情報セキュリティ トピックス

不正アクセスによる大規模情報漏えい事故

アバター 総合研究部 上席研究員 佐藤栄俊

2016.07.20
印刷
不正アクセスのイメージ画像

1.不正アクセスによる大規模情報漏えい事故

 先月6月、旅行会社大手の株式会社JTBは、子会社が管理するサーバが外部から不正アクセスを受け、内部情報が漏えいしたことを発表しました。漏えいの規模は、約678万件(発表当初は約793万件)で、事態を重くみた観光庁は、JTBの業務の一部を制限することを先月25日に発表しました。
 報道によると、本事案によりJTBは主力予約サイトの一つである「JTBホームページ」で、2016年6月の取扱額は前年同月比10%減に落ち込んだとしています。一方で、7月8日に開かれた、セキュリティ専門家など有識者による「旅行業界情報流出事案検討会」の第1回では、観光庁はJTBの再発防止策に一定の評価を示したとのことです。この評価によって、国の助成を使った割安な九州旅行のWebサイト販売が観光庁から認められるようになり、7月13日から販売を始めています。本件、事案が発覚してから公表するまでの期間(約3ヶ月間)に対しての誹りはあったものの、現時点では元々の組織体制の致命的な不備や二次被害が確認されていないということから、少しずつ収束しつつ状況にあることが窺えます。

 ただ、標的型攻撃を発端とした大きな被害は、2015年の日本年金機構の漏えい事故以来、1年たたずにしての大きな事件となります。また本件だけではなく、大きな被害はなくとも、ECサイトや大学・研究機関、病院を狙ったDDoS攻撃”や”SQLインジェクション攻撃”をはじめとした、Webサイト/アプリケーションの脆弱性を突いた悪意あるサイバー攻撃、事業・サービスの停止や情報漏えいを招く事故は日々多発しています。サイバー攻撃を受けた場合にはサービス停止や顧客への補償などにまで発展する可能性が高いため、情報を管理するサイトやサービスの運用には細心の注意が必要になります。
 また、サイバー攻撃によるその多くは、被害を受けていること、または加害の立場となってしまっていることに自ら自発的には気が付かないこと(消費者や特定団体等の第三者からの通報で発覚)が多い点が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、対岸の火事として放置できない状況にあります。

 今回の情報セキュリティトピックスでは、「今そこにある危機」である標的型攻撃の脅威をあらためて理解・警戒するとともにその対策について考えます。

1) 事故の概要

 発端は2016年3月15日、旅行商品をインターネット販売する子会社であるi.JTB(アイドットジェイティービー)がWebサイトで公開する、問い合わせを受け付ける代表メールアドレスに、攻撃者が取引先になりすました標的型メールを送り付けたことが始まりです。

 今回の不正アクセスによる事故の報告書はまだ開示されておらず、詳細については不明な点がありますが、記者発表や開示された書面によると、旅行商品をインターネットで販売する子会社「i.JTB」の社員が3月15日に取引先の航空会社を装ったメールの添付ファイルをパソコンで開き、パソコンとサーバが標的型ウイルスに感染したとのことです。

 JTBでは、約250人のオペレーター体制で顧客に対応しており、既存の取引先の社名でのお問い合わせメールに対して、通常の業務処理を行ったということです。当該メールアドレスは「ごくごく普通のありがちな日本人の苗字@実在する国内航空会社のドメイン」であり、添付されていたpdfファイルは北京行のEチケットであったため、それがウイルスメールだとは最後まで気づくことが無かったそうです。

 その後、顧客向けの広報メールやアンケート調査などに使用される個人情報データを保存する「実績データベース」内部に外部からの侵入によりCSVファイルが生成され、削除された痕跡が発見されたということで、生成ルートは不明、削除命令は商品情報などの情報を社内の各サーバに転送する制御サーバにより実行されたとみられています。
流出した可能性のある個人情報の項目は、「氏名(漢字、カタカナ、ローマ字)」「性別」「生年月日」「メールアドレス」「住所」「郵便番号」「電話番号」「パスポート番号」「パスポート取得日」の一部または全部であり、パスポート番号、パスポート取得日のうち、現在も有効なものは約4,300件だということです。

2) 標的型攻撃とAPTの違い

 標的型攻撃とは、特定の組織内の機密情報や個人情報を狙って行われるサイバー攻撃のことで、仕組まれるマルウェアも標的に合わせてカスタマイズされる傾向にあり、単純に一般的なマルウェア対策だけではなかなか見つかりにくくなっているのが現状です。

 侵入の手段としては、標的に合わせたなりすましの電子メールで来ることが多いという状況です。昨年の日本年金機構の事例も同様で、最近の標的型攻撃は、数年前に起こった機密情報の窃取を目的とした三菱重工、衆議院の事件などとは少し異なっています。搾取、窃盗の対象は機密情報だけにとどまらず、個人情報やそれに付随するアカウント情報(ID、パスワード、使用履歴など)が狙われるケースも多くなっています。よくAPT(Advanced Persistent Threat)(※)ともいわれることがありますが、「標的型攻撃=APT」ではなく、あくまでAPTが行われる前段の攻撃手段が標的型攻撃と理解したほうが良いでしょう。

