セブンペイへの不正ログインによる被害
2019.07.24総合研究部 上席研究員 佐藤栄俊
【もくじ】
1)セブンペイへの不正ログインによる被害
2)守られなかったガイドライン
3)安全性の問題
4)不正ログインによるその他被害
5)利用者の視点
皆さま、こんにちは。ここ最近のトピックスとして、スマートフォン決済サービス「セブンペイ」が不正利用された事件が多く報道されました。現時点では、実際にどのような不正アクセスが行われたのか、根本的な原因はどこにあったのか、など全容は不透明なままです。とはいえ、現時点でも事業者、利用者側で教訓となるポイントが多くある事故であり、情報セキュリティ上の問題や注意すべき点をあらためて確認していきたいと思います。
1.セブンペイへの不正ログインによる被害
1.セブンペイへの不正ログインによる被害
スマートフォン決済サービス「セブンペイ」が不正利用された事件は、報道(7月16日日本経済新聞)によると同社は1574人計約3240万円の被害を認定したことを明らかにしました。セブンペイでは7月1日にサービスリリース後、不正ログインの被害が相次ぎ、現在は新規登録やチャージを停止しています。
本事件は、キャッシュレス決済事業者の急拡大による安全面のリスクを改めて浮き彫りにしたものといえます。現在、政府の推進策に加え、2020年東京五輪・パラリンピックに向け急増する訪日客を取り込む動きが活発化したことで、決済手段や業者が乱立しています。スマホ決済サービスの中には、セキュリティが考慮されていないような海外の事業者とサービスを連携しているケースもあり、無防備な部分が攻撃の対象となり情報が不正に流出する危険性が高いとも指摘されているとおり、そのリスクをあらためて認識する必要があります。
また、今回の事件に関しては、他人のID・パスワードを不正に使用し、セブンイレブン店舗から商品をだまし取ろうとしたとして、中国籍の容疑者が既に逮捕されています。
今回逮捕されたグループだけが、この事件に関与していたかは現状では分かりませんが、一連の不正ログインに国際的な犯罪組織が関与した疑いが持たれています。一つ確かなことは、サイバー犯罪者(グループ)は、利用者や企業よりもITサービスの現状を研究しているという点です。サービス開始からわずか数日で実際の攻撃活動を行っているわけです。
それを考えると、金銭が絡むにもかかわらずセキュリティ面に脆弱性を有するサービスは、今回の事件のようなスピードで食い物にされると考えるべきです。セブンペイに関していうと認証基盤の脆弱性を認知した上で利益が最大になるタイミングを犯罪者が虎視眈々と狙っていたことが窺えます。
2.守られなかったガイドライン
スマホの普及や政府の規制緩和などで、ヤフーやLINEなどIT系企業だけでなくコンビニエンスストアなど多業種が参入し決済分野の競争は激化しています。クレジットカードや電子マネーなども含むと、キャッシュレス決済の手段は数え切れませんが、業者の乱立はかえってキャッシュレス決済の利用者を減らすとの見方もあります。
一方、訪日客や海外での利用に対応するため、海外の企業やサービスと提携する動きも加速しています。ラインのスマホ決済サービス「LINEペイ」が中国の「微信支付(ウィーチャットペイ)」と連携するほか、ソフトバンクとヤフーなどが出資する「ペイペイ」も中国の「支付宝(アリペイ)」と連携。中国からの訪日客が自国のスマホ決済サービスを利用できるようにするとしています。
コード決済では官民が協力して推進しており、民間事業者や経産省、総務省らがキャッシュレス推進協議会で話し合いを進めるなか、2019年1月にはコード決済全般のセキュリティ対策を含めた「コード決済に関する統一技術仕様ガイドライン」を発表しています。ヤフーとソフトバンクが出資する「ペイペイ」は、カード情報を登録すれば、店頭で現金を使わず、スマホでQRコードを読み取るなどして代金を払えるサービスですが、昨年10月に実施した購入額に応じてポイント100億円分を還元するキャンペーンが狙われ、流出したとみられるカード情報の悪用が相次ぎました。ペイペイにおけるクレジットカード不正利用を受けて、キャッシュレス推進協議会は4月に「コード決済における不正流出したクレジットカード番号等の不正利用防止対策に関するガイドライン」を策定、公表しています。
▼一般社団法人キャッシュレス推進協議会「コード決済における不正流出したクレジットカード番号等䛾不正利用防止対策に関するガイドライン」
