情報セキュリティ 関連コラム

カメラ画像の利活用:eKYC

2022.05.17

総合研究部 研究員 吉田 基

【もくじ】

■カメラ画像の利活用:eKYC

1.はじめに

2.オンライン本人確認システム:eKYC

(1)eKYCとは

(2)オンラインで完結する本人確認の方法

(3)なりすましについて

(4)本人確認

(5)情報の保管

3.最後に

■最近の個人情報漏えい事故(2022年3月、4月)

カメラ画像の利活用:eKYC

スマートフォン 顔認証

1.はじめに

近年、「犯罪による収益の移転防止に関する法律」(以下「犯収法」という。)の改正を受けて、金融機関を中心にオンラインでの本人確認システム(eKYC)が注目を集めています。2021年9月に情報セキュリティトピックスにおいて、防犯カメラを中心に「カメラによる個人情報の取得や利活用」をテーマに検討しましたが、今回は、カメラ画像の利活用の内、eKYCについてみていきます。

2.オンライン本人確認システム:eKYC

(1)eKYCとは

eKYCとは、「electronic Know Your Customer」の頭文字をとったもので、本人確認を電子的な方法で行う仕組みを指し、手続きがデジタル・Web上で完結します。2018年11月に犯収法が改正され、法令上必要な本人確認をeKYCで行うことが認められるようになりました。制度の導入背景は、従来までは、顧客の住居に宛てて転送不要郵便で取引関係文書の送付が必要となっており、オンラインで取引が完結しないため、特に顧客と対面する店舗等を保有しない暗号資産交換業者、資金移動業者やFinTechビジネスで支障をきたしていたことです。

(2)オンラインで完結する本人確認の方法

本人確認の方法は、犯罪収益移転防止法施行規則6条で定められており、金融庁「犯罪収益移転防止法におけるオンラインで完結可能な本人確認の方法の概要」より、本改正で新たに追加されたもののみを記載しておきます。

  • 1号ホ:「写真付き本人確認書類の画像」+「容貌の画像」を用いた方法
  • 1号へ:「写真付き本人確認書類のICチップ情報」+「容貌の画像」を用いた方法
  • 1号ト(1):本人確認書類の画像又はICチップ情報」+「銀行等への顧客情報の照会」
  • 1号ト(2):「本人確認書類の画像又はICチップ情報」+「顧客名義口座への振り込み」を用いた方法

1号ホと1号へでは、「容貌の画像」を用いることが求められ、これは、なりすましによる不正を防止し、的確な本人特定事項の確認を行うことを趣旨としています。そのため、事前撮影されたものではないことを確認する必要があり、具体的には、顔を正面から撮影し、画像を送信した後に、ランダムの指示(上を向く等)に従って再度、顔を撮影し、画像を送信する等の措置をとることが想定されます。

(3)なりすましについて

さて、株式会社日立製作所研究開発グループが、機械学習技術を使用し、既存の動画の顔画像を別の人物に変更する技術を用いて、他人になりすましオンライン上の本人確認を突破できるかに関する検証を行っています。具体的には、上記の容貌確認のフェーズで、運転免許証上の人以外の人が、運転免許証上の人になりすますというもので、リアルタイムで女性の顔画像をベースに男性の顔画像を生成(変更)するというものです。同検証の結果、なりすました顔が運転免許証上の顔と同一であるとeKYCシステムサイドで評価されており、日立製作所研究開発グループは、機械学習技術を使用し、既存の動画の顔画像を別の人物に変更する技術はeKYCへの現実的脅威としています。加えて、このようなフェイク動画を可能とするAIテクノロジーは急速に進化を遂げています。したがって、なりすましを見抜く側が技術を向上させても、なりすまし・加工を判別することは、AIをもってしても難しくなるものと予測されます。なお、同技術で成りすましの画像を生成することができるのは顔画像であり、手のひらや腕を生成できないため、ランダムの指示を高度化させることがなりすましへの対策として有用ともされています。ただ、上記の通り、技術は急速に進化しており、常に対策を進化させることは必要となります。

(4)本人確認

渋谷区は、令和2年4月に住民票の写し等をLINE上で申請することを可能にし、本人確認方式としてeKYCを採用しています。もっとも、令和3年8月20日、総務省は「住民基本台帳の一部の写しの閲覧並びに住民票の写し等及び除票の写し等の交付に関する省令の一部を改正する省令(案)に対する意見募集」を開始し、これを渋谷区は、「本人確認方式eKYC(AI顔認証による本人確認)を違法とすることを目的とした改正と言わざるを得ません。」としています。

また、当時の高市早苗総務相も記者会見で渋谷区の方式に対して「セキュリティ、法律の観点から問題がある」と述べています。これに対し渋谷区は、「LINE申請では顔認証に使用した本人確認書類と申請者の顔写真を目検でも確認できるため、AIによる顔認証と職員による照合確認とで二重に本人確認を審査できるようになっており、既存の手続きに比べ、より安全安心が担保された仕組みを採用しています。法律上におけるご指摘に関しましては、「総務省関係法令に係る情報通信技術を活用した行政の推進等に関する法律施行規則」第4条第2項ただし書に基づき適法に執り行っています。」とコメントしています。

