情報セキュリティ トピックス
総合研究部 上席研究員 佐藤栄俊
【もくじ】
はじめに
1.定着してきたVPN
2.狙われるVPN
3.国内38社、VPNで不正接続
4.信頼しているものが侵害された場合の脅威
5.テレワーク以前の落ち度と問題
1.在宅勤務の落とし穴、テレワーク普及以前の問題も
はじめに
一般的に、VPN(Virtual Private Network)は安全な通信のための対策と考えられていますが、特に急ごしらえでテレワーク環境を整備した企業は、VPN接続を狙ったサイバー攻撃への警戒が必要です。新型コロナウイルス感染拡大から数カ月が経過した今、VPNや修正プログラム適用だけでなく、従業員に臨時に付与したアクセス権限や迂回運用等、「その場しのぎのテレワーク環境」全体を再点検する時期に来ています。ルールや脅威をどのように周知するのか、曖昧にしたり、個人任せにしたりするのではなく、組織全体で情報セキュリティ体制やルールを見直すことが肝心です。そのためには、現時点での課題や問題点を洗い出し、教育も含めたセキュリティ対策をあらためて点検しておく必要があります。
弊社では、こうした新たな環境に対するアセスメントに対して、「情報セキュリティ簡易診断」サービスを今月末から開始する予定です。危機管理専門企業のチェック項目と状況の確認で、客観的視点からセキュリティ上の問題点・課題、改善の方向性などを助言しますので、自社の問題把握のファーストステップとして、ぜひご活用ください。
※「情報セキュリティ簡易診断」サービスの詳細については、別途ご案内申し上げます。
1.定着してきたVPN
テレワークの推進などの後押しを受け、社外に持ち出したPCや自宅のPC等を組織内部のネットワークに安全に接続させるための手段とてVPNを利用する機会が定着してきました。
VPN(Virtual Private Network)とは、仮想通信網のことを意味しており、拠点間等において、仮想的にプライベートで安全な通信を確立するための技術です。例えば、全国の支店や本社といった拠点間で通信をおこなう場合、第三者にデータの中身を知られないことが重要です。そこで安全な通信を確立するために、専用線やVPNといった技術が一般的には用いられています。
【VPNの利用シーン】
- 企業の拠点間を接続する
- モバイル端末と企業ネットワークとを接続する
- 自宅にある個人所有の端末と企業ネットワークとを接続する
- 個人が公衆Wi-Fi利用時などに、プライベートで利用する
上記のように、数々の企業・組織が社員の社内ネットワーク接続のため、仕事でVPNを使用するようになりました。社内ネットワークをインターネットで構築しながらも、指定されたVPNを利用する者のみが接続できるようにする形です。専用回線でネットワークを構築する方式に比べコストを抑えながらも、一定レベルのセキュリティを維持する事が可能になります。しかし、このような事例は全て「VPNを利用すれば安全が保障される」という前提で行われていますが、「必ずしも安全が保障されているわけではない」ということを認識する必要があります。
2.狙われるVPN
VPNには「プライベート」という言葉が内包されることもあって、その安全性を盲信してしまいがちです。確かに、何も対策を講じないよりも安全ではありますが、万全ではありません。例えば、下記のような事故が実際に起こっています。
2018年3月、オンラインゲームを運営する企業グループ傘下の子会社において、サーバーへの不正アクセスが確認されました。攻撃者はVPNを経由しサーバーにアクセスしていおり、利用者の個人情報漏えいは確認されていないものの、13タイトルものゲームがサービスの停止を余儀なくされ、事業に大きな影響を与えました。この事故では、社内チャットからVPNにログインするための情報が収集され、悪用されたと報告されています。要するに、堅牢な通信環境とされるVPNであっても、ログイン情報を適切に管理できなければ不正アクセスを許してしまうということです。
また、2020年2月には、三菱電機への大規模なサイバー攻撃で、不正アクセスの起点がVPN通信機器へのハッキングだった可能性が高いことが報じられました。防衛省、環境省、内閣府、原子力規制委員会、資源エネルギー庁などの官公庁や政府機関、電力、通信、JR・私鉄、自動車の大手を中心に少なくとも数十社の国内外の民間企業に関する様々な情報が不正アクセスの対象となっており、共同開発や商談、製品の受注、会議の資料、防衛技術の性能や、重要な社会インフラに関する情報の窃取が目的とされています。詳細が公表されているわけではありませんが、中国拠点のPCで外部との不審な通信がないか調べたところ、中国国内にあるデータセンターに設置されたVPN装置に不正アクセスの痕跡が見つかったというものです。装置は中国など海外の拠点と日本の拠点をネット回線を介して互いにつなげる役割があり、この装置へのハッキングが社内ネットワークへの侵入のきっかけだったとみられています。
3.国内38社、VPNで不正接続
2020年8月下旬、国内企業が使うVPN製品から認証情報などが流出したことが報じられました。VPN接続に利用されるパルセキュア社の製品の脆弱性を突かれてアカウント情報が盗まれたというものです。世界で約900社が被害を受け、38社の日本企業も含まれていました。
