情報セキュリティ トピックス
総合研究部 研究員 吉田 基
【もくじ】
(1)プロバイダへの請求
(2)請求相手の特定
(3)発信者を特定する場合
インターネットにおける投稿への対応
1.はじめに
昨今、一般消費者が飲食店を中心にお店を選定する際に、インターネットで「店名」や「店名+評判」を検索することが多いものと思います。そして、大手口コミサイトの口コミの内容やツイッター等の投稿内容を確認し、それを、お店選定の判断材料にすることもあるかと思います。当然、悪い評判が書き込まれてしまうことは否定できず、一般論として、「悪い評判」の書き込みが多いお店は選ばれにくくなります。したがって、お店サイドからすると、書き込みを軽視できない場合もあります。本稿では、会社等に対する書き込みについて検討していきます。
2.対処すべき書き込み
まず、前提として全てのマイナスの内容の書き込みに対応することは不可能です。SNS等のサービス、口コミサイトにおける自社に対する書き込みを常に監視し対応することは困難なためです。また、企業の評判やイメージはプラスの内容の書き込み、マイナスの内容の書き込みの両方で形成されます。100人が評価を行い、100人全員が同じような評価をしていれば、違和感のある話で、本当に公正な評判なのか首を傾げたくなります(1人で何人か分の投稿をする者や同じ評価の投稿をするグループもあるからです)。そのため、企業サイドもある程度、マイナスの内容の書き込み等があるとの前提でそれらを許容せざるを得ない面もあるということです。また、たとえ企業にとってマイナスの内容であっても当該投稿自体は表現の自由により保護されます。したがって、企業サイドとしてもすべてのマイナスの内容の書き込みに対応することはできないということとなりますし、すべてに対応する必要のないということにもなります。
3.実際の対応
(1)プロバイダへの請求
「接客態度も悪く、店長の○○はとても怖い。暴力団関係者だ」や「あの企業の社長は風貌からも暴力団組員。だからあの企業は暴力団を支援している」との投稿者の主観に沿った誹謗中傷をされた企業にとって、看過できない書き込みがあった場合の対応について、みていきます。昨今、インターネットにおける書き込みはSNS、電子掲示板といったサービスを提供するプロバイダを介してなされます。したがって、企業としては、プロバイダへ削除を請求していくことになります。まず、プロバイダというのは広い概念で、インターネットサービスプロバイダ(具体例は数多ありますが、NTTコミュニケーションズなどです)やコンテンツ・プロバイダ(掲示板の管理者、レンタルサーバーを提供している企業などです)が含まれます。書き込みを削除する関係でいえば、当該書き込みのなされているウェブサイト管理者を相手にします。なお、情報発信者に対して削除を求めるという認識の方もいます。しかし、ブログ等であれば発信者自身による削除が可能ですが、掲示板等の多数のユーザーが情報発信を行い、記事等が作成され情報発信されるサイトでは、投稿者によっては、削除する権限がないといった場合があります。そのような場合、削除する権限はウェブサイト管理者が保有しているので、投稿者に削除請求しても実効性があまりないこととなります(当然ですが、金銭賠償請求は投稿者です)。改めて、何の請求をするのか(情報の削除なのか、金銭賠償なのか)を、明らかにし、相手を選ぶ必要があります。
また、勘違いされがちですが、厳密には「投稿の削除あるいは情報の削除」を求めるわけではありません。我々がウェブページを閲覧するためにブラウザを利用する際には、インターネットに接続している特定のサーバーコンピュータにウェブページのデータの送信を依頼し、これに応える形でサーバーコンピュータよりデータが送信されることで情報発信がなされます。したがって、サーバーコンピュータによる情報提供の停止を求める差止請求となります。そして、差止請求は、法人の場合には人格権やプライバシー侵害は認められないので「名誉権」に基づく差止請求となります。また、著作権法や商標法にも差止請求が定められています(著作権法112条、商標法36条)。そのため、問題となっている投稿の内容を判断し対応していくことが求められます。
(2)請求相手の特定
ウェブサイト管理者に対し請求を行うことは上記の通りです。したがって、的確にウェブページの管理権限を保有している人を特定する必要があります。サイト管理者に関しては、当該ウェブサイト等に運営者情報、会社概要などがあればこれを基礎として特定することが可能です。
また、ウェブサイトを確認しても判然としない場合には、ドメインより特定する方法があります。ウェブサイトを作る際にはドメインを取得する必要があり、これに際し「whois情報(氏名、連絡先、住所など)」というものを登録する必要があります。そして、無料でドメイン名登録情報検索するサービスが提供されていますので、これを用いて特定することが可能です。ただ、ドメイン登録者情報とサイト運営者情報は必ずしも一致しているとは限りません。また、ドメインを取得する際にドメイン取得代行業者の情報が登録されることもあります。例えば、匿名掲示板の2ちゃんねるはドメインのwhois情報検索から直ちにはサイト管理者にたどり着くことはできません。