(※)APT(Advanced Persistent Threat):先進的で、執拗な、脅威

▼一般社団法人 JPCERT コーディネーションセンター「高度サイバー攻撃(APT)への備えと対応ガイド~企業や組織に薦める一連のプロセスについて」

 重要性の高い情報と組み合わせることで、より重要性の高い情報になるデータを取得し、企業や組織に深刻な脅威をもたらす。APT は、役員の個人情報のほか、組織の独自のビジネスプロセスや事業戦略といった知的資産を狙うことがある。
 APT 攻撃者は、ネットワークへの侵入技術に長けており、侵入後はアクセスを維持するためにシステムを改ざんすることもできる。執拗にアクセスし続けることで、APT 攻撃者はネットワークやビジネスプロセスに関する知識を得て、断片的な情報を再構成し、組織が持つ重要性の高い情報や資産を奪取し、場合によっては破壊活動を行う。そのため APT 攻撃者は、強大な軍事力を持つ政府やサイバー犯罪組織、その他の豊富なリソースを持つ組織など、資金力と政治権力を擁した組織からの任務を請け負い活動を行うものと考えられている。

 US-CERT によると、APT は標的とする組織に対して執拗かつ長期的に活動を行うため、一度でも狙われた組織は、今後も狙われる可能性が非常に高いとされる。その活動には、攻撃者、標的、目的という3 つの要素が含まれているとしている。
 APT 攻撃者は、明確な攻撃の目的と実行能力を有し、組織化され、十分な資金を持ち、また豊富な経験を有する者が連携して活動する。

【想定される攻撃者】

  • 競合他社、ハクティビスト
  • 国家スパイ、産業スパイ
  • 犯罪組織
  • 競合他社、国家が後押しする団体
3) 標的型攻撃に備えた訓練をすることの意味

 JTBでは、2年前より定期的(1か月に2回)に疑似的な攻撃メールを送る訓練を行っていたとのことです。訓練の結果がどうだったかはわかりかねますが、これだけの頻度で訓練をしていたということであれば、社内では一定程度の脅威やリスクに対する認識もそれなりに高かったのではないかと思料されます。ただ、このような事態を招いてしまったという現実をみると、サイバー攻撃者は、企業や組織よりも構造的に優位な立場にあるということをあらためて受け入れる必要があります。つまり、攻撃者は防御側にあるセキュリティホールを一つ見つければ、そこから様々な攻撃の手口を仕掛けられるのに対して、防御側は、全てのセキュリティホールを把握し対策を取ることが必要で、これは事実上不可能であるということです。

 APTは攻撃対象に対して、その相手に適合した方法、手段を適宜選択しながら侵入、潜伏し、数ヶ月から長年にわたって継続するサイバー攻撃です。標的型攻撃に使われるメールは対象組織の業務や特定の個人に関連した内容が使われることから、文面からでは判断が難しいものになっており、単純なメール対策だけでは防御は困難と考えられます。
 JTBが既に実施していたように、標的型攻撃対策の一環として「模擬標的型攻撃メール訓練サービス」などがIT、セキュリティベンダーから提供されていますが、実施した際は、必ず誰かが開いてしまうという結果が出ています。
 この訓練の目的は、標的型攻撃に対する組織の耐性強化の一環であり、従業員のセキュリティリテラシーの測定や、万一、不審なメールを開いてしまった場合にも、その被害を最小化する「人」の行動を確認できるという点です。つまり、疑いのあるメールを開くことを防止するだけでなく、万一開いてしまった後でもどう行動したら良いか、ということを身につけてもらうことも目的にしているということです。
むしろこちらの方が重要で、実際のサイバー攻撃は一人でもマルウェアに侵入されると、そこから組織全体に渡る侵入の踏み台になってしまいますが、特に標的型攻撃の場合、この開封率をゼロにすることは現実的には不可能だといえます。この訓練は、標的型攻撃に対する、組織への注意を喚起するための周知の手段ともいえ、注意喚起の全社周知を図るだけでは訴求効果が薄いのですが、ある程度の割合の人が開封するような「訓練」という形をとることにより、多くの人の注意を喚起し、事後対策を含めて対応を具体的に身に付けることがより重要だといえます。