対象となったのはパルセキュア社のVPN機器(Pulse Connect Secure)で、同社ではこの機器について2019年4月に脆弱性を公表、修正プログラムも公開しており、JPCERT/CCからも注意喚起が公開されていました。情報が流出した企業では、この修正プログラムを反映していなかったとみられています。
▼JPCERTコーディネーションセンター「複数の SSL VPN 製品の脆弱性に関する注意喚起」
被害を受けた一社、平田機工はプレスリリースの中で、経緯の詳細を説明しています。それによると、同社は新型コロナウイルスの感染が拡大し、緊急事態宣言が出された4月中旬からテレワークを始めていました。それに伴いVPN装置の負荷が急増したため、昨年度に交換して外していた旧VPN装置を急きょ再導入し、負荷を分散することにしたそうです。
ここで、交換後の現行機種は脆弱性に対応済みだったのに、急きょ投入した旧機種は、脆弱性があるバージョンのままだったということです。緊急事態宣言というイレギュラーな状況に対応すべく、できる範囲での対策の裏に落とし穴がありました。
今回の不正アクセスの対象となった「Pulse Connect Secure」以外の機器を利用していても、安心というわけではありません。パロアルトネットワークス、フォーティネット、シトリックスといったベンダーが提供する多くのVPN製品でも、悪用されるとリモートから任意のコードを実行されたり、今回のように認証情報などを取得されてしまう恐れのある脆弱性が以前から指摘されています。米国国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、2020年3月に企業のVPNセキュリティについての注意喚起(AA20-073A)、5月には医療機関等が取り組んでいる新型コロナ研究情報を狙ったAPT(Advanced Persistent Threat: 高度で持続的な脅威)攻撃への注意喚起(AA20-126A)を公開し、VPNとパスワードの脆弱性を突いた攻撃への警戒を呼び掛けています。すでに攻撃用に使えるコードも公開されていて、単に大きく報道されていないだけで、同様の攻撃を受けている可能性もあります。この製品を使っていないからといって安心するのではなく、いま一度利用している機器の棚卸しと脆弱性の有無を確認する必要があります。
4.信頼しているものが侵害された場合の脅威
前述の事案は、セキュリティを向上させることを期待して導入されたものが第三者(攻撃者)によって悪用された場合に何が起きるかというリスクの重大さを改めて我々に突き付けているとも言えます。また、本来は信頼すべきVPNというネットワークであるからこそ、それが知らぬうちに悪用された場合のリスクと想定される被害の大きさを正しく評価する必要があります。攻撃者が一度内部に忍び込んで認証・信頼された状態であれば、後の振る舞いには手が出ません。特に業務で利用するVPNは企業内ネットワークに接続するのが主な用途であり、そこに侵入された場合、内部情報を思うままに奪取できるという事を意味しています。前述の事案で被害に遭ったいくつかの企業は「内部侵入は確認されなかった」としていますが、過去にはVPN経由で不正侵入され、データを消去される被害にあったケースも発生しています。特に、日本国内の事案では、被害が顕在化するまで侵入や流出の事実に”気づけていない”だけのケースも現実には多くあり、被害を受けていること、または加害していることへの「認知」が脆弱です。現在の対策が本当に機能しているかどうかの確認と、情報管理上の不備や脆弱性を積極的にチェックして自ら問題に気づける取り組みが求められます。しかも、外部からのリモートアクセスを許さざるを得ない「入り口」は他にも存在しています。
典型的な例が、外部からのリモート接続に用いられるRDP(Remote Desktop Protocol)と呼ばれるサービスです。過去にはパスワードを総当たり攻撃で破られるという不正アクセス被害が発生した他、「Bluekeep」(Windowsのリモートデスクトッププロトコル(RDP)の脆弱性の通称)と呼ばれる深刻な脆弱性も指摘されています。修正しなければ、同様の被害に遭ったり、ランサムウェアを送り込まれたりする可能性は否定できません。不要なポートやサービスは停止することがセキュリティの鉄則ですが、企業が業務を継続するのに不可欠な閉じるわけにいかないポート、サービスはどうしても存在します。攻撃者はそこを狙ってくることを前提に、認証を強固にしたり、しっかり監視を継続して行う必要があります。
このように、脆弱性を突かれてパスワードを盗まれたり侵入されたりすることはVPN製品に限った話ではありません。インターネットからアクセス可能な製品やサービス全てが抱えるリスクです。
特に、急増する工場や施設へのサイバー攻撃による被害の背景にはIoT機器の脆弱な管理が一つの要因としてあげられます。サポートの切れたOSや出荷時の初期パスワードがそのまま機器に使用されていれば、攻撃側からすれば”最も攻めやすい部分”であることをあらためて認識し、早急に機器の技術面、および運用面のそれぞれで防御態勢を整え、侵入口を増やさない運用が求められます。多くのつながりのなかで、目が行き届いていない機器の存在を把握し、機器自体の状態、他の機器との通信状況、および不正な中継点とならないよう管理・運用上の規制を機能させる必要があります。機器の性質・設置環境などのリスクを評価したうえで、まずは優先的に対応をとるべき機器の特定と防御すべき範囲を明確にする取り組みが急務です。