本ガイドラインは、セキュリティ対策を重要項目として挙げており、「安心かつ安全な決済手段の提供は、すべてのコード決済関連事業者が検討及び実施しなければならない事項」(コード決済に関する統一技術仕様ガイドライン)と強調しています。例えばコード決済のアカウント作成時には、「利用者のモバイルデバイスとコード決済アプリを紐づけ管理しなければならない」と明記されています。
セブンペイでの不正ログイン被害を受け、経済産業省は7月5日、コード決済サービスを手掛ける各決済事業者などに対し、不正利用を防ぐガイドラインの徹底とセキュリティレベルの向上を要請しました。
▼経済産業省「コード決済サービスにおける不正アクセス事案を踏まえ、決済事業者等に対し、不正利用防止のための各種ガイドラインの徹底を求めました」
3.安全性の問題
セブンペイへの不正アクセスでは、何者かが利用者になりすましてログインし、登録してあったクレジットカードでチャージして、店頭でタバコなどを大量に購入したとされます。不正アクセスをする際、どうやって利用者のIDとパスワードを入手したかが不明ですが、一般的には「闇サイト」で入手したと考えるのが自然です(ただし、被害者の中には他のサービスのパスワードを流用していないという報告もSNS上にあがっており、闇サイト流出説も100%そうとはいえないところがあります)。
その他、問題点としては、IDを乗っ取る簡易的手段を、セブンペイのシステム自身が”提供”しており、正規の手順を踏めば、誰でも簡単にIDを乗っ取ることができることが挙げられます。セブンペイでは、クレジットカードなどからチャージ(入金)するためには、独自の認証パスワードを設定する必要があります。不正ログインによって何者かにIDを乗っ取られた場合でも、認証パスワードを知られない限りは新たに入金されず、被害を最小限に抑えることができるとしていました。しかし、アプリ上で「パスワードを忘れた」と虚偽の問い合わせを送信し、オペレーターとのチャット画面でのやりとりを経れば認証パスワードを設定し直せました。
また、クレジットカード情報など金融情報を取り扱い、さらに決済まで行うシステムであるのに、二段階階認証に対応していなかった、且つ、パスワード変更時に生年月日を必要としているにもかかわらず、それを省略して登録可能としていたことが問題視されています。決済システム向けに入金を行うという重要な処理に使うパスワードを「利用者の利便性を考えて」簡単に変えられるようにしており、一方では脆弱性はなかったとの主張は理解に苦しむところがあります。サービスを開始して翌日の夜には被害者の訴えがあったということは、パスワードリスト攻撃などの可能性が想定から排除されたシステム設計そのものを疑うべきだったのかもしれません。
利用者の利便性を優先した(その結果として、セキュリティの厳重さが犠牲になった)ということですが、今となっては利便性とセキュリティのトレードオフは言い訳となってしまいます。利便性のために、許容できるリスクを検討するといった考え方が必要であり、特に金銭の絡むシステムにおいて、省略していいセキュリティ対策が存在するとは思えません。セブンペイに限らず、企業が「利用者のために」というということで必要な対策を打たないケースもあります。セキュリティを厳しくすればするほど、使い勝手が悪くなるという側面は否めませんが、これが”セキュリティ対策をしない口実”にはならないということです。
4.不正ログインによるその他被害
今回のセブンペイに限らず、Webサイトやスマホアプリなどのサービスが不正ログインを許した結果、生じる事件やリスクをあらためて確認していきます。
まずは「アカウント権限を直接悪用する不正行為」から代表的なものとしては、今、国内で頻発している商品の不正購入です。ECサイトのアカウントにひも付いているクレジットカードなどのペイメント情報を基に、転売可能な商品を購入します。正規の利用者にアカウントを奪還されるのを防ぐため、パスワードを変更したり、住所や電話番号などを書き換えたりすることも多いので注意が必要です。
普段着払いなどを利用していて、クレジットカード情報とひも付けていないアカウントも安全ではありません。不正に入手した他人のクレジットカード情報やギフトカードの情報と組み合わせてアカウントを悪用されるケースもあります。
2018年8月には、ドコモオンラインショップでiPhone Xが不正購入される被害(約1000件)が報じられましたが、不正購入されるのはこのような高額商品だけではありません。
その他事例としては、Amazon.co.jpでスマホ用のガラスフィルムを、ギフトカードを使って中国名の業者から、不正購入されていたようなケースもあります。これは、正規の利用者に気付かれるのを避けたいという犯罪者側の意図が感じられます。