総務省と渋谷区で対立しており、双方の主張の当否はわかりません。現状、運転免許証については、実物を見ても偽物か判別できない程に精巧な偽の運転免許証を作ることが可能です。したがって、自治体側が運転免許証の原データを参照しない限り、なりすましを防ぐことが難しくなります。また、改めて、eKYCにおける本人確認について、みておくと、本人確認というのは、証明証上の本人と容貌画像上の本人が同一であることを推定させるものです。渋谷区の事案で考えたとき、住民票の交付申請をしてきた人物Aは本人であろうという推定が働きます。もっとも、渋谷区は顔画像のデータを保有しているわけではないため、保有する住民データ上のAと同一かにつき検証を行うことができず、せいぜい、運転免許証上の氏名、生年月日、住所でマッチングさせるにとどまります。もっとも、そもそも運転免許証上の氏名、住所と住民票上の氏名、住所が常に一致するとは限りません。それにも関わらず、住民票という重要な情報が記載された書類を氏名、生年月日といった必ずしも秘匿性が高いとまではいえない情報のみで判定し、交付する点で、私見では疑問の余地が残るように思われます。

(5)情報の保管

eKYCを採用する場合、顧客より、運転免許証等の公的証明書の画像と顔画像が送付されてきます。また、「容貌の画像」の撮影に付随し、室内が写りこんでしまうこともあり(筆者もeKYCで本人確認する際に、本棚・漫画が写り少し恥ずかしかった記憶があります。)、例えば、書籍であれば同人の思想等を推測することも可能となります。したがって、それだけ、機微な情報を取得する可能性があるということとなるため、企業サイドも暗号化する等の保管方法を検討しておく必要があります。また、従業員による持ち出しを防止することが重要です。実際に、従業員により「氏名、生年月日、住所、電話番号、性別、銀行口座情報、顔写真、本人確認書類画像(運転免許証等)」が持ち出され、カードローンの不正申し込みがなされています。eKYCを通じ取得する情報が悪用される可能性も念頭に置き、従業員の不正行為をはじめとする情報インシデント防止のための情報セキュリティ体制を検討しておく必要があります。

3.最後に

カメラ画像を用いたオンラインで完結する本人確認は、様々な場面において活用されていくものと思われます(顔認証の話であり、直接は関係ありませんが、旅行客が事前に顔画像とクレジットカードを登録し、施設に設置された顔認証用カメラで撮影した画像を照合し、一致した場合、決済を行う実証実験がなされています。)。一方で、本稿では、なりすましの防止と本人確認について検討していきました。オンライン上で本人確認手続きが完結することは利用者にとって便利なものですが、改めてeKYCを導入する企業は専門家も交えたセキュリティ対策等、多方面から検証を行うことが重要となります。

最近の個人情報漏えい事故(2022年3月、4月)

下記の表は、2022年3月と4月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

No 業種 原因 漏洩件数・原因
1 紛失 新型コロナウイルスのPCR検査を実施していた芽室病院駐車場において、検査名簿をクリアファイルごと強風で吹き飛ばされ、一部を紛失した。

飛ばされた3枚のうち、2枚は回収できたが、1枚が見つかっていない。PCR検査対象者21人の氏名、住所、電話番号、性別、生年月日、検査日と時間、車両番号、症状などが記載されている。

2 大学 紛失 個人情報や学士入学試験問題の草稿などが保存されたUSBメモリが所在不明となっている。

問題のUSBメモリには、2021年度学士入学試験の答案やオンライン試験の録画など2人分のデータが保存されていた。氏名と顔が含まれる。

3 製造業 サイバー攻撃 自動車メーカーの部品供給元でマルウェアに起因するシステム障害が発生した。

これにより、部品の供給が滞ったことから、自動車メーカーは3月1日における国内全14工場にある28の生産ラインについて稼働を停止した。

同漏えい事故を受け、政府は、サイバー攻撃のリスクが高まっているとして、あらためて注意喚起を実施した。経営者に対してサプライチェーンを含めたリスクコントロールを求めている。具体的には、政府機関や重要インフラ事業者をはじめ、企業や団体において、組織幹部のリーダーシップのもと、サイバー攻撃による脅威の認識を深め、認証の強化、情報資産の把握および脆弱性対策、インシデントの早期検知、インシデント発生時における適切な対処などを求めた。

4 情報通信 紛失 緊急時の通報サービスや遠隔よりサポートする両サービスにおいて、本来取次店である販売店より提出される利用申込書の一部(約2万件)が所在不明となっている。利用申込書には、氏名、住所、電話番号、メールアドレス、契約車名、契約ID、パスワードなどが記載されている。
5 製造販売 サイバー攻撃 パートナー企業がサイバー攻撃を受けた影響で、物流システムに影響が出て、物流が停止している。