(3)発信者を特定する場合
IPアドレスを取得すると、続いてはアクセスプロバイダに対して投稿者情報の開示を求めることとなります。さて、IPアドレスとは、インターネットに接続している端末の1台1台を識別するために利用する符号を指し、インターネット上の住所とされます。住所と言われますが、各パソコンに固定的に常に同じIPアドレスがふられているわけではなく、インターネットに接続するたびに、未使用のIPアドレスを付与される形をとります。そのため、投稿者情報の開示を求める際には、IPアドレスと当該IPアドレスが使用されていた時間(タイムスタンプ)で特定し開示を求めることとなります。もっとも、IPアドレスとタイムスタンプで絞り込んでも、対象者が複数となるケースもあり、特定が困難な場合も存在します。
また、アクセスプロバイダが保有するIPアドレスの割り当てに関するログを保存する義務はなく、3か月から6か月程しか保存されません。したがって発信者の特定まで念頭に置くのであれば早めに任意協力を求め保存してもらう必要があります。
4.最後に
今回は、時折いただく相談に関わる部分のみお話ししました。今回取り上げた事項以外にも悩ましい事項があります。お読みいただければ明らかなとおり、インターネットに関する知識に加えて、リーガルな知識も必要となります。いわゆるユーザー等による書き込みですが、軽視はできない企業、業種もあるため、各企業担当者の知見・スキルアップを行うと同時にすぐに弁護士等の専門家に相談できる体制を構築しておくことは有用かと思います。
【参考】
- 総務省 プロバイダ責任制限法 発信者情報開示関係ガイドライン
- 総務省 プロバイダ責任制限法 名誉毀損・プライバシー関係ガイドライン
- 中澤佑一『インターネットにおける誹謗中傷法的対策マニュアル 第4版』(中央経済社)
最近の個人情報漏えい事故(2022年5月、6月)
下記の表は、2022年5月と6月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
| No | 業種 | 原因 | 漏洩件数・原因 |
| 1 | 国土交通省近畿地方整備局 | 誤送信 | プレスリリースの案内をメール送信する際に、送信先を誤って「CC」に設定し、送信するミスが発生。
送信先であるプレス関係者19人、同園関係者7人、公園利用者2人、計28人のメールアドレスが、受信者間で閲覧できる状態となった。 |
| 2 | 市 | 誤送信 | 複数の事業者へ案内のメールを送信した際、メールアドレスが流出した。
メールを事業者へ送信したところ、誤ってメールアドレスを宛先に設定するミスがあり、受信者間にメールアドレス52件が流出した。 |
| 3 | 貨物輸送運輸業者 | 誤破棄 | 本来社内でシュレッダー処理する引っ越し関連の見積書を、従業員がそのまま自宅に持ち帰り、ゴミ袋へ入れて自宅アパートのゴミ捨て場に家庭ゴミとして捨てていた。
406人分の見積書で、顧客の氏名や電話番号、メールアドレス、引越元および引越先の住所、家財などに関する情報が記載されている。 |
| 4 | 薬局 | 不正アクセス | メールアカウントが不正アクセスを受け、迷惑メールの送信に悪用された。
具体的には、3月下旬ごろから4月8日にかけて、同社のメールサーバ上に登録されたメールアカウント1件が不正アクセスを受け、推定約5万件の迷惑メールが送信された。 |
| 5 | 県 | 誤設定 | システムにおいてログイン時に「SNSアカウントでログインする」を選択した利用者のうち、SNSアカウントの登録時にメールアドレスを登録していない利用者から予約情報が閲覧できる状態となり、個人情報12件が閲覧可能となった。
業務委託先の事業者がSNSアカウントでログインできるようシステムを改修した際、特定の利用者に関する情報を、他特定の利用者より閲覧できるよう設定したことが原因としている。 |
| 6 | ECサイト | 紛失 | 顧客情報が記載された伝票が所在不明となった。
2018年7月22日から2020年1月10日までの間に扱った最大2400件の伝票で、顧客の氏名と電話番号が記載されている。そのうち、最大240件にクレジットカード番号が含まれる。 個人情報を含む書類については7年間の施錠管理を経て溶解処理を行うルールだったが、2020年5月の改装時に期限を迎える前に誤って廃棄した可能性が高いとしている。 |
| 7 | 県 | 誤送信 | 新型コロナウイルス感染症患者の個人情報が記載された書類を患者とは異なる住所へ発送するミスがあった。
219件について、関係ない住所を記載して発送したもので、210件は配達されずに郵便局から返送されたが、9件は別人へ配達され、そのうち1件は開封されたという。翌26日に郵便を受け取った人から電話で通報があり問題が判明した。 誤送付した証明書には、氏名、性別、生年月日、診断日、療養期間などが記載されている。 |
