサイトを装った偽サイトによるフィッシング被害に遭わないため、個人情報を送信する時は正規(本物)のウェブサイトかどうか、アドレスを確認することをお勧めします。

また、金融機関から個人情報の確認などを装って偽のログインページに誘導して個人情報を盗む事件が多発しており、個人情報の確認などのメールが来た際には個人情報を送信する前に電話やメールなどで問い合わせされることをお勧めします。

共有PCで個人情報は入力しない

ネットカフェなど不特定多数の人が利用するPCは、キーロガー(キー操作を記録するソフトウェア)が仕掛けられている可能性があるので、クレジットカード番号などの個人情報は入力しないことをお勧めします。

パスワードは複雑に

「サイバーセキュリティ事件簿 第124号」でも取り上げましたが、パスワードは、生年月日や名前や単語など推測されやすいものや短いもの、数字だけのものは解読されやすいため、大文字や数字などを含むようにして複雑化して利用し、定期的に変更することをお勧めします。


MBSDでは、【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


サイバー事件 妨害…妨害 サイバー事件 侵入・感染…侵入・感染 サイバー事件 改ざん・破壊…改ざん・破壊 サイバー事件 情報流出・紛失…情報流出・紛失

2013年5月24日

サイバー事件 情報流出・紛失
某国立大学は、教育学部附属小学校で卒業文集の原稿を紛失したと発表した。発表によると、紛失したのは2012年度卒業生1クラス分36人分の卒業文集原稿で、児童の氏名、顔写真が含まれていた。製本業者に原稿を渡そうとしたところ紛失していることに気が付き、学校の内外を捜索した発見できなかった。同小学校は、警察に遺失届を掲出するとともに、卒業生の家庭を訪問、謝罪した。

サイバー事件 情報流出・紛失
某スポーツ用品販売会社は、販売店が顧客情報を記載した受発注伝票50件を紛失したと発表した。発表によると、伝票には顧客の氏名、住所、電話番号、メールアドレスなどが記載されていたが、誤廃棄した可能性が強いとしている。現時点で、伝票が不正利用された形跡はく、同社は対象の顧客に個別に連絡をする予定。

サイバー事件 情報流出・紛失
某県警察は、警察官が反社会勢力関係者の個人情報を警察OBに漏えいさせていたと発表した。発表によると、警察官は、警察OBの関係団体の取引先が反社会勢力かの照会を受け、反社会勢力関係者の個人情報に17回アクセスし19人分を漏えいさせた。県警は、地方公務員法違反容疑で、当該警察官を書類送検した。

サイバー事件 情報流出・紛失
某国際会議場は、担当者が採用試験の受験者614人分のメールを誤送信したと発表した。発表によると、一次試験合格者に就職情報ウェブサイトからメールを送信したが、担当者が操作を誤り、全員を宛先に設定しメールを送信した。同社は、個人情報の漏えいは無かったとしている。

2013年5月25日

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某百貨店は、同社のウェブサイトが不正アクセスされ、運営していたオンラインショップから最大8289人分の会員情報が不正に閲覧され、外部流出した可能性があると発表した。発表によると、流出した可能性があるのは、住所、氏名、電話番号等。クレジットカード番号の下4桁も閲覧可能だが、現在のところ金銭被害は確認されていないという。不正アクセスは、今月15日に発生した大量のアクセスエラーを調査した過程で発覚した。520万2020件のアクセスが試みられていたという。

サイバー事件 情報流出・紛失
某県は、特定疾患の審査認定において、特定疾患の患者が治療費補助を受けるための認定申請用に提出した診断書の写しを紛失したと発表した。発表によると、紛失した写しには、氏名や病状などが記載されていた。県は、該当の患者に電話で事情説明と謝罪を行った。なお、診断書の原本は保存されており、認定作業に影響はないという。

2013年5月27日

サイバー事件 情報流出・紛失
某ポータルサイトは、利用者向けのメールを誤送信し1427人分のメールアドレスを流出させたことを明らかにした。発表によると利用者835人にメールを送信した際、操作を誤り1427人分のメールアドレスとIDが閲覧可能な状態で誤送信したという。同社は、メール受信者に当該メールの削除を依頼した。なお、同社で発生した5月16日の不正アクセスとの関連は否定した。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失サイバー事件 情報流出・紛失
某大学は、ウェブサイトが不正アクセスに遭い、改ざんされていたと発表した。発表によると、調査の結果、不正アクセスはアクセス数など情報収集が目的で、ホームページ上のデータがダウンロードされたが、公開情報のため被害はないという。また、ウイルス感染と個人情報の漏えいも可能性がないとしている。

