サイバー攻撃への備え(2)
2017.07.19総合研究部 上席研究員 佐藤栄俊
1.サイバー攻撃への備え(2)
6月27日に発生が確認された新型マルウェア「GoldenEye(またはPetya)」は、Windowsの脆弱性を利用して感染拡大するタイプのマルウェアと言われ、ヨーロッパ・アメリカを中心に猛威を振い、ウクライナ政府や、ロシアの国営石油会社、イギリスの大手広告代理店、アメリカの製薬メーカーなど影響力の大きな組織や企業が一時的に機能不全に陥りました。5月に発生したランサムウェア「WannaCry」によるサイバー攻撃では、Windowsの脆弱性とインターネットに公開されたネットワークポートから侵入して感染を広げることから爆発的に増殖し、世界中で大きな被害をもたらしたことも記憶に新しいところです。
現在、日本での大きな被害は報告されていませんが、今後も継続的な攻撃が予想されるため、まずは使用しているOS、ウィルス対策ソフトの更新を確実に実施すること、そして、SNSやメールに記載されたURLに注意を払うこと、不審な動作時の初動対応等を役職員へ周知徹底し、万一の感染に備えた重要情報のバックアップなど、被害を最小限に食い止める取り組みが急務だと言えます。
サイバー攻撃の脅威は、情報資産の奪取や破壊を”生業”とするプロのサイバー犯罪集団によって組織化・凶悪化、さらに多様化・巧妙化しており、シグネチャ型(既知の攻撃パターンに基づく攻撃とマッチングすることによって攻撃を検知)のゲートウェイやエンドポイントを中心とした旧来の対策だけで防ぐことが困難になっています。しかも、被害が顕在化するまで侵入の事実に”気づけない”ケースが増えており、潜在的なリスクは既に相当拡大しており、今後、顕在化するケースが相当数に上ることが推察されます。
1)情報漏えい・流出以外のリスク
5月、6月に世界を襲った大規模なサイバー攻撃は、あらゆるモノがネットに繋がるIoTの危うさを浮かび上がらせました。目立つのが監視カメラや映像を一時記録するレコーダー、ネット接続用ルーターへの攻撃と感染です。情報通信機構(NICT)によると、2016年のサイバー攻撃に関わる通信はIoT機器を狙うものが全体(1,281億件)の64%を占めており、前年から26%増加しています。
▼国立研究開発法人情報通信研究機構「NICTER観測レポート」
IoTは工場のほかエネルギー・交通などの社会インフラにも普及しており、ひとたび攻撃を受けると産業や社会の混乱につながり、実社会や人命にまで多大な影響が及ぶ可能性も考えられる状況です。IoTは生産性と利便性向上など大きな可能性を秘めていますが、そのリスクにも注意を払う必要があります。また、IoTの所有者・提供者ともに、その脅威をあらためて認識し、その脅威から情報資産を機密性・完全性・可用性(三大要件)の確保を行いつつ、正常に維持する取り組みが求められます。
【情報セキュリティのCIA】
※情報セキュリティのCIAはConfidentiality(機密性) Integrity(完全性) Availability(可用性)という3つの言葉の頭文字をとったものを指します。
- 機密性 (confidentiality): 機密性とは情報へのアクセスを認められた者だけが、その情報にアクセスできる状態を確保することです。「情報が漏洩しないようにする」ことであり、それを確保する対策として、「情報にアクセスする際の認証および権限の管理を適切に実施する」「不正アクセスを検知し対処できる仕組みを整備する」等があります。
- 完全性 (integrity): 完全性とは情報が破壊、改ざん又は消去されていない状態を確保することです。「情報にアクセスする際の認証および権限の管理を適切に実施する」ことが基本となり、それに付随して「バックアップ取得と復旧手順を明確にしておくこと」「外部から悪意のあるコードを実行されないようOS/ミドルウェア/ソースコードレベルでの脆弱性検査および対策を実施する」等の対策があります。
- 可用性 (availability): 可用性は情報へのアクセスを認められた者が、必要時に中断することなく、情報及び関連資産にアクセスできる状態を確保することです。「システムがダウンしないようにする」ことであり、対策として「バックアップ取得と復旧手順を明確にしておくこと」「二重化・冗長化対策を策定し実施すること」「システムの冗長化構成を組むこと」等があります。
これは、企業や組織における事業継続性にも関わることで、業務を遂行できないような何らかの事態(大規模地震やシステム障害、新型感染症の流行、事故など様々なインシデント)が発生した場合でも必要な業務を継続できること、あるいは迅速な復旧を確実にすることやその計画(「事業継続計画」BCP(Business Continuity Plan))を策定することが求められます。