| 8 | 小売業 | サイバー攻撃 | サイバー攻撃の影響でシステム障害が発生しているもので、近隣店舗より商品在庫を取り寄せる「お取り寄せサービス」が5月11日時点で約2200店舗において利用できない状態となっている。
報道によると、身代金要求型ウイルス『ランサムウェア』を使うハッカー集団のサイバー攻撃を受けたとみられるとされている。 |
| 9 | ECサイト | 不正アクセス | 第三者が利用者になりすましてアクセスする「不正ログイン」が行われ、ポイントの不正交換も確認された。
ログインを許した場合、会員情報が一時的に第三者によって閲覧できる状態にあり、氏名、生年、メールアドレス、電話番号、法人として登録した場合は法人情報のほか、任意で入力した住所や携帯電話番号、性別、プロフィール画像などを閲覧された可能性がある。 |
| 10 | 市 | 紛失 | 住民票や戸籍証明の交付請求書が所在不明となった。
1月17日から31日にかけて受理した約2000人分の請求書が入っており、請求者の氏名、住所、電話番号、戸籍筆頭者や世帯主の氏名、住所が記載されている。 |
| 11 | 都 | 誤送信 | 加盟団体に対し、表計算ファイルをメール送信した際、個人情報が記載されたシートを含むファイルを誤って担当者が送信した。
同ファイルには、加盟団体56団体の代表者名、役職名、生年月日、年齢、電話番号、ファックス番号、携帯電話番号、メールアドレスが保存されていた。 |
| 12 | 公益財団法人 | 誤設定 | 開催するイベントにあたりフォームを設置し、4月20日より申し込みを受け付けていたが、受付完了時の画面より他申込者の情報が閲覧できるページへアクセスできる状態となっていた。
同フォームには70人分の氏名、電話番号、所属、役職名、メールアドレスなどが入力されていた。 |
| 13 | 都 | 誤送信 | 情報システムに関する委託契約を締結している事業者へメールを送信した際に宛先にメールアドレスを設定するミスがあった。
送信先である事業者の担当者21人のメールアドレスが流出した。 |
| 14 | 県 | 一時紛失 | 市内の商業施設で単位区別世帯名簿をコピーした際、名簿原本をコピー機に置き忘れた。同名簿には23世帯分の世帯主氏名、世帯人員、集合住宅の名称が記載されていた。 |
| 15 | 人材派遣 | 誤送信 | 一部のメールマガジンにおいて個人情報が流出した。
同社によれば、4月22日に8社の担当者12人へ送信したメールマガジンに、他受信者の氏名や企業名が表示された |
| 16 | 情報通信 | サイバー攻撃 | 米国子会社が、ランサムウェアによるサイバー攻撃を受けた。保有するデータへの影響を調査するとともに、復旧作業を進めている。 |
| 17 | 通信機器メーカー | サイバー攻撃 | 第三者により、正規アカウントを用いて、海外子会社のサーバ経由で日本国内の複数ファイルサーバに対して不正アクセスが行われた。
第三者によってアクセスされたファイルには、取引先の役職員の会社名、役職情報などのほか、取引先から提供された業務関連情報、同社の社内情報などが含まれる。 |
| 18 | 情報通信 | 不正アクセス | 不正アクセスされた形跡が残っており、サービスにアクセスするための認証情報を窃取したり、一部顧客の通信データが窃取できる状態だった。現在も調査中である。 |
| 19 | 大学 | 紛失 | 教員がUSBメモリを紛失した。学生の個人情報が保存されている可能性がある。
問題のUSBメモリには、同教員の担当科目を受講している学生89人の履修者名簿が保存されている可能性があり、氏名や学年、所属、学修番号、メールアドレスなどが含まれる。 |
| 20 | ECサイト | 不正アクセス | 2021年8月10日から2022年2月22日にかけて同サイトで注文時に入力されたクレジットカード情報が外部に流出し、不正に利用された可能性がある。対象となるのは商品を購入した顧客1万6093人が利用したクレジットカード1万6093件。名義、番号、有効期限、セキュリティコードが窃取されたおそれがある。 |
| 21 | カード会社 | 不正アクセス | クレジットカード会員向けサイトが不正アクセスを受けた。顧客の個人情報や加盟店に関する情報が流出した可能性がある。
同社によれば、クレジットカードの利用明細などを確認できるWebサービスが、「SQLインジェクション」の脆弱性を突く不正アクセスを受けた。 加盟店に関する情報615件含む4万4559件の個人情報が外部に流出した可能性がある。 また、3万9310件については、「ログインID」「パスワード」「メールアドレス」が流出。さらに190件については、これら情報にくわえて、「氏名」「住所」「電話番号」「生年月日」「性別」「口座情報」「暗証番号」が含まれる。 これ以外にメールアドレス5059件が流出した可能性があるが、クレジットカードの番号、有効期限、セキュリティコードの流出はないとしている。 |