これを受け、直販の通販サイトが停止している。

6 大学 不正アクセス 教員が管理しているウェブサーバが不正アクセスを受け、サーバ内に保存されていた個人情報が外部に流出した可能性がある。

2009年度から2015年度までに同学部に在籍した275人で、それぞれ保存されていた個人情報は異なるが、氏名、電話番号、学籍番号、研究室名、成績、インターンシップ先、指導教員名、3年次編入学関連情報、画像データ、同大のメールアドレスなどが含まれる。

7 製造 サイバー攻撃 サーバがランサムウェアによるサイバー攻撃を受けた。なお、サーバに保管されていた情報の外部流出や、外部公開などは確認されていない。また、海外グループ拠点における同様の被害についても確認されていない。
8 製造 サイバー攻撃 端末がマルウェア「Emotet」に感染し、従業員を装った「なりすましメール」が送信された。

同社従業員を名乗り送信されているもので、同社ドメインとは異なるメールアカウントを用いて海外の外部サーバより送信されていた。

メールにはパスワードが設定されたzipファイルやマクロ形式のExcelファイルが添付されていたという。

9 サービス 不正アクセス ウェブサイトが不正アクセスを受け、顧客や取引先のメールアドレスが流出した可能性がある。

SQLインジェクションの脆弱性を突く外部からの不正アクセスを受け、調査を行ったところ、保有するメールアドレスの一部が流出している可能性がある。

利用された顧客のメールアドレス1万772件(取引先のメールアドレス1万2663件を含む。)が流出した可能性がある。

10 大学 不正アクセス 不正アクセスがあり、複数ウェブサイトにおいて改ざん被害が発生した。閲覧者を外部に誘導する画面が表示される状態になっていた。

学部学科関連の21サイトをはじめ、研究所や関連施設の16サイト、研究科や専攻に関する5サイト、研究プロジェクトに関する3サイト、事務関連4サイトなど、同一サーバ内で運用していた49サイトで被害が確認された。

11 不正アクセス 新型コロナワクチン接種特設サイトを委託事業者のサーバで運用しているが、サイバー攻撃を受けた。

IDと予想される不特定多数の文字列と特定のパスワードを組み合わせてログインを試行する「リバースブルートフォース攻撃」を受けている。なお、個人情報の流出はない。

ウェブ予約についても復旧に向けて対応を進めているが、3月3日の時点で再開のめどは立っていない。

12 大学 誤送信 研究の参加者57人へ送信した事務連絡メールで誤送信が発生し、メールアドレスが流出した。
13 リース サイバー攻撃 マルウェア「Emotet」に感染し、従業員を装った「なりすましメール」が送信された。
14 NPO 野球教室申し込みフォームから入力された応募者のリストが、外部より閲覧できる状態となっていた。

対象ページでは、2020年12月から2021年1月にかけて応募した応募者の氏名や性別、学年、野球経験の有無など590件のほか、保護者氏名524件、メールアドレス530件などが表示される状態だった。

検索エンジンに登録されており、アクセス状況を調べたところ、約35回ほど外部より閲覧された可能性がある。

15 一般財団法人 サイバー攻撃 マルウェア「Emotet」に感染し、職員を装った「なりすましメール」が送信された。

業務で使用するパソコンがマルウェア「Emotet」に感染したもので、端末よりメールアドレスなどが抜き出され、「なりすましメール」に悪用された可能性がある。

16 保育園 不正アクセス 施設で使用するパソコンがマルウェアに感染し、個人情報が流出した可能性がある。

パソコンで受信したマルウェアメールの添付ファイルを開封したことでマルウェアに感染。

その後2月24日に、同社の従業員や取引先を装ったメールが社内や関係先へ送信されたことで、マルウェア感染とパソコン内に保存されている個人情報が流出した可能性があることが判明。

17 通販サイト サイバー攻撃 2021年4月10日から2022年2月21日に商品を発送した顧客のメールアドレス2万1042件、2016年12月28日から2018年9月4日の間に送信した発送完了メール1万1561件については、記載された氏名、住所、電話番号などが流出した可能性がある。
18 製造 サイバー攻撃 サイバー攻撃を受けてシステムを停止した。製造や出荷などに影響が生じた。

社内のネットワークやシステムを停止しており、製品の製造および出荷を停止した。

システムの安全性が確認されたところから順次復旧作業を進め、停止している製造と出荷の早期再開を目指すとしているものの、不正アクセスの内容や被害の状況、復旧の見込みについては不明。

