サイバーセキュリティ事件簿

title1

各種メディアで報道された情報セキュリティ事件・事故をまとめました。



サイバーセキュリティ事件簿 2014年5月12号 (第178号)

2014年5月2日~2014年5月8日

今号では18件の事件・事故が報告され、その内5件が不正アクセス・ログインに関係するものでした。

某会員制サイトの事案では、悪意のある第三者が「なりすまし」によりログインを行い、75万3000円相当のポイントが不正交換されてしまいました。

会員制サイトに対する「総当たり攻撃」や「パスワードリスト攻撃」により、会員ポイントが不正交換される事案が増えています。ポイントの不正交換は、クレジットカードやキャッシュカードなどの金銭被害と比較して、会員本人が被害を認識し難いことが特徴に挙げられます。

不正ログインによる被害を完全に防止することは、現在のところ困難です。利用者は強度の高いパスワードの設定と定期的な更新、そして蓄積したポイントを定期的に確認することが有効です。

MBSDでは、【セキュリティ診断サービス】でウェブサイトの改ざんや不正アクセスの耐性評価を【セキュリティコンサルティングサービス】で包括的な情報管理体制の構築を、【セキュリティ監視サービス】で不正行為や情報流出を24時間365日監視し、情報流出が発生した際は【情報漏えい調査サービス】で原因調査から再発防止の恒久対策までを支援いたします。


…妨害 …侵入・感染 …改ざん・破壊 …情報流出・紛失

2014年5月2日

情報流出・紛失
ホームセンター事業を展開する某社は、顧客情報が記載された伝票を紛失したと発表した。同社の運送業務委託先従業員が、出庫場での作業中に顧客66名の氏名、住所、電話番号などが記述された伝票を紛失した。同社は出庫場を捜索したが発見できず、所轄の警察署に届け出た。

情報流出・紛失
某政令市が組織するイベントの実行委員会が、誤って関係者の個人情報を公式サイトに掲載した。実行委員会は、レンタルサーバに関係者の芸名、携帯電話番号、メールアドレスなどが記載された一覧表を保存したが、アクセス制限の設定を誤り、ネット上に公開されてしまった。関係者から指摘があり、問題が判明したという。同委員会は一覧表をサーバから削除、検索サービス会社にキャッシュの削除を依頼した。

情報流出・紛失
某大学教育学部付属中学校は、生徒の成績情報等を保存したUSBメモリを紛失したと発表した。USBメモリは副校長室の金庫に保管されていたが、職員が紛失に気付き、全職員で捜索したが発見できなかった。所在不明になっているUSBメモリには生徒474名の成績情報、1クラスの指導要領、通知表所見などが保存されていたが、ファイルごとにパスワードが設定されており、第三者が閲覧することは困難だという。

侵入・感染 情報流出・紛失
某電気音響機械器具製造会社の関連会社が運営する会員制サイトにおいて、不正ログイン被害が発生していたことが明らかになった。悪意の第三者が利用者になりすまして273件のアカウントに不正ログインし、75万3000円相当のポイントが不正交換されてしまった。サイバー攻撃の痕跡はなく、アカウント情報が不正入手された可能性が高いという。同社からの情報漏えいは否定している。

情報流出・紛失
某府と某政令市は、市の保健所が受付けた看護師免許申請書類一式を紛失したと発表した。市保健所から免許申請者161名分の申請書類を府に送付したが、一名分の申請書類が所在不明になったという。府の関係部署で探したが、見つけられなかった。誤廃棄した可能性が高いという。

侵入・感染 情報流出・紛失
某インターネットプロバイダー社は、同社のメールサービス利用者に送信されたスパムメールが、不正アクセスによるものだったと発表した。同社は外部のファレンジック専門家、米捜査当局と連携していることも公表した。同社によると、一部利用者のメールアドレス、住所、パスワードや従業員情報などが不正アクセスを受け、情報漏えいした。また、漏えいした情報が不正に利用されてスパムメールとして送信され、全利用者の2%が被害に遭ったとしている。デビッドカードやクレジットカード情報の漏えいは確認されていない。同社は全利用者にパスワード情報などの変更を依頼している。