| 22 | 報道機関 | サイバー攻撃 | サーバに保存されていたデータを正常に読み取ることができなくなり、被害が判明したもの。データを戻すことと引き換えに身代金を要求するメッセージが残されていた。
サーバ内部には顧客に関する個人情報が保存されていた可能性がある。 |
| 23 | サービス | サイバー攻撃 | 5月15日15時半ごろから翌16日17時ごろにかけて、海外からサーバに対して攻撃があり、データの改ざんや流出が生じたおそれがある。
対象となるデータの内容や規模は調査中としているが、氏名、住所、電話番号、ファックス番号、性別、生年月日、年齢、メールアドレス、申し込み内容などの個人情報が被害に遭った可能性がある。 |
| 24 | 市 | 持ち出し | 接種事務センターで働く従業員が、業務以外の目的で同市管理システムを使用し、個人情報の検索結果を外部に漏洩していた。 |
| 25 | 都 | 誤送信 | 外国人技能実習の監理団体担当者592人にメール送信した際、誤送信が発生した。
送信先を誤って「CC」に設定したため、受信者間にメールアドレスが流出した。 |
| 26 | サービス | 不正アクセス | 5月20日14時40分ごろ、対局が中断するなどの障害が発生し、原因を調査したところ、不正アクセスの痕跡を確認したという。
同社では、対局サービスの関連ログを調査したが、顧客情報の流出は確認されなかったとしている。 |
| 27 | 食品 | サイバー攻撃 | 外部から社内システムに対してサイバー攻撃があった。ランサムウェアによりサーバ内部のデータを暗号化され、同社やグループ会社のシステム障害が発生した。
サーバ内部の個人情報が外部に流出した可能性もあり、詳細を調べている |
| 28 | ECサイト | 不正アクセス | サイトのシステムに存在した脆弱性を突かれ、決済アプリケーションを改ざんされた。2021年2月4日から2022年1月31日にかけて顧客1万4127人が決済に利用したクレジットカード情報を窃取され、一部が利用された可能性がある。
2021年2月4日より前にあらかじめ登録していたクレジットカード情報を決済に用いた場合は対象に含まれない。 窃取された情報は、クレジットカードの名義、番号、有効期限、セキュリティコードである。 |
| 29 | 県 | 誤設定 | プログラムミスがあり、登録された事業者情報が外部に流出した。
同システムは、同県より業務や工事を受注した事業者が業務の実施や納品にあたって関連データの提出に使用しているが、利用者情報を含むファイルを意図せずダウンロードできる状態となっていた。 ファイルには、事業者3003件のユーザーID、氏名、会社名、メールアドレス、案件を発注した事務所名、送信状態などの情報が含まれる。 同社では5月19日に対策を講じ、ダウンロードの操作を行った26人に対してファイルを削除するよう依頼した。 |
| 30 | 不正アクセス | コミュニティサイトに対し、パスワードリスト攻撃があり、一部アカウントでポイントの不正交換被害が発生した。
第三者が利用者本人になりすまし、ログインを試みるパスワードリスト攻撃が行われ、一部アカウントがログインを許すとともに、ポイントが不正に交換されていた。 5月16日9時過ぎにポイントに関する問い合わせが複数寄せられ、調査を行ったところ判明した。ログインの試行は、4月10日から5月16日にかけて、のべ1億3833万8195件にのぼり、6万518件でログインを許していたという。 ポイントの不正交換は、5月13日18時ごろから同月16日10時半ごろにかけて1877件のアカウントで行われ、65万1904ポイントの被害が発生した。またログインを許した場合、氏名と住所などの個人情報を攻撃者に閲覧された可能性がある。 |
|
| 31 | 県 | 紛失 | 児童の様子を記録したSDメモリカードがデジタルカメラごと所在がわからなくなった。メディア内部には、画像約1000件が記録されていた。 |
| 32 | 報道機関 | サイバー攻撃 | ウェブサーバに対して1秒間あたり100回以上のアクセスが行われ、異常を検知したサーバが自動的にシャットダウンしたもの。サーバのログを解析したところ、不正アクセスが判明。
「SQLインジェクション」による大量のアクセスが行われたもので、今回の攻撃により同社が提供するツールを利用する組織の担当者に関するメールアドレス最大3万5000件が外部に流出した可能性がある |
| 33 | 市 | 紛失 | 市広報物を各世帯へ配布するために自治会へ貸与している名簿が所在不明となっているもの。名簿には、世帯主氏名と住所など408件が記載されていた。 |
| 34 | 酒造メーカー | サイバー攻撃 | 業務の基幹システムやパソコンがランサムウェアによりデータを暗号化され、社内システムで障害が発生していることを4月2日に確認。サーバを停止し、ネットワークを遮断して影響の範囲、原因など詳細について調査を進めていた。