19 通信 サイバー攻撃 外部より受託している業務で使用しているパソコンがマルウェア「Emotet」に感染し、「なりすましメール」が送信された。

メールの添付ファイルを開き、マクロを実行したことから感染したものと見られ、同社従業員や受託先職員、受託業務に関する取引先などに関するデータが外部へ流出した

20 スポーツクラブ 紛失 個人情報含む出席簿を紛失した。出席簿を使用後に片付ける際、誤ってスクール参加者の鞄に入れたことにより、一時所在がわからなくなったことが原因となる。
21 サービス 不正アクセス 顧客情報がパートナー企業において流出した。2016年12月28日から2018年9月4日にかけて同社より出荷したシール、ステッカー印刷の注文8705件に関する出荷元および届け先の氏名、住所、電話番号など4248人分の顧客情報が不正アクセスにより、外部へ流出した。
22 ECサイト 不正アクセス 不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性がある。

サイトでクレジットカードによる決済を行った顧客2763人。同サイト上で入力されたクレジットカードの名義、番号、有効期限、セキュリティコードなどが窃取され、一部が不正利用された可能性がある。

またログファイルを調査したところ、顧客の注文情報や個人情報が保存されたデータベースについてもアクセスが可能な状態にあった。

23 国立研究開発法人 サイバー攻撃 マルウェア「Emotet」に感染し、同研究所の関係者をかたったメールが送信された。問題のメールには、パスワードを設定したzipファイルが添付されていたり、メールの本文にURLが記載されている。送信者として同研究所の部署名や職員名を名乗るものの、同研究所とは異なるドメインのメールアカウントからメールは送信されていた。
24 食品 サイバー攻撃 内部サーバにおいてランサムウェアの感染にともなう警告が表示され、業務に使用する社内システムにおいて異常が生じた。ランサムウェアと見られる被害が発生したものの、生産や供給への影響は出ていないという。

25 大学 サイバー攻撃 業務用の端末2台がマルウェア「Emotet」に感染し、教職員を名乗るメールが送信された。

過去にやり取りしたメールやメールアドレスが外部に流出し、なりすましメールが送信されている。

問題のメールには、暗号化されたzipファイルが添付されており、送信者には同大の教職員の氏名が表示されているが、同大とは関係ないメールアカウントより送信されていた。

26 アニメ制作 不正アクセス サイバー攻撃を受けて社内システムを停止した。制作も一部停止しており、複数アニメ作品の放送が延期となった。

顧客情報や取引先の情報などへ影響がないか、外部の協力のもと、調査を進めている。

27 紛失 緊急小口資金や総合支援資金の特例貸付に関する申請書類一式(緊急小口資金5件や総合支援資金12件など、特例貸付に関する申請書類17人分)が所在不明となった。

申請書類には、借入申込書、借用書、収入減少状況に関する申立書、住民票、預金通帳の写し、本人確認書類などが含まれ、申請者の氏名や住所、電話番号、生年月日、勤務先名称と住所、月額所得、口座情報などが記載されている。

28 誤送信 説明会の参加申込者へ送信したメールにおいて誤送信が発生し、メールアドレスが流出した。説明会の参加申込者23人に送信した開催場所の変更を案内するメールにおいて誤送信が発生したもの。送信先を誤って宛先に設定したため、受信者間でメールアドレスが閲覧できる状態となった。
29 飲食 サイバー攻撃 マルウェア「Emotet」の感染により、「なりすましメール」が送信された。

一部端末が「Emotet」に感染し、同社従業員を名乗り、パスワードが設定されたマルウェアを含むzipファイルが添付された「なりすましメール」が出回っているもの。同インシデントの影響により、同社では通信販売を一時休止している。

30 誤送信 ワークショップの参加者に対し、委託先が送信したメールにおいて送信ミスが発生したもの。

送信先を誤って宛先に設定したため、メールアドレス26件と5人分の氏名が受信者間で閲覧できる状態となった。

31 誤送信 申請者の個人情報を添付したメールを、関係ない大阪府の職員や府内市町村宛てに送信するミスがあった。具体的には、申請者から預かった書類をPDFファイルにしてメールで送信した際、誤って大阪府の職員や府内市町村の福祉担当部局など担当ではない45件の宛先に対して送信した。
32 紛失 新型コロナウイルスワクチンの集団接種会場において、予約者の個人情報が記載されたリストを紛失した。

接種を予定していた439人分の氏名、電話番号、生年月日などが記載されていた。

33 誤操作 退職者を対象にGoogleフォームを使ってアンケートを実施したが、2月18日9時15分ごろから同月28日9時半ごろにかけて、回答者99人の氏名が他回答者より閲覧できる状態となっていた。