 最近の標的型攻撃で使われているマルウェアは、今までのような「使い回し」ではなく、攻撃のたびにプログラムを改変・修正して、意図的に変化させているものもあります。この場合、一般のアンチウィルスソフトでは、検知することは困難です。一般のアンチウィルスソフトは、過去に認識された攻撃パターンをデータベース化し、1つの攻撃パターンを1つの守り方として管理した上で、怪しいファイルを排除する方式をとっているためです。
 一般のアンチウィルスソフトは現在でも有効な方法ですが、阻止できるのは、これまでに知られ、分析が完了した攻撃だけです。また、実際にマルウェアが侵入した場合でも、見た目に怪しいと思われる挙動がない場合もあります。添付ファイルを開いても、URLをクリックしても、何も動いていないように見えて、実はその後のダミーファイルが出てくる場合などもあります。特に最近では攻撃手法が巧妙になり、怪しいと思われる挙動に気がつくことが難しくなっている状況です。対策として、日ごろから何もみずに添付ファイルを開いたり、安易にURLをクリックせずに、一呼吸置くことを心がけることだけでも危険度は下がります。

4) 標的型攻撃に対する対策

 標的型攻撃を受けた場合、特定の個人やグループを対象とした巧妙なメールが送られてくることから、攻撃メールの開封率をゼロにすることは困難であり、かつ今までのアンチウィルスソフトだけでは検出が困難、といった厄介なものになります。とはいえ、アンチウィルスソフトや脆弱性に対応したパッチがまったく無力というわけではありません。
 従って、日頃からアンチウィルスソフトやOS、パッケージアプリケーションソフトのアップデートをきちんとしておくことがまずもって重要です。「最新のパッチを当てる」、「各種アプリケーションを最新バージョンにしておく」「適切なものを使う」、などを組織的に運用、管理しておく体制が必要です。

 さらに、標準的な迷惑メール対策をしておくだけでも簡単な偽装なら回避できるため、標的型攻撃のメールが届く確率を減らすことができます。まずはクライアントPCの設定、メールの送受信の設定をしっかり行うなど、標的型攻撃が通れる穴をできるだけ小さくすることが重要だということです。

 アンチマルウェアソフトでは検知できないマルウェアを発見できる可能性を高めるために、高精度のマルウェア検知解析システムを導入する方法も出てきています。これはサンドボックスと呼ばれる手法で、実際に送られてきた疑いのあるファイルをユーザー環境とは別に用意した仮想環境で、開封しその挙動を調べる技術です。

 標的型攻撃に対しては、「侵入されることを前提に、(1)侵入を検知し組織内のシステムに感染が拡大することを防ぐ、(2)情報そのものの漏えいを防ぐ」という総合的な対策が必要になってきています。侵入を検知し早期に感染拡大を防ぐ方法の一つは出口対策です。特定のクライアントPCにマルウェアが仕込まれた場合、感染拡大のために外部のC&Cサーバ(C&Cサーバ(コマンド&コントロールサーバ)とは、サイバー攻撃などにおいて、マルウェアに感染したコンピューター群を制御したり、命令を出したりする役割を担うサーバーのこと。)と通信を行うことがよく行われます。

 この外部との通信を検知して侵入を特定するには、外部との通信経路にIDS/IPS(IDS:「Intrusion Detection System(侵入検知システム)」、IPS:「Intrusion Prevention System(侵入防御システム)」)や、URLフィルターあるいはDNSのモニター装置を設置するといった外部との通信をモニタリングするセンサーを設置する方法があります。もちろん実際の運用にあたっては、これらの各システムに対してあらかじめC&Cサーバと疑わしいIPアドレスやURLを特定し検出を行うためのチェック体制を準備しておく必要があります。

5) 攻撃者の狙いに対する施策

 侵入後に攻撃者がどこをめざして侵入路を拡げていくかと考えたとき、多くは情報システム内部の管理権限のアカウントを狙ってくると考えられます。アクティブディレクトリ(AD)サーバやファイルサーバ上にダミー管理者を設定し、ここへの不正アクセスが行われていないか定期的に監査ログを見るようにすることも対策の一つです。

 以上、システムの内部に侵入された場合の検出方法を述べましたが、実際の情報システムの運用・管理にあたっては、その規模が拡大すると、なかなか人力だけでは十分な監視ができません。さまざまな情報機器のログ情報を一元的に収集し、異常な通信やアクセスを自動的に検知して、警報を出す管理システムが必要になります。

 このようなニーズに応えるために最近ではSIEM(Security Information and Event Management)を導入するケースも増えてきています。SIEMはさまざまな情報機器のログ情報を一元的に管理するだけでなく、情報機器相互のログの相関を分析することで侵入を検知(振る舞い検知)する機能を有しています。

 内部侵入されたとしても、(1)極力重要情報の漏えいを防ぐ、(2)情報が漏えいしても攻撃者に読めないようにする、といった対策を打っておくことが考えられます。
 重要情報の漏えいを防ぐには、情報が格納されているシステム(PC、ファイルサーバー、データベース)へのアクセス権を奪われないように、ログインのためのパスワードやACL(Access Control List)の管理を日頃から強化しておくことが重要になります。また、攻撃者に侵入され情報漏えいが発生したとしても、持ち出された情報が暗号化され攻撃者に解読できない情報であれば、それも対策の一つになります。PCやファイルサーバーに格納する重要なファイルは必ず暗号化するとともに、パスワードを安全に管理しておくことが重要です。安全なファイル管理のもう一つの手段としては、DRM(Digital Rights Management)を利用することも考えられます。例えば、Microsoft社のSharePoint2013ではオフィスファイルやPDFといったファイルをフォルダに格納する段階で自動的にDRMが付与され、同じドメイン内でない限り開くことができないようになっています。PCやファイルサーバーに作業ファイルを保存する場合、どうしても暗号化してパスワードを設定することに手間がかかって、守られないケースがよくありますが、これであれば自動的に暗号化が行われますので、運用の手間が軽減されます。