調査の結果、インターネットに接続するネットワーク機器の脆弱性を侵入経路として攻撃された可能性が高いことが判明。情報が持ち出された痕跡は確認されていないものの、サーバ内部にあったデータが外部に流出した可能性も否定できないという。 具体的には、通信販売サイトの商品発送リスト、進物品斡旋販売受注、発送リスト、キャンペーンなどのプレゼント発送リストなどあわせて4754件をはじめ、顧客相談窓口が扱った報告書や受注リストなど2227件が対象。氏名、住所、電話番号のほか、一部でメールアドレスも記載されていた。 さらに取引先名簿2167件、採用応募者名簿1万7000件、従業員や退職者情報2560件のほか、2022年3月時点での株主名簿が含まれる。 |
| 35 | 病院 | サイバー攻撃 | 外部から不正アクセスを受け、院内サーバーに保存していた患者数万人分の電子カルテにアクセスできなくなった。 |
| 36 | 市 | 不正な持ち出し | 職員2人が全住民に関する個人情報を不正に自宅へ持ち出していた。
自宅の私用パソコンに住民の個人情報を保存していた。確認されているだけで、それぞれ8回、13回のあわせて21回にわたりメールでデータを送信していたという。また建設部職員は、USBメモリでもデータを持ち出していた。 氏名、住所、性別、生年月日など、いわゆる基本4情報を表計算ファイルとして保有。くわえて続柄、世帯番号、収入額など税務関連のデータや、被災住所など含む応急仮設住宅居住者情報なども所持していた。「特定個人情報(マイナンバー)」も600件含まれている。 |
| 37 | イベント | 誤送信 | イベントの参加者747人に、委託業者より関係書類や用品を発送した際、全参加者において、異なる参加者の大会誓約書を同梱するミスがあった。
書類を受け取った5人から電話で指摘があり、誤送付が判明。誓約書には、参加者の氏名、住所、出場種目、ナンバーカード番号などが記載されていた。 |
| 38 | 情報通信 | 誤廃棄 | 行政手続きなどに利用するフォームをテンプレートより作成できる公共機関向けのSaaS型サービス。2020年3月より提供されており、4月28日の時点で自治体や準自治体など430団体が採用している。
同社によれば、サーバ構築時の人的なミスにより257団体において、フォームより4月21日22時ごろから5月20日17時半過ぎに提出されたファイルが消失した。 フォームの記入内容はデータベースサーバに格納され、影響はなかったが、画像ファイルやPDFファイルなど、フォーム投稿時に添付され、ファイル保管サーバに保存されていたファイル1万7385件が消失した。 |
| 39 | 病院 | 誤交付 | 患者の親族よりカルテの開示依頼へ対応した際、手続き用の書類に個人情報が印字された裏紙を使用したもの。本来ならば手続きの過程で抜き取るところ、そのまま患者の親族へ渡してしまったという。
問題の書類には、2020年9月に入院した一部の患者に関する氏名、ID、病名、入院日、入院期間など104件が記載されていた。 |
| 40 | 保険 | システム上の脆弱性 | 契約者向けの一部メール通知サービスに脆弱性が存在し、サービス登録者の個人情報が、第三者によって閲覧可能だった。 |
| 41 | マーケティング | サイバー攻撃 | 勤怠人事給与システムが稼働するサーバのデータを暗号化されたもので、翌2日にシステム管理者が被害を確認した。暗号化されたファイルを確認したところ、身代金を要求するランサムウェアの被害であることがわかったという。
勤怠人事給与システムには、従業員1872人、退職者2167人に関する氏名、住所、電話番号、生年月日、性別、勤怠システムのログインパスワード、出退勤データ、勤怠関係の申請履歴、銀行口座情報含む給与の支払いデータなどが保存されていた。扶養者424人、世帯主2423人に関する情報も含まれる。顧客や取引先のデータは保存されていなかった。 |
| 42 | 市 | 紛失 | 廃棄処分する文書をゴミ処理施設へ運搬する際、平積みした公用トラックの荷台より文書が飛散したもの。同日10時半ごろに自宅前に落ちていたとして住民が文書3枚を庁舎に届けたことから問題が発覚した。
同市では、2日間にわたりのべ41人の職員を投入。約9キロメートルの走行ルートについて道路両側50~100メートルを対象として4往復以上徒歩で捜索を実施。 2001年度の「町府民税・固定資産税・国民健康保険税集合徴収課税台帳」21枚を探索初日に回収。翌日も範囲を広げて探索したが、あらたな回収はなかった。いずれも同じ段ボール箱の上部に入っていたもので密閉が不十分だったという。 |
| 43 | ECサイト | 不正アクセス | 7409人が同サイトで決済に利用したクレジットカード情報7645件が外部に流出し、不正に利用された可能性がある。
クレジットカード情報を保有していないが、脆弱性を突かれて決済アプリケーションを改ざんされたため、入力されたクレジットカードの名義、番号、有効期限、セキュリティコードを窃取された。 |