5.テレワーク以前の落ち度と問題
三菱重工業は2020年8月、同社の名古屋地区の拠点をとりまとめる社内ネットワークが外部からの不正アクセスを受け、在宅勤務中の従業員のPC端末がマルウェアに感染する事象が発生したと明らかにしました。
同社によると、名古屋地区では2020年4月頃より従業員の在宅勤務を進めていましたが、このうち1名が社内ネットワークを経由せずにSNSを利用したところ、PC端末がマルウェアに感染というものです。その後、2020年5月に当該従業員が問題のPC端末を社内ネットワークに接続したため、マルウェアは社内ネットワークを経由し、別の端末に対して拡散、この結果、データベース内に記録されていた「機密性の高い技術や取引先の情報の流出はなかった」としているものの、サーバー設定に関する情報や、従業員の氏名やメールアドレスなどについて、流出の可能性があるとしています。本事案における発生原因は次のように発表されています。(一部抜粋)
- 「本事案は、SNSを悪用したソーシャルエンジニアリングが発端となっているため、その具体的内容を社内に周知し、注意喚起いたしました。また、本事案発生時点では、社有モバイルPCが社内ネットワークを経由せずに外部ネットワークに接続し、利用することが可能な状態にあったことが、悪意のあるソーシャルエンジニアリングによる被害につながったものと考えております。」
- 「影響範囲が当該従業員の社有PCから他機器に広がった要因として、同地区の一部のサーバのローカル特権アカウントに対し、同じパスワードが設定されていたことが考えられます。(特権アカウントを悪用され他機器にログインされたものと考えております。)」
つまり、社有PCを直接インターネットに接続した後、VPNに接続せずに直接SNSを利用した事が発端という事であり、SNSで何らかの方法でマルウェアのダウンロードと実行を促され、社有PCへの感染に繋がったものと考えられます。それと、特に気になったのが「特権アカウント」の管理の部分です。特権アカウントとは、システム設定の変更、ユーザーアカウントの新規作成や更新・抹消、アプリケーションのインストール、ファイル内容の閲覧などを唯一おこなえる特別な権限を持つIDでです。具体的には、UNIXやLinuxなら「root」、Windowsなら「administrator」といったIDで、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能になります。
この特権IDが悪用されると、サーバOS、ネットワーク機器OS、データベースなどであらゆる操作が可能である以上、システム設定の不正変更やマルウェア等の不正情報取得ツールのインストール、そして機密情報へのアクセスや持ち出しまであらゆる形態の不正行為が可能になります。コンピューターウイルスや不正アクセスにより、リモートコントロールや特権ID情報の取得を行おうとするハッカーたちの狙いも正にここにあります。
管理者用アカウントの適切な無効化等の確実な措置は、企業・組織にとって当然実施されていると思われがちです。しかし、企業・組織においてITシステムが規模を拡大しているなかで、サーバ仮想化によるサーバ台数の増加、ルーター、セキュリティ・アプライアンスなどの管理者用アカウントの管理は一層煩雑になっており、それに伴い書類上で削除されていることになっているのに当該アカウントが有効であったりするなどの現実があります。
実際の企業の現場では、情報システムの運用において「特権IDを共有で利用している」、「特権ID利用の申請ルールが徹底されていない」、「申請なしに権限を与えてしまう」、「証跡不足により、誰が・いつ・なにをしたか特定できない」、「退職者、異動者のID削除漏れが多い」といった諸問題が、潜在化したリスクであることを認識する必要があります。
この特権IDやシステム管理者権限の悪用は、テレワークであったかどうかはさほど関係がなく、情報セキュリティ関係の制度が整っているとされている組織・企業でも起こり得る盲点であることを改めて認識していただきたいところです。
上記に加え、止められないサービスを提供している機器やサーバに深刻な脆弱性が発覚したときにどう対応していくかという“古くて新しい”問題です。
セキュリティの大原則として、「脆弱性が発覚したらアップデートしたり、パッチを適用したりしましょう」ということは、今や当然のように誰もが持っている認識だと思います。けれども問題なく動いているシステムや機器には手を触れたくなかったり、運用委託先も含めたメンテナンス時期の調整に手間取ったり、あるいは前述の「イレギュラーな状態」と相まってシステムの中で忘れ去られていたり、そもそも存在すら認知されていなかったりという、原則には例外がつきものです。
しかし攻撃者はそうした例外を見逃しません。「パッチを当てて脆弱性を修正すること」はセキュリティの大原則ですが、実はその原則がまだ机上での認識であり、徹底されていない場面がまだまだあるということをと思い知らされます。セキュリティの常識も、誰もが“当たり前”だと思っていながら、きちんとそれに沿った対策ができていないというのが現状なのではないでしょうか。そのため、上記のような事案、事故の原因を目の当たりにして、他人ごとのように「なぜこんな単純なことができていないのか」と思いがちですが、今一度自社でも起こり得るリスクとして考えてみることが大切です。