初期設定では無効となっている結果概要を表示する設定を誤って有効化したため、回答後の画面より以前の回答結果の一覧を表示できる状態だったという。

34 製造 不正アクセス 従業員のメールアカウントが不正アクセスを受け、大量のメールが配信された。

マルウェアの感染は確認されていないが、「Emotet」の感染が広がっており、それ以前に感染した可能性についても否定できないとしている。

35 スポーツチーム 誤送信 ファンクラブ会員へ送信したメールで誤送信が発生し、メールアドレスが流出した。

ファンクラブ会員へ送信したメールにおいて誤送信が発生したもの。メールアドレス29件が、受信者間に表示される状態となった。

36 製造 サイバー攻撃 管理する複数のサーバで障害が発生。ネットワーク内部に侵入され、一部データが利用できない状態となっていることが判明した。

第三者による不正アクセスの痕跡が見つかっており、ネットワーク機器の脆弱性を突かれた可能性が高いという。注文した顧客や届け先の個人情報が流出した可能性について調査を進めたが、形跡は確認されていないものの、外部に持ち出された可能性についても否定できないとしている。

対象となるのは、2018年5月1日から2022年3月13日にかけて同ストアの商品をインターネット、電話、ハガキ、ファックスで注文した164万8922人。氏名、住所、電話番号、生年月日、性別のほか、3887人に関してはメールアドレスも含まれる。

37 不動産 サイバー攻撃 端末がマルウェアに感染し、内部に保存されていたメール3万6094件が流出した可能性があることが判明したもの。メールアドレス300件のほか、水泳場利用者36人の氏名や電話番号と、水泳場職員18人の氏名や住所などが含まれる。
38 自治体 誤設定 各都道府県内の市町村を含めてインターネット接続を集約し、通信の監視や通信ログの分析、メールの無害化などの対策を行う自治体情報セキュリティクラウドの導入が進められているが、同社が自治体向けに提供するシステムが迷惑メール送信の踏み台として悪用された。

設定ミスの影響で、東北6県や新潟県が次期システムとして共同調達した「東北・新潟自治体情報セキュリティクラウドサービス」へ移行を進める4県6市をはじめ、あわせて5県8市のメールアドレスを詐称した91万2299件のメールが、同日17時前より18時半過ぎにかけて送信された。

具体的には、秋田県の秋田市や横手市のメールアドレスを偽装したあわせて43万4503件のメールをはじめ、青森県では八戸市を装うメール24万7913件、福島県は郡山市の12万7459件、栃木県は宇都宮市と矢板市のあわせて9万1617件、新潟県は糸魚川市、長岡市の1万807件のメールが送信された。詐称に用いられたメールアドレスは、ウェブサイトなどを参照され、悪用されたものと見られる。

39 ECサイト 不正アクセス 正アクセスを受け、クレジットカード情報が流出し、不正に利用された可能性がある。

2019年11月27日から2020年12月17日にかけてクレジットカード決済を利用した顧客3360人において、クレジットカードの名義や番号、有効期限、セキュリティコードのほか、ログオンID、パスワードなどの情報を窃取された可能性がある。

40 ECサイト 不正アクセス システムの脆弱性を突く不正アクセスにより、決済アプリケーションが改ざんされ、同サイトで顧客が決済時に入力したクレジットカード情報が外部に流出し、不正に利用された可能性があることが判明。

2021年3月2日から12月1日までに利用されたクレジットカード情報977件が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。

41 病院 紛失 患者の情報が保存されたカメラを紛失した。

同院によれば、患者13人分の診察券番号や口腔内写真を保存したカメラを紛失したもの。氏名や住所などは含まれない。

42 不正アクセス 業務委託先がマルウェア「Emotet」に感染し、同市の委託業務に関連する個人情報などが流出した。

在宅医療、介護連携事例発表会の参加者に関する情報169件をはじめ、アウトリーチ事例検討会の参加者関連情報125件、テイクアウトメニュー販売会の参加店舗に関する情報4件などが外部へ流出した可能性がある。

43 病院 不正アクセス 職員の端末が乗っ取り被害に遭い、臨床研究の被験者に関する情報が外部に流出した可能性がある。

職員が使用していた端末上にマルウェア感染を警告するポップアップが表示され、指示に従ったところ端末を乗っ取られたという。

44 金融 紛失 顧客情報が記載された預金申込書や出資金申込書などが所在不明となった。

所在がわからなくなっているのは、預金申込書8945枚や出資金申込書1万622枚。預金申込書のうち、7164枚については休眠口座に関するものだという。

推定となるがそれぞれ8837件、6330件の顧客情報が含まれ、氏名や住所、電話番号、生年月日、勤務先、勤務先電話番号、印影、口座番号、当初預入金額などが記載されていた。

45 大学 サイバー攻撃 職員や学生が利用していたパソコンがマルウェア「Emotet」に感染し、マルウェアメールが送信された。

同大では感染したパソコンを使用していた職員と学生の認証情報を変更。暗号化されたファイルが添付されたメールについては、メールゲートウェイで隔離し、ファイルを削除して送信するなどの対策を講じている。

46 ECサイト サイバー攻撃 ランサムウェアを用いたサイバー攻撃により、サーバやパソコンのデータが暗号化される被害が生じたという。

同社ではサーバの再構築およびパソコンの初期化、保存データの修復作業などを進めるとともに、調査を行ったところ、従業員や取引先に関する情報のほか、開発や営業情報などが流出した可能性がある。

