サイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2014年5月7日号 (第177号)

2014年4月25日~2014年5月1日

本号では、元従業員が転職先に顧客情報を持ち出し、営業活動に使用していた事案が報告されました。

顧客情報は、判例により営業秘密として取り扱うことが可能です。保有する顧客情報を営業秘密とするためには「秘密管理性」、「有用性」、「非公知性」の三要件を満たしている必要があります。

情報セキュリティの観点からは「秘密管理性」が問題となります。その情報がアクセス制御されている、施錠保管されているなど、外部流出を防止する処置が適切に施されている否かが重要です。

営業秘密に関する過去の判例では「有用性」、「非公知性」を満たしても、「秘密管理性」が認められなかったため、裁判所が訴えを退けた事例があります。企業の情報セキュティ管理を絶えず見直し、営業秘密が適切に維持管理されることが重要です。

MBSDでは、【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


…妨害 …侵入・感染 …改ざん・破壊 …情報流出・紛失

2014年4月25日

妨害
タイ留学・長期滞在を斡旋する某旅行会社は、元従業員が顧客情報を不正に持ち出したと発表した。元社員は顧客109名のメールアドレスと氏名を使用し、転職先から営業用メールを送信した。メールを受診した顧客から同社宛に連絡があり、事態が発覚した。同社は元社員の現勤務先を抜き打ちで訪問、顧客情報が持ち出されていた事実を確認し、一覧表の完全な削除と不正利用の厳禁を通告した。

2014年4月28日

情報流出・紛失
住宅機器販売の某社は、顧客情報が記載された帳票77件を業務委託先従業員が紛失したと発表した。心当たりを捜索したが発見できず、警察に紛失届けを提出した。

情報流出・紛失
某中央官庁の外局は、サポートが終了しているJava Webアプリケーションフレームワーク「Apache Struts1」が使用されているのを確認したため、一部のサービスを停止したと発表した。現在、対応を検討中としている。

情報流出・紛失
某鉄道会社は、関連企業がメールを誤送信したと発表した。会員255名分のメールを一斉送信する際、メールアドレスの宛先指定を誤り、対象者全員のアドレスが開示されてしまった。

情報流出・紛失
某地方検察庁は、通話相手の履歴情報などを無断で取り込めるアプリを交際相手のスマートフォンに無断でダウンロードしたとして、中学校教諭を起訴した。容疑は不正指令電磁的記録供用、所謂「ウイルス供用罪」で、地検は被告の認否を明らかにしていない。

2014年4月29日

妨害
某独立行政法人は、情報セキュリティ上の脆弱性が発見された「Apache Struts1」を導入していたため、運営している資格試験の一部を取り止めた。取り止め理由は、当該の試験がWebで回答する形式だったため、としている。

2014年4月30日

侵入・感染 情報流出・紛失
警視庁は、不正取得された銀行口座情報を保存したサーバが存在することを明らかにした。同庁は大手情報セキュリティ会社から情報提供を受け、サーバ情報を解析したところ、約1万3千件のネットバンキング口座情報が保存されていた。約250件が実際に不正送金被害に遭っており、関係する16金融機関に取引停止を依頼した。警視庁は不正アクセス禁止法違反容疑も視野に入れて捜査をしている。

侵入・感染 情報流出・紛失
某携帯電話会社は、特定のIPアドレスから「パスワードリスト攻撃」を受け、724件のアカウントが不正ログインされたと発表した。被害に遭ったのは同社の顧客向けサイトで、氏名と携帯電話番号、契約内容、利用状況などが不正に参照され、コンテンツが購入された恐れもあるという。クレジットカード番号と口座番号は秘匿処理がなされていた。同社は、社外サービスのアカウント情報が不正利用されたものとしている。

2014年5月1日

妨害
某クレジットカード会社とフィシング対策協議会は、同社を騙ったフィッシングメールが報告されたとして、利用者に注意喚起した。クレジットカード利用者に対し、クレジットカード番号やパスワード情報が漏えいしていると不安を煽り、偽サイトに誘導した上でクレジットカード番号をはじめ、有効期限、セキュリティコード、生年月日、メールアドレス、ハンドルネーム、パスワードなどを入力させ、詐取する仕組みだった。同社と協議会は、JPCERT/CC にサイト閉鎖に向けた調査を依頼した。

情報流出・紛失
某医科大学病院は、病院職員が患者データを保存したUSBメモリを海外で紛失したと発表した。学会出席のため国外出張していた職員が現地で紛失したもので、USBメモリには脳神経外科の患者氏名、性別、手術例、検査データなどが保存されていた。暗号化処置などは施されていなかった。同院は厚生労働省と東京都に報告を行なった。

情報流出・紛失
某市は、水道料金利用者の情報を第三者に流出させたと発表した。同市水道お客様センターに市内建設会社の従業員を名乗る不審者が訪れ、社長の依頼を受けたとして水道料金の照会を行なった。お客様センターは、不審者が同建設会社に関する情報を正確に申し述べたので、社長名義の水道料金の照会に応じたが、社長の申し立てから成りすましであることが発覚した。某市は、警察に偽計業務妨害で被害届を提出した。

情報流出・紛失
某航空会社は、従業員が羽田空港施設に出入り可能な暗証番号を記載したメモを紛失したと発表した。同社は国土交通省と羽田空港施設管理者に報告した。



go事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