ECサイトのアカウントにひも付く「ポイント」も不正ログインの標的になります。現金やクレジットカードの入出金には気を付けていても、ポイント残高にまで日々気を配っている人はそう多くないでしょう。
また、ポイントを使って直接、商品を不正購入されることもありますが、ポイントを別の共通ポイントに移行し、追跡を難しくした上で現金化する”ポイントロンダリング”の手法も用いられています。昨年9月に報じられた「smartWAON ウェブサイト」の不正ログイン被害では、この手法が使われています。国内で普及してきた共通ポイントの仕組みが悪用されているということです。共通ポイントの中にはバーコード方式のものがあります。この方式はポイントカードの番号さえ分かれば、コンビニなどの買い物で使えるバーコードを生成できます。番号を入れてコードを表示するスマホアプリも存在します。2018年9月の「dポイントカード」の不正利用は、この弱点を突いたものだといわれています。
その他、アカウントのペイメント情報を悪用する直接的な犯罪行為だけでなく、登録されている住所、電話番号、購買履歴などの個人情報を、特殊詐欺などの犯罪に二次利用されるリスクも正しく理解しておく必要があります。普段利用しているECサイトからメールアドレスや購買頻度などの個人情報が流出していれば、購買履歴、視聴履歴などの行動情報を含む個人情報は、不在通知などを装う詐欺だけでなく、増加している「架空請求詐欺」にも利用される恐れがあります。
このような二次被害を抑えるためにも、個人情報を預かるサイト側は、これまでより能動的に不正ログイン対策を打つ必要があります。「発覚後にアカウントロックやパスワードを変更」するだけの事後処置では、それ以上の不正購買は抑止できても、いったん流出した個人情報は元に戻らないということをあらためて認識する必要があります。
このような脅威に対して現状取り得る最善の対策が何かを検討する必要がありますが、主要なSNSやクラウドサービスで、「二段階認証」と呼ばれる仕組みを利用することも一つの安全策となります。IDとパスワードによる認証に、もう1段階、携帯電話やスマートフォンを使った認証を加える方法です。
通常は、IDとパスワードが盗まれれば不正アクセスが可能になりますが、二段階認証では、IDとパスワードだけではログインできません。通常のIDとパスワードを入力後にあらかじめ登録しておいた携帯電話やスマホ宛にSMS(ショートメッセージサービス:電話番号を宛先に指定し、短いテキストメッセージを送受信できるサービス)が来ます。その中に記載されているセキュリティキーを入力しないとログインできない仕組みになっています。つまり、登録済みの機器が手元になければログインできないというものです。そのため、万が一IDやパスワードが第三者に知られたとしても、セキュリティキーがわからないためログイン出来ない、もしくはロックがかかり不正アクセスできないようになっています。
また、スマートフォンには、指紋認証や顔認証、虹彩認証といった生体認証機能を搭載する機種も多く、多要素認証を実現できる機器になります。生体認証機能があれば、たとえ紛失や盗難に遭った際でも、第三者による悪用を防げます。企業向けの資産管理製品においても、スマートフォンへの対応が進んでいるため、スマートフォンを認証機器として活用するケースは増えそうです。
5.利用者の視点
インターネットショッピングやオンラインバンキング、SNSなど、私たちは日ごろ、多くの会員制サービスを利用しています。各種インターネットサービスの多くは、IDおよびパスワードによる本人認証方式が採用されています。こうしたサービスのアカウント作成時には、ほとんどの場合、ID/パスワードの登録が求められますが、利用するサービスが増えれば増えるほど、アカウントの管理がおろそかになったり、面倒がってパスワードに単純な文字列を指定したり、複数のサービスに同一のID/パスワードを使い回したりしている利用者も多いかと思います。もしかすると、何らかの理由で使わなくなったサービスのアカウントをそのまま放置している方もいるかもしれません。もし悪意のある第三者にそのIDおよびパスワードを知られた場合は、不正にサービスやシステムログインされ、個人情報漏えいや金銭被害などの被害に遭う恐れがあります。悪意ある第三者が不正にサービスやシステムにログインする主な目的は、「不正送金」「不正購入」「不正操作」といったものが挙げられます。IDやパスワードなどのログイン情報が漏えいすると、誰でも本人になりすますことが可能となるため、ネットショッピングで勝手に商品を購入されたり、インターネットバンキングを通じて別の口座に送金されるといった金銭的な被害に遭う可能性があります。また、他人にSNSのアカウントにログインされてしまうと、不正なサイトへ誘導したりマルウェアを拡散するような悪意のある投稿をされる(場合によっては犯罪行為に加担させられる)可能性もあります。総務省が公表している不正ログインによる被害状況をみると攻撃者がどのような目的で不正行為を行っているのかがわかります。