企業や組織にとって、サイバー攻撃による情報資産の流出事案に目を奪われがちですが、例えば顧客が利用しているシステムがダウンしてサービスの提供が止まってしまうこと、つまり、「可用性」が崩れることも大きなリスクとなり得ます。
会社や組織の管理する情報資産やサービスの提供形態によりますが、情報流出だけに着目したセキュリティ対策だけでは、全体的な対策の視点が欠如していることを暗に示していると言えます。言い換えれば、情報セキュリティの要素の1つである、「機密性」だけに偏った対策では不十分であるということです。ISO/IEC27001の情報セキュリティの定義のとおり、まさに機密性、完全性、可用性をそれぞれ俯瞰して対策をする必要があります。今後、IoTなどで新しい仕組みが次々にシステムと連携すると、情報流出よりも、意図的なシステムダウンや情報の書き換えなどの不正による影響の方がはるかに大きくなるケースも十分に考えられます。人の命に直接かかわるような医療機器、自動車などはまさにその例でしょう。猛威を振るっているランサムウェアも、データを盗むことを目的とはせず、正当な利用者が業務で使っているデータを利用できないようにする、つまり可用性を奪うことが目的だったわけです。
不正アクセスをはじめサイバー攻撃などの攻撃が成功している原因の1つは、当初導入されたクライアントPCが「もとのまま」ではなくなり、システム管理者があずかり知らぬソフトウェアが不正にインストールされて、それが実行されたことです。つまり、完全性が崩れたことをきっかけに、機密性や可用性が連鎖的に崩れていくと考えることができます。
2)企業・組織が取り組むべき一手~侵入後の早期検知~
上述のように、サービスを提供する企業、組織において守るべき資産とは、何もデータベース上の顧客の個人情報だけに限りません。紙やその他記憶媒体に保存された機密扱いの情報も含まれますし、事業活動を継続する上で不可欠なシステムや組織が正常に稼働し続けるようにすることも、資産を守ることに該当します。例えば、(極端な例を挙げれば)「標的型メールが組織内の端末に届いてしまうこと」がリスクなら、何としても入口で防御しなければなりませんが、「顧客の個人情報が流出してしまう」ことがリスクなら、入口の防御だけでなく、内部で感染しないようにしたり、情報が格納されたサーバを隔離したり、出口で外部との通信をブロックする、といった具合に対策を絞り込んでいくことができます。また、「情報が流出した場合に被害状況が把握できないこと」をリスクとして考えるなら、外部との通信を保全することも検討すべきでしょう。
サイバー攻撃による初期侵入時の対策(入口対策)では、システムや人の脆弱性を狙い様々な手法を組み合わせた執拗な攻撃に対し、1度防御を破られると、その後の対応は取れません。攻撃側は99回失敗しても1回成功すればよく、構造上攻撃側が圧倒的に有利です。その点、侵入後となると、攻撃側はC&Cサーバとの通信を確立したり、ネットワーク内に感染を広げたりなど一定の動きを続けなければ次の段階に進めません。そのため、それらの(通常ではない)通信を検知することによって脅威を発見しやすく、防御側が対策を施しやすくなります。
サイバー攻撃の予兆と早期検知における対応で重要なのが、システム上のログの収集と分析です。ただ、これまでもインシデント対応におけるログの重要性が認識されてはきましたが、必要なログを見定めて実際に採取し、分析調査をしている組織は多くありません。さらには、インシデントが発生して専門家が調査に入っても、調査に必要なサーバや機器のログがまったく無い、あっても過去のログが消えてしまっていたために全容の解明に到らなかった例も少なくありません。
攻撃を受けた際のログの収集と分析は、マルウェアの内部ネットワークでの活動となる「内部ネットワークの移動」「データの盗み出し」を辿る手掛かりとなります。これには、内部ネットワークの通信を記録するとともに不審な通信を検出することが有効となります。
巧妙化、複雑化が進むサイバー攻撃には、単一のセキュリティ対策だけでなく、ネットワーク内にある複数の機器の通信状況を監視、分析することが重要となります。実際の対策には、攻撃のプロセスを理解し、どの部分の対策が弱いか、あるいは重視すべきかを考え、まずはポイントを絞って実施するのが有効だと言えます。
【サイバー攻撃のプロセス:Cyber Kill Chain】
