サイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2014年4月28日号 (第176号)

2014年4月18日~2014年4月24日

本号では、暗号化ソフトウェアの脆弱性に起因した情報セキュリティ事故が報告されました。某クレジットカード会社は、会員向けのウェブサイトに「OpenSSL」を導入していましたが、サーバメモリ取り扱いの不具合により、機密情報が読み取られてしまう可能性がありました。この不具合は修正されたバージョンを導入することで対応可能でしたが、当該企業はその対応途中に攻撃を受け、情報が流出してしまいました。

「OpenSSL」に限らず、暗号化ソフトウェアを導入している企業は脆弱性情報を絶えず確認し、必要に応じて更新していくことが必要です。

次回のサイバーセキュリティ事件簿は、5月12日に更新いたします。

MBSDでは、【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


…妨害 …侵入・感染 …改ざん・破壊 …情報流出・紛失

2014年4月18日

情報流出・紛失
某中央官庁の地方局は、職員が住民情報が記載された行政文書を紛失したと発表した。誤廃棄したものと思われ、外部流出と悪用は報告されていないとしている。

侵入・感染 情報流出・紛失
某国立研究所職員が、フィッシング詐欺被害に遭っていたことが明らかになった。職員はウェブ管理者を偽装したメールに誘導され、偽サイトにメールアカウントのIDとパスワードを入力してしまった。同研究所によれば、詐取されたメールアカウント情報が悪用され、約2000件の迷惑メールが送信された。データの改ざんや情報漏洩被害は、現時点では報告されていないという。

情報流出・紛失
某県はメール誤送信が発生したと発表した。電子入札用ICカードの更新完了者宛にメール50通を送信したが、宛先の指定を誤り、受信者全員のメールアドレスが参照可能になってしまった。県は対象者に事情説明と謝罪を行い、メールの削除を依頼した。

2014年4月19日

侵入・感染 情報流出・紛失
某クレジットカード会社は、会員専用ウェブサイトに不正アクセスがあり、894名分の会員情報が不正閲覧された可能性があると発表した。同社は不正アクセスを検知したため調査を行い、暗号化ソフトウェアの脆弱性を突いた攻撃と特定された。不正アクセスにより会員氏名、生年月日、住所などが閲覧された。クレジットカード番号は一部非表示で、パスワードは閲覧されておらず、不正利用された恐れは低いとしている。

2014年4月21日

情報流出・紛失
某飲食店運営会社は、海外出張中の社員が業務用PCと携帯電話の盗難被害に遭ったと発表した。同社は現地警察に盗難届けを提出しているが、発見に至っていない。被害に遭ったPCには海外拠点の採用予定者7名に関する情報、取引先との過去3年分のメール、また携帯電話には50名分のアドレス帳データが保存されていた。PCと携帯電話は情報セキュリティ対策が施されており、さらに利用停止処置もとったので、情報が漏えいする恐れはないとしている。

情報流出・紛失
某航空会社従業員が、某空港職員専用区域に出入りする暗証番号が記載されたメモを紛失した。同空港は某国大統領来日前の警備強化中で、直ちに暗証番号を変更し、巡回回数も増やす対応を行った。同社従業員はメモを第一ターミナル付近で紛失、空港関係者が見つけて届け出た。

2014年4月22日

妨害
某インターネット付随企業は、同社を騙った「なりすましメール」が報告されたとして、利用者に注意喚起を行った。現在、米本社が調査に当たっている。同社は利用者に対し最新のセキュリティ対策ソフトウェアによる確認と、安全なパスワードへの変更を呼び掛けている。

情報流出・紛失
某県某町は、建設課職員が下水道料金滞納者の一覧が保存されたUSBメモリを一時的に紛失していたことが明らかになった。USBメモリは職員の私物で、料金滞納者約1000件(個人と法人)の氏名若しくは名称、住所、未納額などが保存されていた。USBメモリは差出人不詳の郵送物で町役場に届けられた。職員はUSBメモリを紛失したことに気づいていなかったという。同町役場は行政情報を私物USBメモリに保存することや、外部への持ち出しを禁じていた。

情報流出・紛失
某市教育委員会は、市立中学校生徒5名の健康診断表が所在不明になったと発表した。校外に漏えいした事実は確認されていない。

2014年4月23日

情報流出・紛失
某市消防局が、応急手当普及指導員宛のメールを誤送信した。職員が普及指導員36名に協力を依頼するメールを送信したが、全員を宛先に設定して送信してしまった。

情報流出・紛失
某衣料品製造販売会社は、モニター・キャンペーン応募者の個人データがウェブサイト上で参照可能な状態にあったと発表した。ウェブサイトのプログラム不具合が原因で、応募者1296名中740名の氏名、住所、電話番号、メールアドレス、生年月日、希望サイズなどが閲覧可能だった。応募者から指摘があり発覚した。

情報流出・紛失
某大学は、学生など約4万7千名の個人データがインターネットで閲覧可能な状態にあったと発表した。2003年以降の学生名簿、一部学生の成績、クレジットカード情報などがネット上に流出した。同大学講師が個人データを外付けHDDに保存、自宅でアクセスの制限をせずインターネットに接続したことが原因だった。同大学は個人データの外部持ち出しを禁止していた。

侵入・感染
某家電製造会社は、会員向けサイトに不正アクセスがあり、アカウント情報が不正閲覧された可能性があると発表した。同社は不正ログインの痕跡を検知し、調査を行ったところ、不特定多数のIPアドレスから460万回以上の不審なアクセスが確認された。不正閲覧された恐れがあるのは会員氏名と住所、電話番号、生年月日、メールアドレス、職業、居住状態、家族構成など。同社は不正ログインされたアカウントを閉鎖、利用者にパスワード変更を依頼した。

侵入・感染
某県警察本部は、ウェブサイトが不正アクセスを受けたため、一時的に停止したと発表した。警察庁から連絡があり事態が判明した。サーバに不審なファイルがあり、アクセスすると意味不明なメッセージが表示されるという。県警は不正アクセスの発信元の捜査を開始した。なお、情報漏洩は確認されていない。

2014年4月24日

情報流出・紛失
某市は、市が主催するシンポジウムの応募者に対し、メールを誤送信したと発表した。市職員がシンポジウムに関するメールを送信する際に宛先の指定を誤り、93名分のメールアドレスが全員に公開されてしまった。市は対象者に謝罪し、誤送信したメールの削除を依頼した。

情報流出・紛失
某自動車専用道路会社は、業務委託先がメールを誤送信したと発表した。同社が企画したキャンペーン当選者にメールを送信したところ、宛先の指定を誤り全員のメールアドレスが表示されてしまった。当選者に対しては該当メールの削除を依頼した。同社は業務委託先の指導を強化するとしている。

情報流出・紛失
某銀行は、某市から委託されている口座振替の処理を誤り、他の自治体にデータを誤送信したと発表した。誤送信したのは介護保険料の口座振替結果で、対象者のカナ氏名、口座番号など、全国銀行データ通信システム様式のデータだった。

情報流出・紛失
某県は、県立養護学校が児童生徒と教職員の個人データが保存されたUSBメモリを紛失したと発表した。USBメモリは私物で、教頭と教諭4名が施錠せずに保管していた。USBメモリには養護学校の児童生徒と教職員の名簿が保存されており、住所と電話番号、児童40名の障害に関する記録が含まれていた。県教育委員会のガイドラインでは私物電子媒体の使用を禁じていたが、順守されていなかった。



go事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