47 清掃 紛失 事業実施報告書、8団体分の報告書を紛失した。

紛失した報告書には、加盟団体の参加者や、謝礼金や交通費支払者など、あわせて302人分の個人情報が記載されていた。氏名、年齢、住所、電話番号などが含まれる。

48 ECサイト 不正アクセス 運営する2サイトのシステムの脆弱性を突かれ、決済アプリケーションを改ざんされたという。2021年11月1日にクレジットカード会社から情報流出の可能性について指摘があり問題が判明した。

1つ目のサイトにおいては、2021年3月31日から10月13日にかけて商品を購入した顧客のクレジットカード情報436件、2つ目のサイトにおいては、2021年3月29日から10月6日までの間に商品を購入した顧客のクレジットカード情報17件が流出した可能性がある。いずれも、クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

49 通信 誤操作 アプリの設定にあるプライバシー管理において無効となっている一部項目を有効化する不具合があったという。

この結果、約452万アカウントを含む約570万アカウントで有効化され、国内902アカウント含む908アカウントで本来同意をしていないデータをもとに公式アカウントから通知が行われたほか、国内713アカウント含む1003アカウントで広告が配信された。

50 金融 紛失 一部支店が扱ったATMの取り引き情報などを含むメディアが所在不明となった。

2万5000件の取引情報が保存されており、顧客の氏名や口座番号、取引金額、残高、防犯カメラの画像などが含まれる。メディアに記録されたデータは暗号化されている。

51 学校 紛失 児童の個人情報が保存されたUSBメモリが所在不明となった。

児童21人分の氏名、出席番号、評定、所見、卒業文集の作文のほか、児童42人に関する画像約200件、児童の顔などが映っている動画ファイル20件などが保存されていた。

52 公益社団法人 不正アクセス サーバよりサイト利用者に関するメールアドレスが外部に流出した可能性がある。

不正アクセスがあり、生涯教育申請の際に入力されたメールアドレス最大1705件が流出した可能性が判明した。

53 広告 不正アクセス メールマガジン登録をした顧客に関する情報が外部に流出した可能性がある。

3月16日、同サイトを運用するサーバにおいて外部からのアクセスを検知し、調査したところ、顧客情報を含む内部情報が外部に流出した可能性があることが同月18日に判明したという。

流出した可能性があるのは、2018年3月5日から2021年6月28日までに行われた98件の問い合わせに関する情報。氏名や会社名、電話番号、メールアドレス、業種、職種、問い合わせ内容など含まれる。

54 通信・情報 不正アクセス サイトが不正アクセスを受け、3月23日11時ごろから同月25日5時ごろにかけて改ざんされた状態となったもの。

一部ページに外部の悪意あるサイトへ誘導するコードが追加された。利用者に関する個人情報の流出は確認されていないとしている。

55 誤破棄 進学先に引き継ぐべき6年性98人分の保健調査票を、ほかの廃棄書類と一緒に誤って廃棄したもの。

保健調査票には、児童の既往歴やアレルギー、現在の健康状況などが記載されていた。同月31日、進学先から引き継ぐはずの保健調査票が届かないと指摘があり、誤廃棄が判明した。

56 紛失 地域福祉推進課と各区役所で高齢者支援のために管理している65歳以上の高齢者名簿のうち、八幡西区の名簿9枚が所在不明となっている。名簿には、130世帯172人分の氏名、住所、性別、生年月日、年齢、世帯主名、世帯状況などが記載されている。
57 製造 サイバー攻撃 サイバー攻撃により業務の基幹システムやパソコンがランサムウェアにより暗号化された。

外部において流出した情報などは確認されていないが、情報流出の可能性も含め、影響の範囲、原因など詳細について調査を進めている。また、暗号化された端末内部には、データを復号したければ、指定したURLへアクセスするよう求める脅迫文が残されていた。

なお、工場で稼働する生産システムについては、ランサムウェアによる被害が生じたシステムとは、異なるシステムで運用しており、生産への影響は出ていない。

58 スポーツチーム サイバー攻撃 スタッフのパソコンがマルウェア「Emotet」に感染し、なりすましメールが送信された。

同チームよれば、3月28日にスタッフを装ったなりすましメールが送信されていることを確認したもの。翌29日に全端末でマルウェアの感染状況を調べたところ、スタッフのパソコン1台からマルウェア「Emotet」が検出された。

59 紛失 4歳児の園児18人分の氏名、住所、電話番号、生年月日、保護者名が記載された名簿を紛失した。

4月8日に保育士が園児を連れて散策に出かける際、名簿を携帯して出発したが、目的地に着いたところで名簿の紛失を認識した。

60 誤送信 新型コロナウイルス感染症の濃厚接触者となり自宅待機中となっている別の教諭の自宅パソコンへメールで児童の名簿を送信しようとしたところ、無関係のメールアドレスへ送信するミスが発生した。