▼総務省「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」
- 自分のネットバンキングから知らない口座へ勝手に振り込みが行われた。
- クレジットカードを不正利用されて、勝手にショッピングサイトで買い物をされたり、オークションサイトで品物を落札されたりした。
- ネットゲームを勝手に操作された。
- 自分名義で、迷惑メールが大量に送信された。
- 自分名義で、SNSやブログ、掲示板を使って誹謗中傷を発信されるなど、嫌がらせ行為が行われた。
- ダイレクトメールが頻繁に送られてきたり、商品の売り込みや勧誘の電話がかかってきたり、訪問販売が来たりするようになった。
- 詐欺、恐喝、ストーカー被害を受けるようになった。
ただ、このような危険に晒されながら、不正にログインされる行為の手口の内訳は、利用者の「パスワード設定・管理の甘さにつけ込んだもの」が多くの割合を占めています。
企業・組織にも問われる「パスワード管理」の徹底ですが、当然ながら危険な行為は「パスワードの使いまわし」に限った話ではありません。確かに「パスワードの使いまわし」を避ければリスクは低減できますが、これはあくまでパスワードリスト攻撃への対策としての話です。
「総当たり攻撃」や特定の単語を試す「辞書攻撃」は、依然として発生しています。 パスワードを覚えるのが面倒なユーザーが、「111111」や「123456」「password」など単純な文字列を用いているケースは後を絶ちません。こうした脆弱なパスワードは、攻撃者はもちろん、マルウェアが端末やサーバーへ侵入する際にも突破されてしまいます。「使い回し」以前の問題です。
もちろん、生年月日をはじめ、容易に予測できる文字列も御法度です。最近ではSNSのプロフィールで生年月日を公開しているケースも多く見受けられるため、そこから推測できることもあります。
そして、マルウェアやフィッシングへの対策も決して忘れてはなりません。これらも、パスワードが漏えいする原因となり得るからです。
キーボードの入力操作を盗み取るマルウェア「キーロガー」や偽サイトへ誘導してIDやパスワードを騙し取る「フィッシング」も依然として多く発生しています。せっかく強固なパスワードを設定し、使い回しを避けても、マルウェアやフィッシングなどによって盗まれてしまえば意味がないということです。
パスワードの安全管理は、利用者の意識や心がけに依存する部分が多いのが事実ですが、使いまわしを避ける、複雑なパスワードを選ぶ、不用意に教えたり入力しない、メモをしっかり管理する、など利用者側の行動にもかかっている部分があります。
数字や記号を含む強度の高いパスワード利用の義務化と、パスワードの使い回しを避けるよう利用者に啓蒙することは、事業者が継続的に行っていくべき基本的な取り組みだといえます。ただ、事業者が何となく認識しているように、全ての利用者に周知・理解してもらうのは困難です。
ただ、不正ログインによる被害は、「パスワードを使い回す利用者が原因であり、サイト側で完全に防止する手段はない」と、開き直ることはできません。日々発生している不正アクセスなどの事案は事業者側が率先して対策に取り組むべき問題だということを、あらためて認識する必要があります。
2.最近のトピックス
▼独立行政法人情報処理推進機構「入退管理システムにおける情報セキュリティ対策要件チェックリスト」
独立行政法人 情報処理推進機構(IPA)は、5月20日、「入退管理システムにおける情報セキュリティ対策要件チェックリスト」を公開しました。これは、「政府機関等の情報セキュリティ対策のための統一基準」(以下、政府統一基準)の要件に従い、入退管理システムの調達者が情報セキュリティに関する要件や対策を確認するためのもので、調達仕様書に記述すべき要件が明記されています。
入退管理システムは、ビルや工場などの物理セキュリティを担いますが、昨今、複数の扉やゲートに設置された機器やセンサーがネットワーク経由で統合管理されているほか、勤怠管理など社内の業務システムと連携していることがあります。そのため、政府統一基準における情報セキュリティ対策が必要とされる「特定用途機器」に指定されています。