最近のトピックス
▼日本サイバー犯罪対策センター「~フィッシングによる不正送金の被害に注意~」
一般財団法人日本サイバー犯罪対策センターは8月17日、銀行を騙るフィッシングメールによる不正送金の被害が急増していることを受けて注意喚起を行いました。
新しいフィッシングの手法として、2020年5月中頃から宅配便の不在通知を装いSMSを送りつけ、記載されたURLへ接続すると一見関係のないポップアップを表示させて銀行を騙るフィッシングサイトへ誘導する手口が確認されています。表示されるポップアップをスマートフォンからの通知だと思わせて利用者を騙しているものと考えられます。
同様に株式会社三菱UFJ銀行も8月14日、宅配便の不在通知を装う偽SMSについて注意を呼びかけています。同行によると、宅配便を装ったSMSに記載されたリンクにアクセスして不正アプリをインストールした場合には、自分のスマートフォンから同様の偽SMSが自動で配信されてしまう被害も確認されています。
2019年9月頃から銀行を騙ったフィッシングメールに記載されたURLからフィッシングサイトへ誘導し、インターネットバンキングのパスワード等の情報を窃取し不正送金が行われる被害が急増しています。最近の手口の特徴としては、フィッシングメールにSMSが利用されている点や、フィッシングサイトのURLに「HTTPS」から始まるものを使用したり、jpドメインを使用することで正規サイトのURLだと信じさせようとする点などが挙げられます。さらに、フィッシングサイトではインターネットバンキングのアカウントやパスワード等の情報だけでなく、ワンタイムパスワードや秘密の合言葉等まで入力させるなど以前より手口が巧妙になっているため注意が必要です。
このような、SMSを使った詐欺「スミッシング」の被害が増加しています。「お荷物のお届けに上がりましたが不在のため持ち帰りました」「利用料金の確認が取れていません」といったメッセージとともにフィッシングサイトへのURLを記載したメッセージを攻撃対象に送信し、個人情報を窃取したり、スマホにマルウェアをインストールさせたりします。SMSは攻撃者とって電話番号さえ分かれば確実に送信できるという点で、使い勝手と効率が良く、今後も同様の犯罪は広がる可能性があります。身に覚えのないメッセージは正規のサービスのものであるかきちんと確認し、記載されたURLに不用意にアクセスしないことが基本です。また、日常的に使用しているサービスは警戒心が低くなりがちだが、そこには偽物が紛れ込んでいるということを認識しておきましょう。
▼情報処理推進機構「【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について」
独立行政法人情報処理推進機構(IPA)は8月20日、サイバー攻撃者が企業などから身代金として確実に金銭を得ようとするランサムウェア攻撃の手口が高度化してきていると注意喚起を行いました。IPAでは、近年深刻化している「人手によるランサムウェア攻撃」と「二重の脅迫」によって事業継続を脅かす新たなランサムウェア攻撃についてのレポートを公開しています。一般的にランサムウェア攻撃とは、攻撃者が被害者のコンピューターやネットワークにランサムウェアというウイルスを侵入させ、データを暗号化させて使用できなくし、それらのデータを復旧する代わりに金銭(身代金)を支払うよう脅迫する攻撃です。今までのランサムウェア攻撃では不特定多数を標的に不正なメールをばらまく等の方法で攻撃を行う手法が主流でしたが、最近では企業側であらかじめデータをバックアップしておく対策が取られるようになり、攻撃されても要求に応じることなくバックアップデータで事業を継続するケースが増え、犯罪者が得られる収益が乏しくなっている傾向があります。
そこで登場しているのが特定の企業・組織を狙って攻撃を仕掛ける「人手によるランサムウェア攻撃」と「二重の脅迫」といった手法です。「人手によるランサムウェア攻撃」とは、ウイルスを添付したメールをばらまく手口とは異なり、標的の企業・組織のネットワークへ密かに侵入する手口です。管理サーバを乗っ取って一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりする等の攻撃方法を取ります。
一方「二重の脅迫」は、攻撃者が暗号化されたデータを復旧するための身代金要求の他にあらかじめデータを窃取しておき、支払わなければそのデータを公開すると脅迫する攻撃方法です。
相手に既に渡っているデータを回収する術はなく、また、身代金を支払ったとしても、今後一切のリークが発生しないことが保証されるわけでもありません。対策としてまずは、侵入のきっかけをつくらないことです。不審なメールを不用意に開封したりしないなど基本的な事項をあらためて周知するとともに攻撃や改ざんなどの検知、脆弱性の検査や発見後の修正対応を早急に講じる必要があります。
▼フィッシング対策協議会「2020/07 フィッシング報告状況」
フィッシング対策協議会は8月5日、7月のフィッシング被害状況を公表しました。