 もし侵入が確認された場合は、デジタルフォレンジックによる調査が必要になります。この場合、侵入が特定されたPCに対してはネットワークケーブルを抜いたあと、ノートPCならバッテリーを外し、自社のインシデントに対応する専門部隊や外部機関(JPCERT/CCや警察など)との連絡窓口を設定しておき、速やかに連絡・連携のうえ調査してもらう必要があります。うっかりシャットダウンしてしまうと、ハードディスクのログが書き換わってしまい、調査ができなくなる場合もあります。

 さらに特に忘れがちなのは、侵入経路や被害範囲の特定が必要になります。この場合、必要になるのは各情報機器のログになります。必要と想定される期間ログを確実に収集し保存しておき、被害が確認された場合の被害範囲の特定に利用する必要があります。

 今回のレポートでは、標的型攻撃に対して、主に技術的な視点で対策に触れました。企業全体でセキュリティの強度を高めるには、企業内にある複数のセキュリティ対策をまとめて一つとして捉え、効果の出る組み合わせを考える、全体最適の視点が欠かせません。防御力の高さに注目して、とにかく性能のよい物を選んでいる場合、特定の階層に着目すると確かに防御は固いといえます。しかしこれでは、システム全体で考えるとセキュリティ対策の効力が薄くなるうえに、運用効率も落ちてしまうことになります。例えば、(1)防御性能の高い製品を導入したのに、実際に防いでいるかどうかを確認する監視ツールがない。(2)監視体制は整えたものの、確認の必要な管理画面やレポートの数が大量になり、運用が回らなくなる。(3)対象ユーザーが多すぎて適切に管理できない。(4)新しいセキュリティ製品を導入する際、既存の認証基盤との連携を考慮しない。その製品専用のユーザー管理が必要となり、工数が増えてしまう等。これば部分最適の弊害であり、もしその恐れがあるなら、対策の方針そのものを見直し、全体最適の対策を目指して改善策を検討していきたいところです。全体的な最適化を考えることで防御力の向上や、運用管理の効率化だけではなく、コストの削減という観点でも効果が期待されます。

 企業におけるセキュリティ対策については、企業全体にわたって業務とシステムの最適化をはかる「エンタープライズアーキテクチャー(Enterprixe Architecture:EA)」をベースにしたアプローチがありますが、この部分についてはまた別の機会で詳細についてレポートしたいと思います。

【もくじ】へ

2.最近のトピックス

◆経済産業省 「IoTセキュリティガイドラインを策定しました」

 総務省および経済産業省は7月5日、「IoTセキュリティガイドラインver1.0」および意見募集の結果を公表しました。IoTセキュリティガイドラインの目的は、IoT特有の性質とセキュリティ対策の必要性を踏まえています。また、IoT機器やシステム、サービスについて、その関係者がセキュリティ確保の観点から求められる基本的な取組を、セキュリティ・バイ・デザインを基本原則としつつ、明確化することによって、産業界による積極的な開発等の取組を促すとともに、利用者が安心してIoT機器やシステム、サービスを利用できる環境を生み出すことにつなげるものとしています。これは、サイバー攻撃などによる被害発生時における関係者間の法的責任の所在を一律に明らかにすることではなく、むしろ関係者が取り組むべきIoTのセキュリティ対策の認識を促すとともに、その認識のもと、関係者間の相互の情報共有を促すための材料を提供することだということです。
 Iotに関するリスクについては、次回の「リスクフォーカスレポート」で取り上げます。

◆一般社団法人JPCERTコーディネーションセンター「2015年度 CSIRT構築および運用における実態調査」

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は6月29日、組織内の情報セキュリティ問題を専門に扱うチームとなるCSIRT(Computer Security Incident Response Team)について、アンケートおよびインタビュー調査の結果をまとめた「2015年度 CSIRT構築および運用における実態調査」を公表しました。事後対応においては、多くのチームが、アラートの発行やインシデントハンドリング、脆弱性ハンドリング、ログ分析など広くサービスを手がける一方、事前対応や、セキュリティの品質管理に関しては、組織によって提供するサービスにばらつきがあるとしています。また、緊急度の高いインシデントへの対応では、「システムを停止する必要性について助言ができる」とするチームが56チームと多く、「システムを停止する権限がある」のは8チームにとどまったとしています。