そして、本チェックリストで要件が示されている機器は、IDとログを保持し、電気錠に命令を送る「制御装置」や、カードや指紋情報からIDを読み取り制御装置に送る「認証装置」を含む、次のとおりとなっています。
- 電気錠
- 管理サーバー
- 鍵管理盤
- 管理者PC
チェックリストは、設計構築・運用・保守・廃棄といったライフサイクルのフェーズごとに構成されています。調達者は、たとえば「不正アクセスの検知」という要件に対し、「システムを構成する機器との通信断を管理者が検知できること」といった仕様書に適した形式の記述や、「機器の回線切断およびケース開けを管理者が検知できる設定とする」といった対策などが参照できるため、政府組織に限らず、民間組織においても活用可能な内容となっています。
▼フィッシング対策協議会「インターネットサービス提供事業者に対する 「認証方法」 に関するアンケート調査結果 (速報)」
5月16日、フィッシング対策協議会は、インターネットサービス提供事業者に対する 「認証方法」 に関するアンケート調査結果を公開しました。これは、同協議会の「認証方法調査・推進ワーキンググループ」が、インターネットサービスを提供する事業者を対象に実施したアンケート調査結果の一部を公開したものです。
本調査によると、サービス利用者の個人認証の方法として、77%の回答者が「IDとパスワードのみ」と回答する一方で、21%の回答者が、2つまたはそれ以上の認証要素を組み合わせる「多要素認証」や、ユーザーの行動パターンを分析し、普段とは異なる異常行動を検知、必要に応じて追加の認証を行う「リスクベース認証」などを実施していると回答しています。
また、利用者に対し、パスワードの定期的な変更を要求しているかについて聞いたところ、「推奨」を含めパスワードの定期変更を要求していると回答したサービス事業者は73.7%、要求までの期間については、「3ヵ月以内」から「12ヵ月以上」まで幅広く分布しています
そして、事業者側のパスワード管理の方法については、暗号化など「パスワードを読めない状態で管理しているかどうか」の質問に対し、13.6%の回答者が 「いいえ」 と回答したことがわかっています。
フィッシング対策協議会は、パスワードを平文、つまりそのままの状態で保存することは、パスワードデータが外部に漏えいしたときに、容易に第三者に知られてしまい、不正アクセスされるおそれがあると指摘。事業者側に対し、パスワードデータのハッシュ化や暗号化などの難読化処理を行うことは標準の対策とすべきだと言及しています。
▼日本ネットワークセキュリティ協会「2018年 情報セキュリティインシデントに関する調査報告書」
日本ネットワークセキュリティ協会(JNSA)は、6月10日、「2018年 情報セキュリティインシデントに関する調査報告書【速報版】」を公開しました。これは、同協会のセキュリティ被害調査ワーキンググループが、2018年に新聞やインターネットなどで報道された個人情報漏えいインシデントの情報を集計、分析したものです。報告書は、これまでの調査方法を踏襲し、漏えいした組織の業種、個人情報の人数、原因、経路などが分類され、インシデントの原因分析と、想定される損害賠償額などがまとめられています。
本調査よると、2018年の情報漏えいインシデントの件数は443件となっており、2017年の386件から増加傾向にある。また、漏えい人数、想定損害賠償総額も、それぞれ561万3,797人、2,684億5,743万円と前年から増加していることが分かっています。
業種別では「公務(他に分類されるものを除く)」が130件とトップで、「教育、学習支援業」が101件、「情報通信業」が33件の順に多いという結果が得られています。特に、教育、学習支援業は2017年(60件)から大幅に増加しています。
漏えいの原因としては、「紛失・置き忘れ」(118件)がトップで、誤操作(109件)、不正アクセス(90件)と続いている。また、媒体・経路別では「紙媒体」(132件)が最も多く、「インターネット」(118件)、「電子メール」(95件)、「USBなどの記録媒体」(56件)経由の漏えいも増加しています。
紛失・置忘れ、誤操作、管理ミスが情報漏えいの原因の多くの割合を占めており、順位が多少入れ替わることがあっても、毎年その傾向はほぼ同様の結果です。