7月のフィッシング報告件数は1万6,767件となり、6月から44件減少したものの、前月に引き続き1万6,000件超の多い水準です。加えて、7月のフィッシングサイトのURL件数(重複なし)は6月より55件増加し、過去最多の5,536件となっています。
URLは文字列のランダムな独自ドメインに、正規サイトのドメイン名を足したURLが多く、スマートフォン等ではURLの一部しか表示されない場合も存在するため正規サイトと間違って認識してしまわないように注意が必要です。
前月と同様「Amazon」「LINE」「楽天」「Apple」の4ブランドが全体の約90%を占め、その他にはクレジットカードブランドや金融機関、量販店を騙るフィッシングの報告が目立ちます。
フィッシング以外ではサービスなどのアンケートを装い、スマートフォン等が当選したと騙して個人情報やクレジットカード情報が盗まれてしまうケースの報告が多く寄せられています。
フィッシング対策協議会では、ログインを促すようなメールやSMSを受信した場合はブックマークした正規のURLや正規のアプリからログインを行い、初めて利用するサイトでは特に「実在する組織の信用できるサイトか」「フィッシングや詐欺事例がないか」といった点を確認するよう注意を呼びかけています。
これまで不正ログインやフィッシング詐欺対策として有効な手段とされていた多要素認証も絶対に安全とは言い切れません。今後、生体情報を用いた本人認証とデバイスの認証を分けたFIDO認証というパスワードを必要としない新たな方式なども対策の一つとして検討されていますが、これまでの常識、定石が新たな攻撃手法によって通用しなくなることが常です。自衛の手段として、手口や危険性を知り騙される可能性があるということも客観的に理解しておきたいところです。
▼ニフティ「【調査結果】子を持つ親の約7割が子どものSNS利用について不安を感じており、実際のトラブルの34%は「ネット上のいじめ」」
インターネットサービスプロバイダのニフティは7月28日、同社が運営するIT情報サイト「@niftyIT小ネタ帳」にて「子どものSNS利用に関するアンケート」の調査結果を発表しました。
調査結果によると、子どもが実際に巻き込まれたトラブルで最も多かったのは「ネット上のいじめの加害者または被害者になった」ことだったといいます。
同アンケートはニフティ株式会社が運営する子ども向けサイト「キッズ@nifty」が2020年7月6日~7月12日にかけて実施したものです。ポイントサービス「ライフメディア」の会員を対象に、子どもたちのSNSの利用状況についてアンケートを行い2万2,276人から有効回答を得ています。
子どものSNS利用に関しては約半数の48%の子どもが利用していると回答。一方で「分からない」と答えた保護者は20.2%おり、約2割の保護者は子どものSNS利用状況を把握していないことが明らかとなっています。
実際に子どもが利用しているSNSは「LINE」が85.9%と非常に高い利用率であり、その後は「Twitter」「Instagram」「Facebook」と続き、いずれも30%前後で似たような利用率です。
子どもがSNSトラブルに「巻き込まれた」と回答したのは約5%で、その内の34.3%を占め最も多かったのは「ネット上のいじめの加害者もしくは被害者になった」であり、次は28.3%で「詐欺メールや詐欺サイトに騙されそうになった、または騙された」が続いています。
子どものSNS上のトラブルに対して必要な対策とは何かという質問には53.8%が「情報モラル教育の実施」と回答しています。家庭内でスマートフォンの利用のルールを作り話し合ったり、保護者自身がSNSに関する知識を得ることが大切であると同時に、情報モラルについての正しい教育の必要性も感じられる結果となっています。
最近の個人情報漏えい事故(2020年7月、8月)
下記の表は、今年7月と8月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
| 1 | 旅行 | メール誤送信 | 観光消費喚起事業費補助事業者114名および協賛施設40名 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 2 | 財団 | メール誤送信 | メールアドレス46名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 3 | 私立大学 | メール誤送信 | 「Bcc」で送信すべきところを誤って「To」で送信 | |
| 4 | 市立小学校 | 書類紛失 | 児童3,043名の氏名、当時の住所、生年月日、保護者の氏名等 | 誤廃棄の可能性 |
| 5 | 輸送 | 書類紛失 | 住民240名分の氏名、住所など | 誤廃棄の可能性 |
| 6 | 私立大学 | メール誤送信 | メールアドレス302名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 7 | 卸販売 | メール誤送信 | 調査中とのこと | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 8 | 市 | 書類紛失 | 高齢者2名の氏名、電話番号、うち1名分は持病なども記載された申込書3枚 | 封筒を自転車の籠に入れたまま別の高齢者宅を訪問し、5分後に戻ったところ、封筒の所在が分からなくなった |