 本レポートは、それぞれの組織でのCSIRTの運用実態や個性が見られ、これから構築を検討する際にも参考になります。高まる情報セキュリティリスクに対し企業が組織的な対策を講じようとする際、どこに注意を払うべきか、実効性のあるCSIRT構築には、まずは自社のリスク分析と、自社にとって可能性のある脅威の種類をよく知ることに尽きます。最も重要なことは情報資産への脅威に対して、組織的な対応による水際での防衛と、万が一の際の被害(ダメージ)の極小化だといえます。自社になぜCSIRTが必要なのか、経営層をはじめ組織全体で考える必要があります。CSIRTを設置する意義や目的、ミッションを明確にすることが大事です。


◆KPMGコンサルティング「サイバーセキュリティ調査2016」

 KPMGコンサルティング株式会社は、サイバーセキュリティへの企業の課題認識に関する調査「サイバーセキュリティ調査2016」を発表しました。「サイバーセキュリティ調査2016」は、KPMGインターナショナルとKPMGコンサルティングが実施した企業のサイバーセキュリティに関する対応についての調査結果をまとめたものです。本調査は、KPMGインターナショナルが世界のCEOを対象に行った「KPMGグローバルCEO調査2015」から得たグローバル企業におけるサイバーセキュリティに関する対応調査、ならびにKPMGコンサルティングが国内大手企業の情報システム部門責任者を対象に実施したサイバーセキュリティに関する対応調査から構成されています。

 国内大手企業の情報システム部門責任者を対象とした調査結果によると、企業の65%が「サイバー攻撃は防ぐことができない」と考えていることがわかっています(「非常にそう思う:26%」「どちらかといえばそう思う:39%」)。また、68%が「サイバー攻撃の予防は取締役レベルで議論すべき」と回答しています。自社へのサイバー攻撃に対しては、46%が「発見する能力がない」と答え、21%が「効果的に対処できない」と回答しています。

 注目すべきは、「サイバー攻撃は防ぐことができない」と回答した企業が65%に達しており、サイバー攻撃を受けたことを発見・対処するための対策が未実施か遅れている可能性が推測されます。セキュリティ事故の発生はある程度やむを得ないとしても、発見や対処の対策を充実させることが喫緊の課題だといえます。

 サイバー攻撃対策の導入状況では、「ネットワークのセグメント化(ファイアウォールの導入など)」が85%、「ログ収集のための仕組み(ツール、システム)の導入」が69%と技術面での対策は進んでいるものの、一方でガバナンス面(フォレンジックチームの組成:8%、モニタリングチームの組成:19%)やプロセス面(サイバー攻撃を検出する手続きの整備:41%、定期的なペネトレーションテスト:22%)における対策の導入は進んでいないことが明らかになっています。

 サイバー攻撃の「予防」のための年間予算についての質問では、「1,000万円未満」がもっとも多く55%、「1,000万円以上2,500万円未満」が18%、「2,500万円以上7,500万円未満」が12%と続いています。また、年間売上高別で見ると、売上高1兆円以上では「1億5,000万円以上」が4割を占めた。業種別では、「金融・保険業」の年間予算が多い傾向にあり、逆に低い傾向にあるのは「サービス業」という結果です。事業規模やサービスの種類によりますが、1000万円未満で講じる対策は、限定されていると言わざるを得ません。一方、セキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実です。そのためセキュリティ対策は力のいれどころと抜きどころが重要であり、経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示する必要があります。とはいえ、企業がリスク管理に投入できるリソースは限られています。また、リソースの配分はあくまで自社のリスク判断事項ですが、リソースを重点的に配分(投入)しよう(逆に、そうでない部分についてはより簡素化した取組みレベルで行う)とする手法が実務的かつ有効だと言えます。


◆福岡県警察「サイバー妖怪図鑑」

 福岡県警の「サイバー妖怪図鑑」がリニューアルされています。様々なサイバー犯罪類型について、妖怪図鑑として漫画形式で注意喚起するページとなっており、青少年にも馴染みやすく学べるサイトになっています。

 例えば、「偽サイト妖怪 タヌケチ」では悪質サイトの利用にともなう危険性についての注意喚起がなされています。

【悪質サイトの注意すべきポイント】

 

  • URL 意味のない数字が羅列等
  • 連絡先がフリーメール
  • 振込先口座 「銀行振込」の前払い決済/名義人が外国人
  • 価格が極端に安い/不自然な日本語表記
  • 電話番号が掲載されていない など

【もくじ】へ

3.最近の個人情報漏えい事故(2016年5月、6月)

 下記の表は、今年5月と6月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
 ※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。