これらの管理ミスや紛失・盗難への対策は、どの企業でもルールがあり、対策が講じられているはずですが、事故が減ることはありません。身近に起こりうる事故やトラブルを周知していたとしても、ミスを完全に防止することは不可能ですが、ルールを知っていて守ろうとする気持ちがあるにもかかわらず、ルールどおりに業務を実施できない場合は、環境に問題がある可能性があります。例えば、業務量が過剰で仕事を自宅に持ち帰らなくてはならなかったり、短時間で業務を進めなくてはならなかったりする環境で「個人情報を含むデータを社外に持ち出さない」「メールの送信前に確認を行う」というルールが設けられたとしても、守ることは難しいのではないでしょうか。このようなケースでは、そもそもルールどおりに業務を進めることのできる環境かどうかを考え直すことが求められるでしょう。
ただ、ルールの存在を知っていて、それを守ることのできる環境が整っているにもかかわらず、「別に守らなくてもいいだろう」「こんなルールは意味がない」「周囲もやっているから、この程度のルール違反は大丈夫」といった、現場担当者の誤った認識や意識の低さから、ルールが守られないケースもあります。このような場合は、入社後にセキュリティに関する研修を義務づけたり、入社から時間の経った社員にも一定期間ごとに研修を行ったりして、なぜそのルールが必要なのか、守らないことでどのような問題が起こりうるのかについて改めて教育し、ルールを守るための動機づけを行う必要があります。
▼日本ネットワークセキュリティ協会「国内情報セキュリティ市場 2018年度調査報告」
日本ネットワークセキュリティ協会(JNSA)は、6月12日、「国内情報セキュリティ市場 2018年度調査報告」を公開しました。2017年度の国内情報セキュリティ市場は、1兆868億円となり、前年(9,482億円)から14.6%増加するとともに、2004年度の調査開始後、はじめて1兆円の大台を超えたということです。また、その内訳は情報セキュリティツール市場が5,674億円、情報セキュリティサービス市場が5,194億円だったとしています。
ツール市場は、2016年度(4,959億円)から、2017年度(5,674億円)は14.4%の増加となりました。「コンテンツセキュリティ対策製品」が2,154億円で38.0%を占め、「アイデンティティ・アクセス管理製品」が1,179億円(20.8%)、「システムセキュリティ管理製品」が870億円(15.3%)と続いています。
また、サービス市場は、2016年度(4,523億円)から、2017年度(5,194億円)は14.8%の増加となっています。内訳は、「セキュリティ運用・管理サービス」が2,444億円(47%)でトップ、「セキュアシステム構築サービス」が1,155億円(22%)、「情報セキュリティコンサルテーション」が1,053億円(20%)と続いています。
JNSAは、ツール市場とサービス市場の比率について、2010年度をピークに徐々にサービス市場の割合が高まってきている傾向があるとし、ツールの進化とサービスの充実が相まって、市場規模を押し上げているとしています。なお、2018年度の予測値は、ツール市場が5,871億円、サービス市場が5,389億円で、合計1兆1,260億円が見込まれる。そして、2019年度の予測値は、ツール市場が6,128億円、サービス市場が5,643億円で、合計1兆1,771億円になると予測されています。
2019年から2020年にかけては、主要20カ国/地域(G20)首脳会議やラグビーのワールドカップ、東京オリンピック/パラリンピックといった国際的なイベントが開催されます。これにより、サイバー攻撃が多発することが懸念され、対策需要が高まると予想されます。
海外からのサイバー攻撃や内部者による情報漏えいなど、情報資産に対する脅威は日々増加しており、一つの事故が事業の継続を阻害する要因になることもあります。情報セキュリティは重要な経営リスクの一つで、十分な対策を投資と捉え、事業の継続性を確保するといった視点も重要です。
3.最近の個人情報漏えい事故(2019年5月、6月)
下記の表は、今年5月と6月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 | 発生原因 | 対象 | 備考 | |
---|---|---|---|---|
1 | 振興センター | メール誤送信 | 登録されている農家 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信 |
2 | 府 | USBメモリ、書類紛失 | 59名の氏名、住所、電話番号など | 車上荒らしによる鞄の盗難 |
3 | 振興公社 | USBメモリ紛失 | 1,214件の氏名、口座番号など | |
4 | 県警 | 書類紛失 | 6名の氏名、住所などが記載された名簿1枚 | パトカーのトランクに同名簿を置いたまま発車させたところ、紛失 |
5 | 県立高校 | 書類紛失 | 生徒2名分の氏名、写真、住所などが記載された調査票2枚 | |