| 9 | 商工会議所 | メール誤送信 | 「Bcc」で送信すべきところを誤って「To」で送信 | |
| 10 | 市 | FAX誤送信 | 型コロナウイルスに感染した合計4名の氏名、住所、症状等が記載された書類 | 職員が医療機関にFAXを送信する際、番号入力を誤って関係のない市民に2回送信 |
| 11 | 市 | メール誤送信 | メールアドレス274名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 12 | 区立小学校 | 書類紛失 | 児童17名分の個人情報などが記載された書類 | |
| 13 | 区立小学校 | 書類紛失 | 児童99名の氏名、学籍番号等が記載されたテストの答案用紙262枚 | |
| 14 | 府 | FAX誤送信 | 新型コロナウイルス感染者の名字や生年月日、症状の経過等が記載された書類 | 別の医療機関にFAXを送信する際、番号入力を誤って関係のない一般家庭に送信 |
| 15 | 私立大学 | メール誤送信 | メールアドレス288名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 16 | 観光 | メール誤送信 | メールアドレス95名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 17 | 総合研究所 | 磁気テープ紛失 | 顧客約240万件の氏名、住所、電話番号、口座番号など | 誤廃棄の可能性 |
| 18 | 教育委員会 | メール誤送信 | メールアドレス176名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 19 | 保健所 | FAX誤送信 | ドライブスルーのPCR検査を受ける患者の氏名、住所、電話番号などが記載された用紙 | 職員が医療機関にFAXで送信する際、誤った番号が登録された送信先を押したため、個人宅に送信 |
| 20 | 鉄鋼 | メール誤送信 | インターンシップに応募した学生443名の氏名、年齢、大学等 | 従業員がメールアドレスの入力を誤り、学生1名に、ファイルを添付したメールを送信したため |
| 21 | 国立大学 | メール誤送信 | 不合格者には不合格者全員の、また合格者には合格者全員の名前を記載したファイルを誤って添付 | |
| 22 | 県 | メール誤送信 | メールアドレス64名分 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 23 | 市 | USBメモリ紛失 | 取引先約6,000件分の氏名、住所、口座番号など | |
| 24 | 警察署 | FAX誤送信 | FAXで送信する際、誤って番号ボタンを押し間違えたため、市内の会社の事務所に2回送信 | |
| 25 | 市立小学校 | 書類紛失 | 児童37名の氏名、テスト結果記録など | |
| 26 | 私立小学校 | USBメモリ紛失 | 児童や保護者ら3,083名分の氏名、住所、電話番号など | 校長が在宅ワークをするため持ち帰ったところ、2日後に紛失していることに気付いた |
| 27 | 郵便局 | 書類紛失 | 住民81名分の氏名、住所など | |
| 28 | 府 | メール誤送信 | メールアドレス2件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 29 | 府 | 書類紛失 | 5名の氏名、生年月日、被保険者証記号番号などが記載された特定医療費支給対象者連絡票 | 誤廃棄の可能性 |
| 30 | 通販 | 不正アクセス | 顧客82人分のクレジットカード情報で名義、番号、有効期限、セキュリティコードなど | |
| 31 | 不動産 | 書類紛失 | 顧客向けアンケートの情報約100人分や、営業の接客内容がメモされたノートなど | グループ会社の従業員が帰宅途中の電車内で鞄を盗まれる被害に遭った |
| 32 | 市 | 誤開示 | 7人分の氏名や住所、生年月日、本籍など | 公開資料に個人情報が含まれており、特定の操作によって閲覧できる状態だった |
| 33 | 市 | 誤交付 | DV加害者からの請求に対し、被害者の現住所など個人情報を加害者へ漏えい | |
| 34 | 通販 | 不正アクセス | 顧客491人が利用したクレジットカード情報で、名義、番号、有効期限、セキュリティコードなど | |
| 35 | 市 | メール誤送信 | 保有するすべてのメールアドレス、氏名、組織名など254件をメールの本文に記載。さらに誤ってすべての宛先へ送信 | |
| 36 | 郵便局 | 書類紛失 | 22世帯81人分の氏名と住所など | |
| 37 | 市立小学校 | 書類紛失 | 児童37人分の氏名やテスト結果、提出物などの記録、通知表の所見を書くためのメモなどが記載されていたノート | |
| 38 | 国立大学 | 無断提供 | 卒業生名簿のうち104人分の氏名と住所を、議員の事務所や後援会事務所へ紙媒体で提供 | |
| 39 | 通販 | 誤表示 | 見積書に登録された各取引の購入者情報78社に関する法人名または個人事業主名、住所、電話番号、ファックス番号など | |