| 44 | ECサイト | 不正アクセス | システムの脆弱性を突く不正アクセスにより、ウェブアプリケーションを改ざんされたもの。同サイトを利用した顧客にくわえて、店舗で注文した顧客の個人情報も窃取されたおそれがある。
具体的には、2019年4月2日から2022年3月8日にかけて同サイトでクレジットカードを入力した顧客991人に関する1114件が流出した可能性がある。 クレジットカードに関する名義、番号、有効期限、セキュリティコードにくわえて、氏名や住所、電話番号、性別、メールアドレス、IPアドレスなどを窃取され、クレジットカードについては不正に利用されたおそれもある。 |
| 45 | 市 | 設定ミス | 応募フォームの設定ミスにより、申込者の個人情報が本人以外から閲覧できる状態となっていた。具体的には、事業のプログラムに申し込んだ中学生に関する個人情報120件が、応募フォーム内のリンクへアクセスすると本人以外の別の申込者によって閲覧可能となっていたもの。6月7日に申込者より同社に指摘があり、問題が判明した。
生徒の氏名、学校名、学年、性別、生年月日、電話番号のほか、保護者の氏名、住所、電話番号などが記載されていた。閲覧された件数については、対象範囲の特定が難しいとし、最大120件としている。 |
| 46 | 区 | 設定ミス | 区が実施する講座でインターネットのフォームを通じて申し込みした住民の個人情報が、別の申込者からも閲覧できる状態になっていた。
同講座にフォームを通じて申し込んだ2人の個人情報が閲覧可能になっていた。氏名、電話番号、メールアドレス、子どもの年齢、講座に参加して特に知りたい内容などが含まれる。 |
| 47 | 会議室用ウェブカメラ製品に複数の脆弱性が明らかとなった。一部脆弱性に対処したセキュリティアップデートをリリースしている。未修正の脆弱性も残存しており、近く修正する予定である。 | ||
| 48 | 小売 | 誤送信 | ダイレクトメールを送付したところ、同姓同名である別の顧客に郵送していることが判明した。
誤って送付したダイレクトメールには、別の顧客がこれまでにギフトを贈った相手の届け先情報が記載されていた。79人分の氏名、住所、電話番号が含まれる。 |
| 49 | 大学 | サイバー攻撃 | 教職員が使用するパソコン1台がマルウェア「Emotet」に感染し、大量のなりすましメールが送信された。
同大によれば、教職員が利用する端末1台がマルウェア「Emotet」に感染したもの。 端末内部に保存されていたメールアカウント情報を悪用され、同大で利用する外部サーバから、3月15日から同月17日にかけて少なくとも数千件の意図しないメールが送信されたという。 |
| 50 | 市 | 誤破棄 | 民票交付請求書や印鑑登録証明書交付請求書などが入った保存箱が所在不明となった。
住民票写しなどの交付請求書約6200人分の紛失が5月17日に判明。2021年7月および8月分、同年11月および12月分のあわあせて2箱で、請求書には氏名、住所、電話番号、世帯主の氏名と住所が記載されていた。誤って廃棄した可能性が高いと説明している。 また別の区では、2020年1月から3月分の印鑑登録証明書交付申請書が入った保存箱1箱を誤廃棄していたことが5月24日に判明した。対象となる申請者は約5000人で、氏名、住所、生年月日、印鑑登録番号が記載されている。 |
| 51 | ECサイト | 不正アクセス | データベースに対して不正アクセスが行われたことが6月7日に発覚。確認したところ会員情報275万3400件が外部に流出した可能性があることが明らかとなった。
氏名、住所、電話番号、生年月日、メールアドレス、購入情報、ハッシュ化されたパスワードなどが含まれる。10件に関しては口座情報が含まれていた。 約6割の顧客については、流出した項目が生年月日、メールアドレス、ハッシュ化されたパスワードのみに限られる可能性もあるという。 |
| 52 | ECサイト | 不正アクセス | なりすましによる「不正ログイン」が発生した可能性があることがわかった。
同サービスを運営する大日本印刷によれば、第三者が正規のメールアドレスとパスワードを用いて本人になりすまし、不正に同サービスへログインした可能性があることが判明したという。 悪用されたIDとパスワードは、同社以外で入手されたものとし、同社経由の情報流出については否定している。 同社では、不正ログインされたと見られる顧客に対し、個別に連絡を取っている。また被害を防止するため、他サービスで利用しているパスワードと同じものを利用しないよう注意を呼びかけている。 |
| 53 | 小売 | 小売業が、コンサルティング契約を結んでいたコンサルティング会社より、機密保持契約に反して、同業他社に機密情報が会議資料として提供されていた。
守秘義務に対する基本的な認識が欠如しており、社内ルールを逸脱した行為があり、秘密保持条項に違反していたと理由を述べている。 |
|
| 54 | 教育 | サイバー攻撃 | 管理を外部委託しているサーバがランサムウェアによるものと見られるサイバー攻撃を受けたもの、サーバ内のデータを暗号化される被害が発生した。