誤送信した名簿には5年生1学級40人分の氏名、学年、クラスが記載されていた。同校では個人情報の送信を原則禁止しており、送信にあたり校長の許可が必要だが、許可は得ていなかった。

61 航空 不正な持ち出し 顔認証を利用した搭乗手続きシステムの運用を委託先の再委託先の元従業員が、管理者権限を悪用して不正に社外へ個人情報を持ち出していた。

持ち出されたのは、同システムで搭乗手続きを行った搭乗客1046人に関する個人情報。顔写真、パスポート情報、搭乗券情報などの一部が含まれる。

62 小売業 不正アクセス 業務を委託している孫会社が4月8日にサイバー攻撃を受けたもの。同日12時ごろ同社より報告があった。

攻撃を受けたのは、一部稼働を開始したばかりのあらたな配送管理システムを管理するサーバ。氏名、住所、電話番号などエアコンの配送設置情報7万3540件のデータや荷物の受け取り時のサイン画像3563件、写真553件をサーバ上より削除された。またこれらデータが外部に流出した可能性もある

63 誤送信 保健所が関係機関に情報提供のため表計算ファイルをメールで送信したが、ファイル内の別シートに患者に関する個人情報が残存したままだった。

ファイルには新型コロナウイルス感染症の発生届を受理した146人に関する氏名、生年月日、性別、市町名が記載されていた。

送信先となったのは、自治体や医療機関、医師会、消防など22組織や医師1人で、さらに医師会から22の医療機関、医師会会長、副会長などへそのまま転送された。

64 ガス 誤送信 緊急時対応を委託している事業者へ、緊急時の業務委託に関わる顧客データをメール送信した際、操作ミスで委託業務とは関係ないファイルを送信するミスがあった。また、誤送信したファイルには、顧客1万2418人分の氏名、住所、電話番号が記載されていた。
65 交通 不正アクセス クラウド内に保存されていた顧客や取引先、従業員などの個人情報が外部へ流出した可能性がある。

サーバ内部に保存されている業務資料には、顧客約950件、取引先約3400件、従業員や退職者など約300件の個人情報が保存されており、外部へ流出した可能性があるという。氏名や住所のほか、一部には電話番号、役職名、メールアドレスなどが含まれる。

66 誤送信 補助金の請求手続きについて、対象となる私立幼稚園の担当者に対してメール275件を送信した際、送信先を誤って「CC」に入力するミスが発生したもの。受信者間でメールアドレスが閲覧できる状態になった。
67 サイバー攻撃 「Emotet」の感染被害が発生。感染が確認された端末を調査したところ、メール85万7846件、メールアドレス9万5393件が外部に流出した可能性がある。
68 病院 紛失 患者の個人情報を含む画像データが保存されたデジタルカメラを紛失。

同センターで手術をした患者503人分の氏名、カルテ番号、臓器標本を撮影した画像データが保存されており、そのうち39人については病名も写り込んでいた。

同センター内を捜索したが発見できなかった。不正利用などは確認されていない。

69 通信 誤送信 取引先1件へメールを送信した際、本来送付するファイルではなく、顧客情報が記載されたファイルを誤って添付するミスがあったという。ファイルには、顧客29件の氏名、住所、電話番号が含まれていた。
70 ECサイト 不正アクセス サイトでクレジットカード決済を利用した975人が使用したクレジットカード情報1053件が外部に流出し、不正に利用された可能性がある。窃取された情報には、クレジットカードの名義、番号、有効期限のほか、セキュリティコードや3Dセキュアの認証情報が含まれる。
71 金融 紛失 伝票綴り1冊を紛失していることが判明したもの。紛失したのは2019年8月13日付けの伝票綴りで、顧客情報推定110件が記載されており、氏名または法人名、住所、電話番号、口座番号などが含まれる。

3、4月も引き続きEmotetによる情報インシデントが確認されています。また、4月26日に「2022年4月25日頃より、Emotetの感染に至るメールとして、ショートカットファイル(LNKファイル)あるいはそれを含むパスワード付きZipファイルを添付したメールが新たに観測されています。ファイルを実行すると、スクリプトファイルが生成、実行され、Emotetの感染に至ります。」(筆者下線)とJapan Computer Emergency Response Team Coordination Center (JPCERT/CC)より、「マルウェアEmotetの感染再拡大に関する注意喚起」で公表されています。「新たに」とされており、Emotet自体のアップデートが確認されています。また、警察庁より「マルウェアEmotetの新たな手口に係る注意喚起について」が公表されており、注目度は高いように思います。