▼一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)「高度サイバー攻撃への対処におけるログの活用と分析方法」
サイバー空間の標的型攻撃における攻撃者の行動を分解した考え方を「Cyber Kill Chain」と呼びます。いずれかの階層で脅威を断ち切るという多層防御の考え方を理解、設計するのに役立ちます。キルチェーン(Kill Chain)は元々軍事用語であり、敵を攻撃する際に踏む一連の段階 (フェーズ) をモデル化したものです。2011年、米ロッキード・マーチンがコンピュータネットワークにおける先進的な標的型攻撃をモデル化したものを「サイバーキルチェーン」と呼び、民間でも使われ始めました。そのモデルは、Reconnaissance (偵察)、Weaponisation (武器化)、Delivery (配送)、Exploitation (攻撃)、Installation (インストール)、Command & Control(遠隔操作)そして Action (目的の実行)から構成されます。
| サイバーキルチェーン | 攻撃例 | 対応策、検知方法例 |
|---|---|---|
| (1) 偵察(Reconnaissance) |
|
|
| (2) 配送(Delivery) |
|
|
| (3) 攻撃(Exploit) |
|
|
| (4) インストール(Install) |
|
|
| (5) 遠隔操作(C&C) |
|
|
| (5) 侵入拡大(Lateral Movement) |
|
|
| (6) 目的達成(Objectives/Exfiltration) |
|
|
攻撃の予兆を監視するには、予兆を捉えやすいようにOSやActive Directorに信号を出してもらうことも一つの有効策です。最も単純な方法は「イベントログ」の監視です。特に、セキュリティログに記録を残す監査機能を「適切に」「有効にする」ことで、特定の操作を記録に残すことができます。セキュリティログにはユーザのログオンログオフの記録やオブジェクトに対するアクセス履歴などが記録されるのですが、すべてのログが最初から記録されているというわけではありません。管理者がどのログを記録するのかを、予め設定する必要があります。(すべてを記録するよう設定してしまうと、大量のログが出力されサイズが大きくなるのはもちろん、重要なログを見落としてしまう可能性が高くなります。)ただ、ドメインコントローラーの既定の状態では十分な監査がとれているとは言えず、Windowsの監査ポリシーの詳細な構成を使用して、取得する監査情報の範囲を増やさなければなりません。取得するべき監査項目の具体例については、以下のとおりです。この監査項目が最低限取得するべき項目となります。
【ドメインコントローラーの推奨監査項目】
| カテゴリー | 項目 | 既定値 | 推奨値 |
|---|---|---|---|
| DSアクセス | ディレクトリサービスアクセス | 監査なし | 成功と失敗 |
| DSアクセス | ディレクトリサービスの変更 | 監査なし | 成功と失敗 |
| アカウントログオン | 資格情報の確認 | 監査なし | 成功と失敗 |
| アカウントの管理 | コンピュータアカウント管理 | 監査なし | 成功と失敗 |
| アカウントの管理 | セキュリティグループ管理 | 成功 | 成功と失敗 |
| アカウントの管理 | そのほかのアカウント管理イベント | 監査なし | 成功と失敗 |
| アカウントの管理 | ユーザーアカウント管理 | 成功 | 成功と失敗 |
| システム | IPsecドライバー | 監査なし | 成功と失敗 |
| システム | システムの整合性 | 成功と失敗 | 成功と失敗 |
| システム | セキュリティシステムの拡張 | 監査なし | 成功と失敗 |
| システム | セキュリティ状態の変更 | 成功 | 成功と失敗 |
| システム | そのほかのシステムイベント | 成功と失敗 | 成功と失敗 |
| ポリシーの変更 | ポリシーの変更の監査 | 成功 | 成功と失敗 |
| ポリシーの変更 | ポリシーの変更の認証 | 成功 | 成功 |
| ログオン/ログオフ | アカウントロックアウト | 成功 | 成功 |
| ログオン/ログオフ | ログオン | 成功 | 成功 |
| ログオン/ログオフ | ログオフ | 成功 | 成功と失敗 |
| ログオン/ログオフ | 特殊なログオン | 成功 | 成功 |
| 詳細追跡 | プロセス作成 | 監査なし | 成功 |