| 40 | 市立大学 | 開示 | 学生の成績を含む資料を一部の学生に開示 | 学年担任の教員に個人情報の流出を指摘する匿名のメールが届き、問題が判明 |
| 41 | 県 | 置き忘れ | 新型コロナウイルス陽性患者1人の氏名、住所、電話番号 | コンビニ店の複合機でコピーして持ち帰った書類のなかに、患者の情報が記載された書類が紛れていたとの連絡が同県ウェブサイトの問い合わせフォームより寄せられ通報した拾得者と連絡が取れ、流出を確認 |
| 42 | 教育 | 不正アクセス | 料請求や体験学習を申し込んだ顧客の個人情報3万4263件 | |
| 43 | 市 | 誤開示 | 相談者89人に関する事業者名や電話番号、従業員数、業種、補助金や融資の申請の有無、相談を希望する内容など | 中小企業向けに実施している新型コロナウイルス感染症関連の相談事業において、相談者の情報がインターネット上で閲覧できる状態となっていた |
| 44 | 証券 | 不正アクセス | 一部顧客の氏名、住所、生年月日、連絡先情報、銀行口座情報、本人確認書類など | |
| 45 | 保健所 | FAX誤送信 | PCR検査受診者の個人情報1件 | |
| 46 | 市 | USBメモリ紛失 | 事業者の氏名や住所、電話番号、ファックス番号など最大1万9828件と、口座番号や口座名義、預金種別、銀行名、支店名など最大6151件 | |
| 47 | がんセンター | デジタルカメラ紛失 | 顔や患部、氏名、IDなど、患者最大96人分の写真データ | |
| 48 | 県 | メール誤送信 | 66件の氏名とメールアドレス | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 49 | グルメサイト | 不正アクセス | ||
| 50 | 病院 | インクリボン紛失 | インクリボンは検査項目などを印字する際、ラベルプリンタで使用したもので、氏名や性別、診察券ID番号、検査項目など、印字内容が反転した状態で残っていた | |
| 51 | 通販 | 不正アクセス | クレジットカード情報932件で、名義、番号、有効期限、セキュリティコード | |
| 52 | 郵便局 | 誤配達 | 別の寄付者宛ての証明書を配達。配達員が、2つの封筒がくっついていたのに気づかず配達したのが原因 | |
| 53 | 通販 | 不正アクセス | クレジットカード決済を行った顧客44人分の名義や番号、有効期限、セキュリティコード
また、過去に同サイトへ登録した顧客5589件の個人情報が、アクセス可能な状態でサーバ上に保管されており、氏名や住所、電話番号のほか、一部性別や生年月日、メールアドレス、ファックス番号なども含まれる |
|
| 54 | 工務店 | 不正アクセス | 氏名や住所、電話番号、年齢、性別、メールアドレス、職業、年収、住まいづくりの要望といった個人情報 | |
| 55 | 経営コンサル | 持ち出し | 約500人分の氏名や住所、電話番号、性別、メールアドレスなど | 共有サーバ内で保存していた顧客情報が削除され、外部に持ち出された |
| 56 | 私立高校 | 書類紛失 | 一部生徒の指導要録の写しと、学籍に関する記録 | |
| 57 | メーカー | マルウェア感染 | 従業員の氏名やメールアドレスなど個人情報のほか、通信パケット、サーバのログ、設定情報など | 同社グループの従業員が在宅勤務を行った際、業務用モバイルパソコンから社内ネットワークを経由せずSNSを利用したところ、ソーシャルエンジニアリングによって第三者から受信、ダウンロードしたファイルからマルウェアに感染 |
| 58 | 国交省 | 書類紛失 | 個人7人と法人4社の氏名および住所 | 個人情報が記載された土地境界確認書が所在不明 |
| 59 | 文化振興会 | 不正アクセス | 登録メールアドレス5万4445件 | |
| 60 | 植物園 | メール誤送信 | 氏名、携帯電話番号、学年、メールアドレスなど | イベント参加者からの問い合わせメールを担当者へ転送する際、誤ったメールアドレスに対しても転送 |
| 61 | 県 | 誤公開 | プロパティ情報の「作成者」に個人名や会社名が記載されたまま公開 | プロパティ情報に意図せず個人情報を含んだ状態で文書ファイルを外部に公開していたことが発覚したことから、同県全体の調査を行ったところ、約400件のファイルから個人情報など意図しない情報が見つかった |
| 62 | 県 | メール誤送信 | 氏名や性別、学校、学部、学科、学年、インターンシップ参加予定日、エントリーシート提出の有無など | インターン参加予定者の個人情報を関係ない別の企業へメールで送信 |
| 63 | 医療センター | 誤公開 | 新型コロナウイルス感染症患者に対する看護の様子や、新型コロナウイルス感染症病棟の様子などを撮影した動画で、職員が氏名を呼ぶ音声が含まれていた | ウェブサイトで公開された動画に、新型コロナウイルス感染症患者の情報が含まれていた |
| 64 | 県 | FAX誤送信 | 支援金の審査書類に関連し、ファックスの送付先が変更になることを申請者85人に連絡したが、その際に誤ったファックス番号を案内するミス | |