業種 発生原因 対象 備考
1 労働局 書類紛失 7事業所の代表者名など27人分の氏名 誤廃棄の可能性
2 児童自立支援施設 USBメモリ紛失 施設に入所している児童1人の住所や氏名、入所の経緯のほか、79人の名簿や4人の写真
3 区立小学校 書類紛失 学校情報配信システム」の登録用紙84枚で、児童84人分の電話番号やメールアドレスなど 当該書類は現在も見つかっておらず、同校では、保護者会で報告と謝罪
4 区立小学校 書類紛失 学校情報配信システム」の登録用紙84枚で、児童84人分の電話番号やメールアドレスなど 当該書類は現在も見つかっておらず、同校では、保護者会で報告と謝罪
5 港湾局 メール誤送信 443件のメールアドレス 誤ってToで送信
6 書類紛失 水道利用者の氏名や住所、メーター番号など245件 委託先職員が水道メーターの検針作業中に紛失
7 市立小学校 名簿紛失 児童の氏名や住所、電話番号、保護者名など
8 県立病院 USBメモリ紛失 患者氏名及び大腸カメラの画像データ 同院では、患者及び紹介元の診療所への説明と謝罪を行った
9 プロパンガス販売 書類紛失 163件の顧客書類や制服・社員証など 駐車場から作業用軽ワンボックス車1台が盗難
10 医療ガス 書類紛失 自宅で医療用機器を利用している顧客525人の氏名や受診医療機関名などが記載された書類 車上荒らし
11 県立高校 USBメモリ紛失 生徒529人分の氏名や成績、座席表が保存 教諭はUSBメモリをどこに置き忘れたか記憶にないとしており、同校では、保護者会を開き説明と謝罪をするとしている
12 地方銀行 帳票紛失 顧客の氏名や電話番号、口座番号など個人と法人合わせて約2千件 誤廃棄の可能性
13 イベント企画 メール誤送信 メールアドレス61件 誤ってToで送信
14 書類紛失 申込者100人分の氏名や住所、性別、生年月日、年齢
15 ケーブルテレビ 書類紛失 30人分のクレジットカード番号や7人分の口座番号など 営業委託先の従業員が名古屋市内の路上に車を置いてその場を離れた隙に窓を割られ、加入申込書のコピーが入ったバッグが盗難
16 県立大学 USBメモリ紛失 学生名簿やアンケートなど約940人分の個人情報 USBメモリを入れていたポーチごと紛失
17 書類紛失 国民健康保険税の滞納者、28世帯87人分の氏名や住所などを記載した管理台帳 自家用車に置き忘れ、盗難
18 市立中学校 書類紛失 生徒33人の住所や電話番号のほか、他クラスを含む生徒56人の薬の服用状況など 校内で保管していた修学旅行の職員用しおり1冊
19 大学医学部付属病院 SDカード紛失 患者12人の氏名と患部の画像など
20 県立高校 誤送付 就学支援金支給対象者の氏名や支給額など 同姓の生徒2人への通知が入れ替わって送付
21 県立高校 書類紛失 授業料や教材費の支援金に関する申請書類138件分で、生徒の氏名や住所、保護者の所得状況など 誤廃棄の可能性
22 メール誤送信 159件のメールアドレス Bccで送信するところを誤ってToで送信
23 信用金庫 帳票紛失 個人顧客約1300件の氏名や住所、勤務先、印影など 誤廃棄の可能性
24 国立大学 USBメモリ紛失 在学生と卒業生約1700人の氏名や学籍番号、成績など 学内で紛失
25 楽器販売 書類紛失 音楽教室生徒55人の氏名や電話番号など 音楽教室講師の車両が車上荒らしに遭い、車内から鞄が持ち去られた
26 誤送付 受給者の氏名や住所、所得額、対象児童の氏名など 書類を機械で折り込み中に他の受給者への送付分に紛れた可能性
27 県警 FAX誤送信 所在不明者の氏名や住所、特徴などを含む書類 署員が県警本部にFAX送信する際、誤って報道機関4社に誤送信
28 信用金庫 書類紛失 顧客の氏名や住所、電話番号にくわえ、口座番号、取引金額、印影、運転免許証番号など 誤廃棄の可能性
29 音楽・配信 不正アクセス キャンペーン応募者の個人情報約35万件で、氏名、住所、電話番号、メールアドレスなど
30 学習塾 不正アクセス 生徒1340人と一部重複を含む保護者1421人分のあわせて2761人分の個人情報。氏名、住所、電話番号、性別、学校名、学年、メールアドレスなど。
31 不正アクセス なし
32 本販売 書類紛失 2014年6月から12月の間に同店で品物の買取サービスを利用した顧客の氏名や住所、電話番号、年齢、職業、取引内容などが記載された古物取引承諾書1227件
33 ソフトウェア 誤開示 利用者1人の氏名や住所、電話番号 システム不具合
34 労働基準監督署 書類紛失 被災労働者の氏名や年齢、障害の部位のほか、発生事業者名や発生した日時、状況などが記載されている推定約1700件の労働者死傷病報告書 誤廃棄の可能性
35 市立小学校 名簿紛失 児童30人の氏名や住所、電話番号、生年月日、保護者氏名、兄弟関係など 規定の手続きを行わず持ち出していた
36 区立小学校 書類紛失 児童の氏名や学校名、学年、電話番号、メールアドレスなどが記載された学校情報配信システム登録用紙84枚
37 業務外閲覧 職員が、業務とは関係なく住民基本台帳システムを使用し、住民2人の個人情報を15回にわたって閲覧 住民基本台帳システムにおけるアクセスログの個人情報開示請求が4月に提出されたのを受け、請求人を含む住民2人のアクセスログを確認したところ、同職員が2人の住民情報を閲覧していたことが明らかになった
38 核物質管理センター 不正通信 なし 職員のパソコンが外部と不正な通信を行っていた問題で、従来発表された内容よりも以前にインシデントが発生していたが、原子力規制庁へ報告されていなかった