妨害 情報流出・紛失
某府警察は、ネットの交流サイトで知り合った知人のPCを遠隔操作し、知り得た個人データを使って強要行為を働いた容疑者を逮捕した。容疑者はインターネット電話で知人と会話しながら巧妙に遠隔操作ソフトをダウンロードさせ、住所などの情報を入手していた。知人の相談を受けた警察が捜査に着手、強要の容疑で逮捕した。警察は不正指令電磁的記録供用罪の適用も検討している。

2014年5月3日

侵入・感染
某市は、市のホームページが不正アクセスの被害に遭ったと発表した。職員がホームページ内のリンク切れに気付き、運営を委託している業者が調査したところ、2297件の不正アクセスが発見された。市によると、リンク切れは不正アクセスによりバックアップシステムが起動し、データが過去の状態に戻されたことが原因だという。

侵入・感染 情報流出・紛失
某市は、市のホームページに不正アクセスがあり、職員用のIDとパスワード212件が外部流出した恐れがあると発表した。職員がホームページ閲覧の遅延や断絶に気付き、管理業者に調査を依頼した。調査によると、第三者がサーバに侵入した可能性を指摘された。市は関係する全てのパスワードを変更し、県を通じて総務省に事態を報告した。なお、ホームページの改ざんや市民情報の流出はないとしている。

情報流出・紛失
某中央官庁の地方局は、地方事務所において行政文書など4枚を紛失したと発表した。

2014年5月4日

情報流出・紛失
某町は、町が開催した婚活イベント参加者32名の名簿が外部に流出したと発表した。イベントの手伝いに来た町外の婚活相談業者が、参加確認に使用した名簿を持ち帰っていたという。業者は名簿を使ってダイレクトメールを送った。イベント参加者から指摘があり、名簿の流出が判明した。同町は参加者を募集するにあたり、名簿情報をイベント以外には使用しないとしていた。

情報流出・紛失
某政令市教育委員会は、教育総務課職員が市立小学校児童2名の「学齢簿」を紛失したと発表した。「学齢簿」には児童の氏名、住所、生年月日、保護者名などが記載されていた。学齢簿を台車で運搬している途上、突風で飛ばされてしまったという。

2014年5月7日

情報流出・紛失
某県労働金庫は、17,000件の顧客情報が保存された記録媒体を紛失したと発表した。紛失した記録媒体はMOディスクで、顧客のカナ氏名、日付、取引金額などが保存されていた。誤廃棄した可能性が強いという。

情報流出・紛失
某信用金庫は、顧客情報が記載された伝票が所在不明になっていると発表した。帳票類の整備作業の過程で、50店舗において紛失が判明したという。対象の伝票は「普通預金申込書」「定期預金申込書」「当座勘定印鑑届」で、顧客の氏名、住所、電話番号、生年月日、口座番号、印影などが綴じ込まれていた。誤廃棄か店内で紛失した可能性が高いという。現時点で不正使用などの報告はない。

2014年5月8日

情報流出・紛失
某信用金庫は、得意先担当職員が業務用携帯電話を紛失したと発表した。職員が帰宅途上で紛失した携帯電話には、個人及び法人顧客427件の名称、電話番号と組合職員の氏名等が登録されていた。パスワードロックは掛けられていなかったという。

侵入・感染 情報流出・紛失
某玩具製造販売会社が運営する音源データダウンロードサイトに不正アクセスがあり、情報流出・改ざん被害の可能性が明らかになった。会員からサイトにログインできないとの連絡があり、確認の結果、不正アクセスが判明した。業務委託先が導入している管理ツールが原因としている。不正ログインにより、会員799名のID、パスワード、メールアドレス、性別、ポイント残高などが被害にあった可能性があるという。クレジットカード番号は別サーバで管理されていた。同社は、会員に対しパスワードの変更を呼び掛けている。

情報流出・紛失
某少額短期保険会社は、システムの不具合により、契約者の情報が特定の操作により閲覧可能だったと発表した。閲覧が可能だったのは、旅行キャンセル費用補償保険の利用者453名の情報で、特定の操作で一覧表示が可能な状態だった。



go事件簿一覧へ


所在地

本店:

〒103-0013
東京都中央区日本橋人形町
1丁目14番8号 郵船水天宮前ビル6階
地図はコチラMapはコチラ

TEL : 03-5649-1961(代表)


赤坂オフィス:

〒107-0052
東京都港区赤坂2丁目17番7号
赤坂溜池タワー9階
地図はコチラMapはコチラ

TEL : 03-6861-5172

三井物産セキュアディレクション株式会社

MBSDロゴ

サイトマップ