暗号化された情報には、顧客に関する個人情報も含まれるが、外部事業者をまじえて実施した調査では、個人情報の外部流出などは確認されていないとしている。 |
| 55 | 病院 | サイバー攻撃 | 院内システムにおいてランサムウェア「Lockbit 2.0」による攻撃を受け、電子カルテ、院内LANシステムなどが使用できない状況に陥ったもの。
入院している患者への診療体制に問題はなく、通所リハビリテーションや訪問リハビリテーション、訪問診療、訪問看護もおおむね通常通り提供しているが、外来診療については、再来患者に限定するなど影響が出ている。 |
| 56 | 市 | 紛失 | 住民から個人情報の開示請求があり、5月25日に職員が文書を確認したところ、2019年8月9日に扱った「戸籍証明書交付申請書」が保存箱に収納されていないことが判明した。
システム上の記録から2019年8月9日に81件の申請書を受理したことがわかっている。申請書には、申請者の氏名、住所、本籍地、筆頭者などの個人情報が記載されていた。 |
| 57 | 製造 | サイバー攻撃 | 従業員が取引先をかたるメールの添付ファイルを開封し、パソコン1台がマルウェア「Emotet」に感染した。
感染した端末には、同社従業員の情報が記載されたアドレス帳のほか、過去に送受信したメールが保存されており、氏名、電話番号、メールアドレスなどの情報が窃取された可能性がある。 |
| 58 | 不動産 | サイバー攻撃 | サイバー攻撃を受けたもので、サーバを停止するとともに、外部事業者をまじえて被害状況について調査を進めていた。
同社では、EDRによるエンドポイントの監視、システムやアプリケーション、ネットワーク、仮想ホストのログ調査、収集データに対するフォレンジック調査、攻撃者が使用したツールおよびマルウェアの解析などを実施したと説明。情報を窃取されたり、外部へ流出した痕跡は確認されなかったとした。 一方、サイバー攻撃の具体的な内容や影響、原因については明らかにしていない。 |
| 59 | 製造 | サイバー攻撃 | 米国子会社が外部よりサイバー攻撃を受け、本社サーバがランサムウェアに感染したもの。
本社では、子会社のネットワークを遮断して復旧作業を進めるとともに、グループ会社において同様の被害が生じていないか確認を進めている。 またランサムウェアによる攻撃との関連はわかっていないが、ウェブサイトを一時閲覧できなくなる障害が発生した。国内からはアクセスできるよう暫定的な対策を講じており、海外からも閲覧できるよう追加の対策を取るという。 復旧作業を優先しており、情報漏洩といった影響や原因に関する調査には時間を要する見込み。生産や出荷作業に関しては手作業で行い、納品への影響が出ないよう努めるとしている。 |
| 60 | 市 | 紛失 | 市全住民の個人情報を含むUSBメモリが所在不明となっていることを明らかにした。問題のUSBメモリは内部を暗号化しており、ランダムな文字列のパスワードが設定されている。
USBメモリの内部には、同市全住民46万517人分の住民基本台帳に関する情報が保存されていた。氏名、住所、生年月日、性別、住民となった年月日、統一コードなど含まれる。さらに住民税の均等割額など税情報36万573件も記録されている。 さらに2021年および2022年の非課税世帯臨時特別給付金の対象世帯に関する情報も保存。あわせて8万2716世帯分にのぼり、世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時などが含まれる。 また児童手当に関する6万9261件、生活保護に関する1万6765件の口座情報を保存しており、金融機関や支店のコード、口座番号、口座名義など含む。 |
| 61 | 情報通信 | 不正アクセス | サイトの一部会員のアカウントに対して第三者による不正アクセスが行われたことが6月21日午後に判明したもの。不正アクセスの具体的な内容については明らかにしていないが、6月24日の時点で会員559人が不正アクセスを受けたことを確認している |
| 62 | サイバー攻撃 | サイバー攻撃を受けたことを確認し、調査を行ったところ、社内のサーバが第三者よりアクセスされ、「Phobos」の亜種と見られるランサムウェアによって一部データを暗号化されたことが判明した |
さて、5、6月も「ランサムウェア」という言葉が多く見受けられたように感じています。実際、Avast Software Japan 合同会社が公表する2022年第1四半期脅威レポートによると、「世界的なランサムウェア件数がやや減少している一方、日本ではインターネットユーザーがランサムウェアに遭遇する確率が、全四半期と比べて37%増加している」とされています。
また、令和4年6月7日に徳島県つるぎ町立半田病院のコンピュータウイルス感染事案有識者会議調査報告書が公表されています。
この報告書に対しては、いろいろと言いたいことはありますが、ここでは2点だけ言及しておきます。