39 ガス 書類紛失 顧客814件の氏名と住所など
40 名簿紛失 市内にある事業所30件の名称や所在地、電話番号、活動の有無など
41 テレビ・放送 メール誤送信 氏名や住所、電話番号、メールアドレスなど115人分のプロフィール 誤って外部へメール送信
42 車販売 書類紛失 氏名や住所、電話番号、メールアドレスなどが記載されたリスト1146件 車上荒らしで鞄ごと盗難
43 誤公開 自治会名や世帯数、班数、各戸配布数、回覧配布数のほか、自治会長の氏名と電話番号が記載された自治会長名簿
44 市立病院 USBメモリ紛失 患者の氏名やID、主治医名、治療開始日、診療科名、オリエンテーション実施日、化学療法名などが含まれる外来で化学療法のオリエンテーションを受けた患者最大1057人分の個人情報
45 専門学校 不正アクセス サーバ内に保存されていた2009年度以降の求人票情報約5000件。求人票情報を提供した事業者の名称、住所、採用担当者の氏名、電話番号、ファックス番号、メールアドレス、採用予定数、採用希望学科など
46 不正アクセス 役場職員のパソコンが外部より遠隔操作され、内部に保存されていた議会の関連データが抜き取られた可能性 業務と関係ないサイトを閲覧。その際にマルウェアをインストールされた
47 ソフトウェア メール誤送信 登録者260人 送信の作業手順に不手際があり、送信先とは関係ない登録者の氏名や会社名、部署名、登録番号が記載された。
48 県立病院 USBメモリ紛失 氏名や生年月日、年齢、性別、病歴、検査データ、カルテ番号などが記録された患者237人分の個人情報を記録したUSBメモリ 同院では、原則USBメモリへ個人情報を保存せず、保存する場合は、所属長の許可を得て、USBメモリやファイルにパスワードをかける規則だったが、守られていなかった。
49 書類紛失 受講証明書や、職業訓練実施状況報告書などで、氏名と雇用保険支給番号などが記載されていた。また2人については、住所や面接先企業名などが記載された面接証明書
50 国民健康保険団体連合会 書類紛失 療養費受給者の被保険者証記号、番号や生年月日、性別、公費負担額、療養費支給額、受診した医療機関や施術者名、診療年月などが記載された一覧表1276件 誤廃棄の可能性
51 消防署 書類紛失 被災証明願6件と災害情報請求書13件
52 監査法人 パソコン紛失 会計関係データ2万4019件を保存。2万3584件の個人情報。(氏名のみ) 車上荒らし
53 旅行代理店 不正アクセス 氏名や性別、生年月日、メールアドレス、住所、電話番号、パスポート番号、パスポート取得日など約793万人分の顧客情報
54 持ち出し 1938年4月1日から1974年3月31日までに生まれた住民の氏名や住所、電話番号、年齢、性別、生年月日、被保険者証番号などが含まれた約13万件の個人情報。また、がん検診無料クーポン券の送付対象者の氏名や住所、年齢、生年月日も保存されたUSBメモリ 愛媛県松山市の元職員が、同市が作成した特定健康診断の対象者名簿など個人情報を不正に持ち出したとして、同市個人情報保護条例違反の容疑で6月14日に逮捕された
55 介護サービス 不正アクセス 1万6399件に関してはメールアドレスのみ、47件についてはメールアドレスのほか、氏名や住所、電話番号などが含まれる可能性
56 国立大学 USBメモリ紛失 2015年度に担当した科目の受講生によるもので、手書きで記入、提出したレポート約1600人分
57 旅行代理店 不正アクセス 2015年10月1日から2016年3月4日にかけて、「クラブゲッツ」でクレジットカード決済を利用した顧客情報2519件のほか、2004年4月から6月、および2006年6月に同社へ問い合わせを行い、カード決済を利用した顧客情報203件。いずれも氏名や住所、電話番号、メールアドレスのほか、クレジットカード番号や有効期限
58 国立大学 誤公開 学生や卒業生、退職した教員あわせて16人分の個人情報。氏名や生年月日、入学年度、認定科目名と単位数、出身校、学生の身分異動内容など
59 中央病院 USBメモリ紛失 センター利用者11人の氏名と住所をはじめとする介護支援情報のほか、家族2人の氏名と電話番号
60 信用金庫 書類紛失 2013年4月1日から2014年3月31日までの間に解約された預金証書と預金申込書で、1194件の個人顧客を含む1281件の顧客情報が含まれていた。氏名や住所、電話番号、生年月日、勤務先、印影、預金申込金額など 誤廃棄の可能性
61 ネットショップサイト 不正アクセス 62万5578件におよぶ会員のID、ハッシュ化したパスワード、氏名、生年月日、性別、住所、メールアドレス、職業、ポイント情報、決算区分など 2年前の公表時から、店舗情報6116件や会員情報62万件の流出があらたに判明
62 博物館 メール誤送信 メールによる情報提供を希望した214人 2度にわたって誤送信
63 鉄道 メール誤送信 契約時の登録メールアドレス206件 宛先にメールアドレスを設定
64 東京都 メール誤送信 送付先は233件で、そのうち60件ほど個人のメールアドレスも含まれていた 宛先にメールアドレスを設定
65 商工会議所 USBメモリ紛失 補助金を申請した20事業者の企業名や経営者氏名、住所、連絡先、経営計画、決算書など
66 不正アクセス 教職員、生徒、保護者の氏名、住所、電話番号のほか、成績関連書類、生徒指導関連書類、サーバのIDとパスワードなどをはじめ、9589人分の個人情報
67 総務省 ハードディスク紛失 委託研究開発に関するデータ