| 特権の使用 | 重要な特権の使用 | 監査なし | 成功と失敗 |
3)インシデントレスポンス(事故対応)
これまでは、サイバー攻撃の「入口・出口」における防御対策、つまり「いかに侵入を防ぐか」「いかに流出を食い止めるか」に重きを置くのが、主なセキュリティ対策でした。しかし、標的型攻撃をはじめ、これだけ攻撃側の手口が高度化・巧妙化してくると、侵入を100%防ぐのはもはや不可能です。
そこで重要視されるようになってきたのが、「インシデントレスポンス(事故対応)」の取り組みです。侵入を受け、何らかのセキュリティインシデントが発生することをはじめから前提として、その後の対応を迅速かつ適切に行うことで攻撃を無効化したり、ダメージを極小化しようというものです。こうした考え方が重視されるようになってきた背景の1つには、過去に発生したセキュリティ事故の反省があります。日本年金機構やJTBの個人情報漏えい事故では、いずれも最初の不審な挙動の検知から原因の解明・対策の実施までに数日の時間がかかっていました。もしこの対応時間をもっと短縮でき、事後の段取りを取り決めていたら、ここまで被害は大きくならなかったかもしれません。このケースに限らず多くのインシデント事例では、強固なセキュリティ対策を講じていたにもかかわらず、そして実際に侵入や感染を検知できていたにもかかわらず、適切な対応がとられなかったがためにいたずらに被害が拡大してしまったケースが実に多く見られます。
一言でインシデントレスポンス(事故対応)といっても、その活動範囲は実に広範に及びます。いざインシデントが発生した際にやるべきこと、そしてそれに備えて平時から備えておくべきタスクの数や量は膨大に上ります。セキュリティ対策に無尽蔵に予算や人員をつぎ込めるのであれば良いですが、限りがあるリソースの中で最大の効果を得るためには、専門性の高い作業はある程度、社外の専門機関やベンダーに任せるべきでしょう。
また、いざインシデントが発生した際の調査や対策の中には、極めて高度で専門的なスキルを要するものもあります。そのすべてを自社でまかなうのは、現実的にはほぼ不可能です。どうしても、社外のセキュリティ機関や関係各所との連携が不可欠になってきます。インシデントが発覚するきっかけは、そのほとんどは外部の専門機関や第三者からの通報です。しかし、通報をきちんと受け付けて社内のセキュリティ担当者につなぐ窓口が設けられていないと、どうしても対策に乗り出すタイミングが遅れてしまいます。
こうした課題を解決するために、現在企業や官公庁で設置が進められているのが「CSIRT(Computer Security Incident Response Team) 」と呼ばれる、インシデントハンドリングに特化した組織です。平時における社内外との情報共有や、いざというときに備えるためのさまざまな対策、そして実際にインシデントが発生した際の事後対応などを中心となって担うためのセキュリティ専任組織と位置付けられています。
こうした組織・プロセスの面での整備を進めるとともに、技術面での取り組みも強化することが、迅速かつ適正なインシデントレスポンスには欠かせません。特に鍵を握るのが、「マルウェアの侵入や活動を、どれだけ早期に検知できるか」です。検知のタイミングが遅れれば遅れるほど、潜在的な被害は拡大していきます。そのため、これまでのような「絶対に侵入を許さない」というセキュリティ対策の方針から、「ある程度、侵入されるのはやむを得ない」「侵入をいち早く検知して対処する仕組みにしっかり投資する」という考え方に転換することが、結果的にサイバーセキュリティのリスクを最も効果的に抑えられると考えられます。
最近のトピックス
◆情報処理推進機構(IPA)「脆弱性体験学習ツール「AppGoat」に複数の脆弱性について」
独立行政法人 情報処理推進機構(IPA)が提供する脆弱性体験学習用ツール「AppGoat」に複数の脆弱性が存在することが判明し、6月6日、IPAおよび脆弱性関連情報を提供するJVNが注意喚起しました。脆弱性は、バージョン「V3.0.2」およびそれ以前に存在し、サーバ上で任意のコードを実行される可能性がある脆弱性など計4件(CVE-2017-2179、CVE-2017-2180、CVE-2017-2181、CVE-2017-2182)。IPAによれば、脆弱性を解消した最新バージョン(V3.0.3)が6月6日より公開されており、旧バージョンの利用者は直ちに利用を停止し、最新バージョンを利用することが推奨されます。
◆フィッシング対策協議会「フィッシングレポート2017~普及が進むユーザ認証の新しい潮流~」