まず、事業者及びベンダーの善管注意義務についてです。同調査報告書では、「「通常運用における責任」および「事後責任」を果たす当事者は半田病院だけである。しかし、前述の情報システム管理リソース欠如の状況において、事業者及びベンダーはこの「丸投げ状態の理由」を十分に認識していると思われ、事業者及びベンダーは医療情報を扱う当事者でなくとも、システム全体の構成要素の内容を含めたリスクマネジメントの実施の提案、または知見が不足するのであれば、第三者への委託を含めそれらを促すなどの善管注意義務は十分にあったと考えるのが妥当である。」としています。さて、印象としては、重い責任がベンダーサイドに課されている印象です。今回、引用した部分につき賛否はあろうかと思いますが、同報告書につき契約の範囲などにつき言及がありません。専門家と言えど、ビジネスである以上は、契約で取り決められた事項を遂行していくものです。契約上の取り決めとの兼ね合いで、本件ベンダーが義務を果たしていたのかという点につき、再検証の必要があるかもしれません。ただ、1年以上にわたり脆弱性を放置し、セキュリティ体制に適切に予算を配分しなかったこと、電子カルテシステム、医事会計システムの稼働を優先し脆弱性管理を実施せず、かつ、アンチウイルスソフトの動作を停止していた病院サイドにも落ち度があったのでは、と感じるところです。
次にフォレンジックについてです。同報告書では「一部端末やサーバーはB社に送付し、フォレンジックの作業が行われていたようだが、B社提出の調査報告書の内容が希薄なため、その全容を解明することができなかった。また、情報漏洩の有無の視点で調査が不足していることから、本事象は情報漏洩の可能性までしか示唆することができない」とされています。フォレンジック調査会社が悪いという印象を持ってしまうような内容ではありましたが、調査範囲や方法は、病院とフォレンジック調査会社との協議で決定されるため、情報漏洩の有無の視点を欠くのは、依頼していなければ至極当然の話です。また、ファストフォレンジックしか行わず、フォレンジック調査を実施しないという選択をしているのは病院サイドです。また、近時、筆者も対応する案件でもフォレンジック調査を行うことはありますが、漏えいを「断定」する調査結果が出てくることは少なく、可能性に留まるケースの方が多くなってきた印象です。同調査報告書内の「情報漏洩の可能性までしか示唆することができない」は、専門の調査会社に頼めば漏えい等、全容を解明してくれるという期待値と現実にずれがあるためと思われます。
同調査報告書は多くの示唆を与えてくれるものと思いますので、皆さんも一読いただくことを推奨いたします。
さて、半田病院におけるランサムウェアの事案をはじめ、この手の外部による不正な攻撃等では警察に相談することがセオリーです(相談なので被害届が受理されるかは別問題です。)。この点、ランサムウェアに関する案件に関し「不正アクセス」とする公表文が散見されます。しかし、不正アクセス禁止法における不正アクセスというのは、①他人の識別符号(利用権者及びアクセス管理者ごとに定められた符号で、アクセス管理者がその利用権者等を他の利用権者と区別して識別するために用いるものを指す)を利用した不正ログイン、または、②セキュリティ・ホール(アクセス制限機能のプログラムの瑕疵、アクセス管理者の設定上のミス等のコンピュータ・システム上の安全対策の不備をいう。)をつき本来識別符号がないとできない利用を行うことをいいます(正確な定義は、不正アクセス禁止法2条4項をご確認ください。)。すなわち、不正アクセス禁止法で禁止されているのは、本来アクセス権限のないコンピュータを利用する行為で、ランサムウェアをしかけることは該当しません。ランサムウェア等のマルウェアを仕掛ける行為は、刑法における不正指令電磁的記録に関する罪で禁止されている行為となります。ランサムウェア等のマルウェアによる情報インシデントをひとくくりに「不正アクセス」としがちですが、正確ではないので、改めて、公表文等を作成する際には事実関係を確認のうえ記載することが必要となるように感じています。
【参考】
- コンピュータウイルス感染事案有識者会議調査報告書
- 中野目義則、四方光編著『サイバー犯罪対策』(成文堂)
- 内閣官房内閣サイバーセキュリティセンター(NISC)サイバーセキュリティ関係法令Q&Aハンドブック
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
セミナー・研修系サービスの紹介
SPリスク・ラーニング
新型コロナウイルスの影響を契機として、多くの企業でWeb研修が広く一般的になりました。こういった状況を受け、「コンプライアンス」「情報管理」「ハラスメント防止」「コミュニケーション」「適切な指導」をテーマとし、社員に必須の危機管理に関する知識を詰め込んだ5種類の研修用動画を提供しています。
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