 「36」は、内部関係者が重要情報を不正に閲覧していた事案です。似たような事案で、以前にも大阪市で職員56人が業務外で著名人や知人らの戸籍を不正に閲覧していたことがありました。当時は、戸籍事務を担当する職員が、市長や著名人らの戸籍情報に不正アクセスしていたということで、そのほとんどが興味本位や個人利用目的だったとされています。
 このような事案は、正規の権限を与えられた人物が不正に情報を閲覧しており、アクセス制御では防ぎようがありません。この点、過去の個人情報漏えいの等に関するインシデント報告等を見ても、内部不正にかかる情報漏洩で被害の大きいケースは、「正当な」アクセス権限を持つ人物が「正当な」作業手順で、「不当に」データ収集・持ち出しを故意に行ったというケースです。
 本事案等の対策を検討するにあたっては、従業員の意識や情報モラルも当然重要だと思いますが、組織としてまずは資産である情報の重要性とその脅威を明確にし、「アクセス権限を持つ人物を最小限に留める」「退職者など、アクセス権限保持者に異動があった場合には速やかにそのIDとアクセス権を削除する」「アクセス状況をモニタリングする」などの基本的な部分をあらためて確認してみる必要があります。

 「37」は、核物質管理センターにおいて、職員のパソコンが外部と不正な通信を行っていた問題で、従来発表された内容よりも以前にインシデントが発生していたが、原子力規制庁へ報告されていなかったことがわかっています。本件は、青森県六ヶ所村にある六ヶ所保障措置センターの職員が使用していたパソコンにおいて、2015年1月19日にファイル共有ソフト「eDonkey」による不正な通信を検知し、2月19日には、センターのDNSサーバがDDoS攻撃の踏み台に利用されたことを外部機関より指摘されていました。
 同センターでは、2015年8月および9月に外部と不正な通信を行っていたことが判明し、2016年1月に原子力規制庁へ報告し、公表していますが、今回判明したのは、それよりも前のインシデントで、いずれも対応を講じたものの、内規などに反して原子力規制庁へ報告していなかったとのことです。同センターでは、今回の問題について、有事の際の報告連絡体制に不備(特に今回のような事案が有事として認識されていたなかったこと)があり、セキュリティリスクへの対応を真摯に行っていなかったとし、理解も不十分だったと説明しています。また、今後組織体制の整備や非常事態体制の設置、セキュリティマネジメントの導入、ネシステムやネットワークのセキュリティ対策など、再発防止に取り組むとしています。
 本件だけに限ったことではありませんが、原子力の分野だけではなく制御システムは、電力・ガス・石油などのエネルギー分野や、鉄鋼・化学等のプラント、鉄道、航空等の交通インフラ、電機・機会・食品等の生産ライン、商業施設・オフィスビルの設備管理などで幅広く用いられ、社会・産業基盤を支えています。工場で生産ラインの機械を自動で動かしたり、電気炉の温度を一定に保つために自動で調整したり、産業用オートメーションの自動化・効率化に欠かせないものです。一方で、年々、制御システムに対する不正アクセスやマルウェアの感染などのサイバー攻撃は増加しており、工場の生産ラインの停止や設備損傷、環境汚染等を引き起こし、企業や場合によっては国家レベルで甚大な損失を与える可能性が高まっています。
 本件、重要情報の外部流出やインフラへの影響はなかったとのことですが、有事に関する情報の報告体制その他有事における対応体制に関する事前のルール化と、特に、有事に関する情報が責任者に迅速に伝わるような体制を事前に構築しておくことが望まれます。

【もくじ】へ

セミナーや研修について

 当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
 セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】

株式会社エス・ピー・ネットワーク 総合研究室

Mail:souken@sp-network.co.jp

TEL:03-6891-5556

Back to Top