6月16日、フィッシング対策協議会は、「フィッシングレポート2017~普及が進むユーザ認証の新しい潮流~」を公開しました。本報告は、同協議会のガイドライン策定ワーキンググループにおいて、フィッシングの被害状況や攻撃技術、手法などを取りまとめたものです。同協議会によると、2016年のフィッシングの特徴として、「SNSを対象とした攻撃の増加」を挙げています。フィッシング件数自体は2016年春頃から減少しており、同協議会への届出件数は、2015年の11,408件から、2016年は10,759件と、若干減少したとしています。
一方で、LINEなどのSNS上で実在する人物や組織を騙るフィッシングの手口が目立つようになってきており、フィッシングサイトの件数が1.3倍に増加したことや、ブランド名を悪用された企業の延べ件数が、2015年の164件から2016年は261件へと増加したとしています。
◆フィッシング対策協議会「利用者向けフィッシング詐欺対策ガイドライン」
6月16日、フィッシング対策協議会は、「利用者向けフィッシング詐欺対策ガイドライン」を改訂、公開しました。ユーザ向けのフィッシング対策啓発教材として提供されているもので、近年、スマホユーザを標的としたフィッシングが多数確認されている状況に鑑み、内容を改訂したものです。具体的には、「3. 今すぐできるフィッシング対策」の中の、「3.2.1 正しい URL を確認し、ブックマークに登録する」の記載内容を変更し、新たに、「3.2.2 モバイル端末向けの注意事項」を追記、「3.4. 正しいアプリをつかう」の内容の変更と追記が行われ、よりモバイル利用を意識した内容にアップデートされました。また、「5. 付録:フィッシング事例」では、国内で確認されている主なフィッシング事例が紹介されています。
フィッシングは、利用者を偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報を盗み出す詐欺行為です。アカウント情報が盗まれ「なりすまし」により不正送金やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。このような脅威に対して、「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、多くの企業・個人が現実感を持てず、十分な対策をとれていないのが現状です。企業は、社内でフィッシング詐欺の手口や注意の必要性をアナウンスするとともに、セキュリティ対策の見直しと万が一被害に遭った場合の対処法を確認しておく必要があります。
◆警察庁「サイバーポリスエージェンシー」
◆警察庁「サイバーポリスエージェンシー」(pdf)
6月26日、警察庁はサイバー犯罪・サイバー攻撃の手口や情勢に関する情報を発信するポータルサイト「サイバーポリスエージェンシー」を開設しました。本サイトは、サイバー犯罪・サイバー攻撃の被害防止を目的に、サイバー上の脅威に関する警察の”仮想”統合対策組織と位置づけられています。警察庁では、これまでもサイバーセキュリティに関する取り組みとして、セキュリティポータルサイト「@police」や、「サイバー犯罪対策プロジェクト」などのサイトで情報発信を続けてきましたが、サイバーポリスエージェンシーは、これらの情報などを取りまとめたサイトとなります。
警察庁ではサイバーポリスエージェンシーの開設について、「サイバー犯罪やサイバー攻撃などサイバー空間の脅威が深刻化している昨今、サイバー犯罪やサイバー攻撃に関わる情報を幅広く社会的に共有していくことが必要になってきている」として、「サイバーに関する警察の”仮想”統合対策組織として、サイバー犯罪・サイバー攻撃の被害防止のため、その手口や情勢に関する情報を発信する」しています。
◆一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)「インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起」
6月28日、一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、「インターネット経由の攻撃を受ける可能性のある PC やサーバに関する注意喚起」を公開しました。JPCERT/CCには、組織外に持ちだしたPCをネット接続している場合や、サーバやPCにグローバルIPアドレスを割り当て、遠隔から管理するような場合に、マルウェアに感染したり、攻撃者に不正に侵入されたりするなどの報告が寄せられており、「特にここ数ヵ月において、同様の原因によって大きな被害が生じている」と注意喚起しています。