| 65 | 専門学校 | メール誤送信 | メールアドレス839件 | 送信先を誤って宛先に設定したため |
| 66 | 市立小学校 | 書類紛失 | 生徒20人分の氏名や学年、学級、出席番号、住所など | 教育委員会は同問題を受け、同教諭に対し戒告の懲戒処分を実施。また指導監督が不十分だったとして、学校長に対して文書訓戒、教頭に対して厳重注意の措置を行った |
| 67 | 市 | FAX誤送信 | 患者4人分の個人情報で、氏名や住所、電話番号、年齢、性別、職業、症状、既往歴の有無など | 新型コロナウイルス感染症患者の個人情報を、2回にわたって無関係の相手先へファックス送信していた |
| 68 | 市立高校 | メール誤送信 | 164人分のメールアドレス | 「Bcc」で送信すべきところを誤って「To」で送信 |
| 69 | 区 | 書類紛失 | 転入児童15人の指導に関する記録と、児童2人に関連する保健関係文書 | |
| 70 | 総合病院 | 書類紛失 | 造影剤副作用報告書で、患者の氏名や生年月日、性別、病名など | |
| 71 | 国立大学 | USBメモリ紛失 | 学生52人の氏名、実習評価点数、実習評価と、学生9人の氏名と生年月日など | |
| 72 | 市立中学 | 書類紛失 | 99人分の答案用紙262枚で、生徒の氏名、学級、出席番号 | 中学校の英語担当教諭が自宅で採点するために持ち帰った答案用紙を帰宅途中に電車内へ置き忘れ、紛失 |
| 73 | 市 | 書類紛失 | 妊婦の氏名、住所、電話番号、生年月日、出産予定日、相談内容など | |
| 74 | 市 | マイナンバーカード紛失 | 交付前のマイナンバーカード3枚 | 誤廃棄の可能性 |
| 75 | 県 | FAX誤送信 | 検査希望者10人分のカタカナ氏名、性別、年齢、居住する市町村名、携帯電話番号、職種、検査会場を訪れる際の車種など | 接待をともなう飲食店に勤務する人を対象としたPCR検査を実施するにあたり、希望者の取りまとめる各店舗に送付した実施案内の記載に誤りがあった |
| 76 | 国立大学 | ノートPC紛失 | 学生や教職員、学外関係者など個人情報2万1945件で、氏名や住所、メールアドレス、所属、学籍番号などのほか、一部には電話番号や経歴、顔写真、電話番号、成績、審査結果など | 出張で学外関係者の個人情報が保存されたノートパソコンを盗まれる被害に遭った |
| 77 | 市 | FAX誤送信 | 新型コロナウイルス感染症に感染した疑いがある3人の氏名、住所、電話番号、生年月日、職業など | ファックスを送信する際、液晶画面の送信先以外のボタンを誤って押してしまい、関係ない宛先にも送信 |
「10」「14」「24」「45」「57」「64」「67」「75」「77」は、保健所、警察、市で起こったFAXによる新型コロナウイルス感染者情報の誤送信事故です。
FAXは電子メールとともに通信手段のひとつとして、行政では現在も幅広く利用されていうのがわかります。上記事案のように、FAXは手軽に利用できて便利ですが、一度送信を完了してしまうと取消ができません。宛先間違いで誤送信してしまった場合には、受信した相手に迷惑をかけるだけではなく、送信した内容によっては本来送信すべき相手との信用問題に発展したり、情報保護の観点から重大な問題に発展するリスクをかかえています。
ファックス誤送信による機密漏洩・個人情報漏えい事例を調べてみると、FAX番号をまちがってダイアルするのが一番多いのがわかります。次の原因としては過去に使用していた取引先など旧ファックス番号へ送信してしまうというものです。ファックス機や複合機に短縮番号として登録していたため、短縮を押してそのまま送信というパターンです。
特に個人情報や営業上の機密事項など重要な情報を記載した文書をFAXする時には間違いがないよう、慎重に操作しなければなりません。日常業務としてFAXを利用場合には複合機のFAX誤送信抑止機能や二重でのチェックを徹底して利用できる環境を整える必要があります。
【よくあるミス】
- 名刺等からの転記ミス
- FAX送信依頼時の聞き間違い
- 宛先番号入力時のプッシュミス
- 誤って別の短縮ボタンに触れてしまう
【FAX送信時の確認事項】
- FAX原稿の表と裏
FAX送信面の表と裏を必ず確認してください。使用するFAX機器により異なりますので、読み取り面が表なのか裏なのか確認してから送信です。 - FAX番号は正しい?
当たり前のことながら、宛先のFAX番号は間違えないように。よくやってしまうのが、電話番号とFAX番号の間違いです。 - 送信枚数が多い時は事前に先方に確認
一度の送信枚数が多い時は、事前に先方の都合などを確認しておくようにします。 - 通し番号をつける
送付物が2枚以上ある場合には通し番号を付けると分かりやすくなります。 - 着信確認をする
時には斜めにプリントアウトされていたり、途中で文字が切れている場合もあります。
特に大切な書類や先方が待っている書類を送る際には、FAX送信後、先方に確認電話を入れ即座に対応できるようにします。 - FAX送信状を用意
送付物の最初にFAX送信状をつけて一緒に送ります。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