サイバー事件 侵入・感染サイバー事件 情報流出・紛失
某携帯電話レンタル会社は、同社のウェブサイトに不正アクセスがあり、顧客情報10万9112件が外部に流出したと発表した。発表によると、決済代行会社から信用情報が漏えいしている恐れがあるとの指摘を受け外部の専門機関に調査を依頼したところ、2011年3月7日から2013年4月23日の間に顧客の氏名、住所、クレジットカード番号、セキュリティコードなどの情報が流出していた。原因は、セキュリティの不備を突いたSQLインジェクション攻撃で、172件のカードの不正利用も確認されている。同社は、決済代行会社に不審な売買の監視を依頼した。また、対象となる顧客に連絡し、クレジットカード会社に照会を行うように促している。

2013年5月28日

サイバー事件 情報流出・紛失
某市は、業務委託先から集団健康診断の個人情報2万人分が外部に流出したと発表した。発表によると、市長宛にUSBメモリが郵送され内容を確認したところ、平成19年度の健康診断受信者1万9492人分、20年のがん検診結果249人分の個人情報が保存されていた。同封された文書には、市の委託事業者から流出したと記載されていたという。なお、個人情報の流出による被害は報告されていない。市は、警察と相談して流出経路を調査する予定。

サイバー事件 情報流出・紛失
某非営利活動法人は、職員がPCが入った鞄を盗まれたと発表した。発表によると、盗まれたPCには、同法人のインターン生7人分のエントリシート、イベント参加者440人分のメールアドレスが保存されていた。同法人は、PCに保存されていたアカウント削除しインター生に個別に連絡した。なお、警察に届けているが、発見には至っていない。

2013年5月29日

サイバー事件 情報流出・紛失
某県は、旅券業務を委託した業者の従業員が、パスポート申請者の個人情報を漏えいさせていたと発表した。発表によると、旅券申請をした有名人の氏名をインターネットの会員制サイトに書き込んでいたという。県に告発の電話とメールがあり、当該従業員に事情を聴いたところ、事実関係を認めた。

サイバー事件 情報流出・紛失サイバー事件 情報流出・紛失
某百貨店は、ウェブサイトに不正アクセスをうけ、運営するオンラインショップから最大2382件の顧客情報が外部流出した可能性があると発表した。発表によると、同社のウェブサイトで大量のアクセスエラーを確認し調査したところ、特定のIPアドレスからの不正なアクセスが判明したという。漏えいした可能性のある情報は、氏名と住所、電話番号、生年月日等で、内1360件はクレジットカード番号と有効期限も含まれるという。同社は、当該サイトを停止、当該IPアドレスからのアクセスがアクセスを遮断した。クレジットカードの不正利用された報告はなく、該当の顧客にはパスワードの変更を依頼している。

サイバー事件 妨害サイバー事件 侵入・感染
某中央省庁は、地方局に出入りしている業者のPCが不正アクセスされ、大量の迷惑メールが送信されたと発表した。発表によると、当該PCがアクセス困難になり、調査したところ迷惑メールが大量送信された痕跡を見つけたという。なお、業者のPCは、職員が使用するネットワークには接続されておらず、機密情報が外部に漏えいした可能性はなく、大量送信の被害をも報告されていないという。

サイバー事件 情報流出・紛失
某県は、県内の医療機関で受診した患者の電子データと書類を紛失したと発表した。発表によると、2万8900人分の患者氏名、生年月日、病名、受診医療機関名が保存されたCD3枚と書類531分を紛失した。担当者は、3月末には紛失に気がついていたが、4月まで報告していなかった。

2013年5月30日

サイバー事件 情報流出・紛失
某スーパーマーケットチェーンは、顧客情報103件が記載されたギフト伝票を紛失したと発表した。配送手続きの過程で紛失が発覚、対象の顧客に事情説明を行っている。なお、顧客情報の不正利用は確認されていないという。

サイバー事件 情報流出・紛失
某地方銀行は、支店の預金者の個人情報140人分を紛失したと発表した。発表によると、紛失したのは取引開始時に必要な書類で、個人136人と法人代表者4人の氏名と住所、生年月日などか記載されていた。行内で誤廃棄した可能性が強く、外部に流出した報告は無いとしている。対象の顧客に対して説明と謝罪を行う予定。



事件簿一覧事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