組織のネットワーク管理者や利用者は、使用するPCやサーバ等が、意図せずインターネットからアクセス可能な状態にないかを確認するとともに、「ファイアウォール等を適切に設定する」「不要なサービスを無効化する」「OSやソフトウェアのアップデートを行う」「デフォルトの設定を見直す」といった適切なセキュリティ対策を検討することが求められます。
最近の個人情報漏えい事故(2017年5月、6月)
下記の表は、今年3月と4月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
| 業種 | 発生原因 | 対象 | 備考 | |
|---|---|---|---|---|
| 1 | 飲食 | メール誤送信 | 顧客600名分のメールアドレス | BCCで送信すべきところを誤ってTOで送信 |
| 2 | 信用金庫 | 書類紛失 | 顧客347名分の氏名や住所、電話番号などが記載された書類 | 当該鞄カバンは翌日の早朝に発見者によって同金庫に届けられ |
| 3 | 協会 | メール誤送信 | 顧客1,973名分のメールアドレス | BCCで送信すべきところを誤ってTOで送信 |
| 4 | 機構 | USBメモリ紛失 | 新薬の治験に協力した患者の性別や国籍、同機構の関係者の氏名などが含まれるデータ8371件 | |
| 5 | 市 | 書類誤送付 | マイナンバーや氏名、住所などが記載された書類、計8名分 | 税務決定通知書を送付した際、同姓同名の他人とデータを紐付けてしまったミスや誤配達 |
| 6 | 市 | 書類紛失 | 1人暮らしの高齢者40人分の氏名や住所、電話番号が書かれた調査書類 | |
| 7 | 町立小学校 | USBメモリ紛失 | 同校児童22人分の氏名やテスト結果の他、前任校の児童の氏名や指導要録など | 研修会に参加した際、筆箱に入れていたUSBメモリを紛失 |
| 8 | 電力 | 書類紛失 | 顧客55人分の氏名や電話番号、契約内容など | 作業員が車上荒らしの被害に遭い、顧客情報含むリストが入った鞄が盗まれた |
| 9 | 電力 | 書類紛失 | 法人の担当者などの連絡先を記載したファイル1冊 | |
| 10 | 県 | メール誤送信 | メールアドレス223件と51人の氏名 | BCCで送るべきところをCCで送信 |
| 11 | 県立病院 | USBメモリ紛失 | 患者15人分の氏名や病名、患部の画像データなど | 医師が撮影用カメラからUSBメモリにデータを移したのを最後に所在がわからなくなった |
| 12 | 市 | 書類誤送付 | 児童手当現状届1通で住所や電話番号、家族構成、前年度の所得など | 封入ミス |
| 13 | 市立小学校 | 書類紛失 | 修学旅行のしおりで、参加児童の氏名や、引率教員の連絡先、修学旅行の行程など | |
| 14 | 福祉センター | 誤送付 | 8人分の個人名や受診中の医療機関などを記載した書類 | |
| 15 | マスコミ | 書類紛失 | 調査対象者15人分の住所や氏名、年齢などを記載した名簿用紙1枚 | |
| 16 | 市 | 書類誤送付 | マイナンバーを含む市民税と県民税特別徴収税額の決定・変更通知書1件 | |
| 17 | 区 | メール誤送信 | メールアドレス27件 | 誤って宛先に設定 |
| 18 | 市立小学校 | 書類紛失 | 児童の氏名や学年、出席番号などが記載されている解答用紙31人分 | 児童から当該用紙を回収後、教室内の机に放置し、その後所在がわからなくなった |
| 19 | 市 | 書類紛失 | 3世帯4人分の氏名や生年月日、住所などが記載されていた | |
| 20 | 市 | メール誤送信 | メールアドレス303件 | BCCで送るべきところをTOで送信 |
| 21 | 市立保育所 | 書類紛失 | 児童21人の名前やアレルギーの有無などを含む資料や職員41人の住所録 | 保育士が帰宅途中に立ち寄ったスーパーで、自転車の前かごに置いていた資料が入った手提げかばんを盗まれた |
| 22 | リサイクル | メール誤送信 | お客様アンケートのプレゼント抽選結果を当選者10名にメール送信した際、担当者が操作を誤り、当選者の氏名とメールアドレスを含んだファイルを誤って添付 | |
| 23 | 区 | 誤廃棄 | コミュニティバス無料乗車券発行申請書など7種類997件 | |
| 24 | 大学付属病院 | ノートPC紛失 | 患者15人の氏名やID、引き継ぎのための診療経過など | |
| 25 | 市 | メール誤送信 | アンケート実施案内メール201件 | 誤って宛先に設定 |