また、警視庁より「マルウェア「ランサムウェア」の脅威と対策(脅威編)」が2022年5月2日に更新されており、かつ、ランサムウェアによる被害並びに事業の停止する情報インシデントが散見されます。4月28日には、大阪の病院においてランサムウェアと思われる身代金要求型のコンピューターウイルスによる攻撃があったとされる報道もされています(大阪 藤井寺の病院に身代金要求型サイバー攻撃か カルテ使えず)。改めて、バックアップ体制を確認しておき、もしもランサムウェアに感染した場合に備えておく必要があります。

また、ECサイトにおいて、不正アクセスによりクレジットカード情報が漏えいする事案が多く発生しています。個人情報保護委員会が発表した「ECサイトへの不正アクセスに関する実態調査」によると、不正アクセスの原因として、「SQLインジェクション脆弱性(31%)、決済画面の改ざんを引き起こす脆弱性(37%)」とされており、ECサイト脆弱性に対する不正アクセスが主なものとなっています。また、不正アクセスに関する認識について、脆弱性についての理解不足(66%)、技術的ノウハウの不足(59%)とされています。このように知識やセキュリティ人材のリソースが不足しているため、委託先に依存するという状態が生じるように感じます。この点、リソース等が不足しているからこそ、セキュリティ対策をアウトソースすることが実態かと思います。しかし、実務的には情報漏えい時には、委託元が主体となり、謝罪説明をしていくことが求められ多くのケースで対応に苦慮します。また、通信教育を目的とする事業者における漏えい案件に関する判決が参考となるので確認しておきます。

まず、事件概要についてです。同社は子会社に個人情報を管理・分析するシステムの開発・運用を委託し、この子会社はシステム開発を再委託していました。無論、子会社は再委託先従業員が用いるパソコンに外部へのデータの転送を禁止するセキュリティソフトを導入していました。もっとも、当時、オーディオプレイヤー向けに音楽ファイル等を転送する目的で設計された規格(MTP)については、制限がされていませんでした。また、同規格を用いた漏えいの可能性は公表されておらず、専門家の中にも危険性を認識する者がいなかったと指摘する者いるほどです。すなわち、システム開発事業者たる委託先でも気づくことが難しい事情と思われます。尚、携帯の充電のためにPCに接続することは、何気なく、行われており、これに対し、問題視をしなかったというリスクセンスの欠如が要因であるともされています。

この様な事情があったものの、令和元年大阪高裁は、「MTP対応スマホに対する書き出し制御措置が講じられているか否かを確認し、セキュリティソフトの設定状況について適切に報告を求めていれば、書き出し制御が十分でないことを知り、制御を指示することができた」と判断しています。すなわち、専門家ですら認識が乏しく、専門のシステム開発会社ですら気が付くことが難しい事象であっても、委託元(専門性を問わない)の義務違反が認定されうることとなります。

このように、現実的には、委託元の監視に対して厳しい判断がなされうることから、委託先に丸投げ・依存というのは御法度で、適宜、委託先管理に注力を注ぎどのようなセキュリティを講じているのか、最新状態に保つようにアップデートを行っているのかを事細かく把握する必要があるものと思います。ただ、先にあげた実態調査結果では、「責任範囲を理解し、委託先と合意」していると回答する企業は25%でした。今回、情報インシデントとして、Emotet、ランサムウェア、ECサイトに対する不正アクセスを取りあげましたが、いずれも、被害にあった企業の事業に及ぼす影響は計り知れないものです。これに関連し、内閣府より公表されている「令和元年度企業の事業継続及び防災の取組に関する実態調」を確認しておきます。

調査結果のうち、災害等のリスクに備えた企業経営について、「リスクを具体的に想定して経営を行っているか(問7)」では、行っているとする企業は、61.3%であり、重視しているリスクについて(問8)では、外部委託先のサーバー・データセンター等情報システムの停止は、24.1%となっています。このように、情報インシデントは、事業活動に大きな影響を及ぼし得るものであり、発生可能性も決して低くないのにもかかわらず、あまり重視されていない印象です。改めて、経営者が先頭に立って、情報セキュリティを経営課題としてとらえて全社的に取り組んでいくことが必要になるものと思います。

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

セミナー・研修系サービスの紹介
SPリスク・ラーニング

新型コロナウイルスの影響により、多くの企業で在宅勤務を前提にしたWeb研修や会議が行われている状況を受け、「コンプライアンス」「ハラスメント」「クレーム対応」「情報セキュリティ」「防災・BCP」など、新入社員から入社2~3年目の若手社員に必須の危機管理に関する知識を詰め込んだ9種類の研修用動画を提供しています。

危機管理会社の新入社員・若手社員研修

社会人に求められる常識や、業務の習得に必要な視点・モチベーション、仕事場におけるコミュニケーションスキル等を「リスクマネジメント」の観点から学び、企業と新入社員本人の双方からのアプローチで、早期離職や問題社員化等の「人財ロス」低減を目指します。数々のリスク対応で培った、危機管理会社ならではのオリジナルメニューで、他社ではできない領域の研修が可能です。理論と実践が結びついた早期の危機管理教育が、「人財」を育てます。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
Back to Top