| 26 | 市立小学校 | USBメモリ紛失 | 全児童と前任2校の児童約600人の氏名や健康状態、生活状況など | |
| 27 | 私立大学 | USBメモリ紛失 | 授業の履修者129人の氏名、学生番号など | 非常勤講師の私物のUSBメモリ |
| 28 | 医師会 | 書類紛失 | 生徒819人分の氏名や年齢、心電図波形など | 誤廃棄の可能性 |
| 29 | ネットサービス | 誤開示 | 氏名や電話番号、メールアドレス、プロフィール写真150人分 | サーバプログラムの不具合 |
| 30 | 市 | 誤記載 | 発送した申請書3998件のうち、198件で誤記載 | 異なる世帯関係者の名前を記載するミス |
| 31 | 人材派遣 | 不正な持ち出し | 1万5368人分の登録者情報で、氏名や住所、電話番号、メールアドレスなど | |
| 32 | 私立大学 | ノートPC紛失 | 履修者469人の氏名、学生番号、レポート評価、筆記試験評価、出席データなど | |
| 33 | 市立小学校 | 書類紛失 | 児童の氏名や性別、生年月日、家族構成、学年やクラス、友人の氏名のほか、保護者の氏名、住所、電話番号、緊急連絡先の氏名と電話番号、かかりつけの医療機関、自宅から学校までの略図など | 教諭が駐輪したオートバイのステップに鞄を置き、保護者と面談の数分後、鞄が持ち去られた |
| 34 | 市 | 書類紛失 | 5事業所5人分の通知書で、対象となる事業所の従業員以外の氏名や住所、マイナンバー、所得、所得控除内訳、税額など | |
| 35 | 市 | 書類紛失 | 防犯カメラの画像を閲覧する際に必要なIDとパスワード129台分含む資料 | 防犯カメラの保守業務を委託している事業者が紛失 |
| 36 | 県 | 携帯電話紛失 | 支援対象者38人分の氏名と電話番号 | 委託先の職員が、業務に使用している携帯電話を紛失。4ケタの暗証番号は設定してあるという。 |
| 37 | 人材派遣 | メール誤送信 | メールアドレス32件 | 誤って宛先に設定 |
| 38 | イベント運営 | メール誤送信 | メールアドレス399件 | BCCで送るべきところをCCで送信 |
| 39 | 市 | 書類誤送付 | 3人の氏名や住所、マイナンバー、税額 |
個人住民税特別徴収税額決定通知書を各事業者宛てに6666件送付したが、そのうち1件を異なる事 業者へ誤って送付 |
| 40 | 市 | 書類誤送付 | 氏名や住所、マイナンバー、課税情報など | 市民税、県民税特別徴収税額決定通知書約5万7000件を送付したが、そのうち2件で誤送付 |
| 41 | インフラ | メール誤送信 | メールアドレス700件 | BCCで送るべきところをCCで送信 |
| 42 | 市 | 書類誤送付 | 氏名や住所、マイナンバー、税額が含まれる | |
| 43 | 市 | 書類紛失 | 給与支払者である41事業者の担当者や印影、さらに従業員および扶養親族などあわせて159人分の氏名やマイナンバーが記載されていた。そのうち従業員99人に関しては、住所や生年月日、収入額など | 誤廃棄の可能性 |
| 44 | ゲーム開発 | メール誤送信 | 送信先のメールアドレス8万5320件が受信者間で閲覧できる状態になった可能性 | システムの不具合 |
| 45 | 区 | メール誤送信 | メールアドレス27件 | 誤って宛先に設定 |
| 46 | 市 | 不正取得 | 職員は日ごろより住民情報システムを不正に利用し、複数の同市職員の個人情報を取得。 | それら情報をもとに女性職員の行動を監視、記録するなどストーカー行為を行っていた |
| 47 | 医薬品 | 不正アクセス | ウェブサイトに登録した顧客の氏名や住所、電話番号、メールアドレス、ユーザーIDと暗号化されたパスワードなど | |
| 48 | 買取サービス | メール誤送信 | メールアドレス1036件 | メールアドレスを含むテキストファイルを誤って添付 |
| 49 | 地方銀行 | 不正な持ち出し | 預金残高が1億円以上の大口預金者169人の氏名や住所、電話番号、預金残高、取引店の店番号、顧客番号などが記載された一覧表 | 本件、2016年11月7日付けで元行員を懲戒解雇処分としており、今後の捜査状況などを踏まえ、役員や管理者についても、厳正な対処を行うとしている。 |
| 50 | ホテル | 不明 | 新郎新婦両家の名字、接客担当者名、披露宴の希望時期や予測人数、仮予約日程のほか、顧客の特徴や接客内容、成約の有無など | 接客スタッフが作成した接客内容に関する資料が、外部に流出した可能性 |
| 51 | 市 | メール誤送信 | メールアドレス201件 | 誤って宛先に設定 |
| 52 | 県 | 書類紛失 | 210人の氏名、住所、生年月日、性別 | 県民意識調査の関連業務を委託している事業者において、調査対象者の個人情報含む名簿が所在不明になっている |
| 53 | 通販サイト | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなど112件 | |
| 54 | 区 | 書類紛失 | 区民34人の氏名や住所、電話番号、家屋所有状況など | |
| 55 | 年金機構 | 窃盗 | 年金事務所に所属していた職員が、年金加入者の個人情報を不正に持ち出し | 定期的に実施している職員の持ち物点検をきっかけに疑惑が浮上。大阪府警は、年金加入者の個人情報を盗んだとして、日本年金機構の職員を6月29日に窃盗の容疑で逮捕した。 |
| 56 | ネットサービス | 誤表示 | 利用者情報が閲覧可能だったのは最大で5万4180人。そのうち2万9396人は氏名や住所、メールアドレスなど | システム不具合 |
◆日本ネットワークセキュリティ協会(JNSA)「2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」
日本ネットワークセキュリティ協会(JNSA)「2016年 情報セキュリティインシデントに関する調査報告書 ~個人情報漏えい編~」を公表しました。本調査は、2016年に新聞やインターネットなどで報道された個人情報漏えいインシデントの情報を集計、分析したものです。2016年の情報漏えいインシデントの件数は468件で、この数字は、2014年(1,591件)、2015年(788件)から減少傾向にあります。同協会では、件数の減少について、インシデントの公表方針の変化、すなわち、1件あたりの漏えい人数が少ない場合や、漏えいした個人情報が暗号化されていたといった場合に、公表不要という判断がなされたことが背景にあると指摘しています。一方で、インターネット経由での漏えいは増加しています。漏えいの原因としては、管理ミス(159件)が34.0%とトップで、誤操作(73件)が15.6%、不正アクセス(68件)が14.5%と続いています。
紛失・置忘れ、誤操作、管理ミスが情報漏えいの原因のトップ3で、順位が多少入れ替わることがあっても、毎年その傾向はほぼ同様の結果です。
以下の表は、「管理ミス」、「誤操作」、「紛失・置忘れ」、「盗難」を原因とする主な内容とその基本的な対策例をまとめたものです。
これらの管理ミスや紛失・盗難への対策は、どの企業でもルールがあり、対策が講じられているはずですが、事故が減ることはありません。身近に起こりうる事故やトラブルを周知していたとしても、ミスを完全に防止することは不可能ですが、ルールを知っていて守ろうとする気持ちがあるにもかかわらず、ルールどおりに業務を実施できない場合は、環境に問題がある可能性があります。例えば、業務量が過剰で仕事を自宅に持ち帰らなくてはならなかったり、短時間で業務を進めなくてはならなかったりする環境で「個人情報を含むデータを社外に持ち出さない」「メールの送信前に確認を行う」というルールが設けられたとしても、守ることは難しいのではないでしょうか。このようなケースでは、そもそもルールどおりに業務を進めることのできる環境かどうかを考え直すことが求められるでしょう。
ただ、ルールの存在を知っていて、それを守ることのできる環境が整っているにもかかわらず、「別に守らなくてもいいだろう」「こんなルールは意味がない」「周囲もやっているから、この程度のルール違反は大丈夫」といった、現場担当者の誤った認識や意識の低さから、ルールが守られないケースもあります。このような場合は、入社後にセキュリティに関する研修を義務づけたり、入社から時間の経った社員にも一定期間ごとに研修を行ったりして、なぜそのルールが必要なのか、守らないことでどのような問題が起こりうるのかについて改めて教育し、ルールを守るための動機づけを行う必要があります。
| 事故原因 | 内容 | 対策例 |
|---|---|---|
| 管理ミス |
|
|
| 誤操作 |
|
|
| 紛失・置忘れ |
|
|
| 盗難 |
|
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究室
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