6 | 市立中学校 | 書類紛失 | 92名の氏名や緊急連絡先など | |
7 | 県 | 書類紛失 | 民生委員1名の氏名、生年月日、写真などが記載された証明書 | 誤廃棄の可能性 |
8 | 新聞社 | USBメモリ紛失 | キャンペーンの応募者約200名の氏名、住所、電話番号など | |
9 | 市立小学校 | 書類紛失 | 最大生徒29名の氏名、連絡先、保護者の氏名など | |
10 | 税事務所 | 書類誤送付 | 法人の従業員343名の氏名、住所など | 封入業務を委託している事業者が、誤って宛先に異なる法人を記載して送付 |
11 | 県立中学校 | 書類紛失 | 3年生117名の氏名、住所、緊急連絡先など | |
12 | 通信事務所 | メール誤送信 | 42名分の氏名およびメールアドレス29件 | |
13 | 労働局 | FAX誤送信 | 5名の氏名 | |
14 | 牧場公園 | メール誤送信 | メールアドレス34件 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信 |
15 | 医療センター | 書類紛失 | 患者の氏名、症状、連絡先などが記載された問診票 | 問診票が入った段ボールをトラックに載せて焼却場に搬送中、段ボールのふたを粘着テープで固定せず、互い違いに閉めただけのため、風にあおられ一部が路上に散乱し、紛失 |
16 | 市立小学校 | SDカード紛失 | 児童の90名分の個人写真、授業の様子 | |
17 | 県 | メール誤送信 | メールアドレス180件 | Bcc」で送信すべきところを誤って「To」で送信 |
18 | 市 | 書類紛失 | 118名の氏名、住所、特定健診の受診歴などが記載された名簿 | |
19 | 県 | メール誤送信 | 他校の生徒情報の氏名など | ファイルの誤添付 |
20 | 保育園 | USBメモリ紛失 | 園児61名の氏名など | |
21 | 教育委員会 | メール誤送信 | メールアドレス4件 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信 |
22 | 府立高校 | 書類紛失 | 生徒19名の氏名などが記載された出欠名簿 | |
23 | 県立高校 | 書類紛失 | 生徒128名の氏名・生年月日・住所などが記載された指導要録や調査書等 | |
24 | 県立高校 | 書類紛失 | 生徒5名の氏名、生年月日、保険証の個人番号などが記載された調査票 | 誤廃棄の可能性 |
25 | 銀行 | 書類紛失 | 利用者の氏名、住所、電話番号などが記載された振替払出書など約5,000枚 | 誤廃棄の可能性 |
26 | 電力 | メール誤送信 | メールアドレス80件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
27 | 東京都 | メール誤送信 | 864名の氏名など | ファイルの誤添付 |
28 | テレビ局 | メール誤送信 | メールアドレス107件 | 「Bcc」で送信すべきところを誤って「To」で送信 |
29 | 市民病院 | USBメモリ紛失 | 患者366名のID、イニシャル、病名など | |
30 | 機構 | メール誤送信 | 2,086名分のメールアドレス | ファイルの誤添付 |
31 | 市立中学校 | USBメモリ紛失 | 在校生822名の名前、生年月日など | |
32 | 市立中学校 | 書類紛失 | 39名の名前、住所など | |
33 | 国立大学 | メール誤送信 | メールアドレス281件 | 送信先を誤って宛先に設定 |
34 | 県立高校 | USBメモリ紛失 | 在学生や卒業生など最大424人分の成績データなど | |
35 | メーカー | 不正アクセス | 83社の担当者1669人分の氏名や所属部署、役職、電話番号、メールアドレス、平文のログインパスワードなど | |
36 | 県 | メール誤送信 | メールアドレス35件 | |
37 | 市立中学校 | 書類紛失 | 33人分の氏名やクラスのほか、身長、体重、視力、聴力などの測定結果 | |
38 | 市 | FAX誤送信 | 氏名や住所、生年月日、顔写真、障害等級、障害名、手帳交付年月日など | |
39 | メーカー | 不正アクセス | 氏名や住所、電話番号、性別、生年月日、メールアドレス、購入履歴、サイズ、配送先情報、クレジットカードの名義と有効期限、カード番号の一部など | |
40 | 医療センター | メール誤送信 | 氏名や生年月日、年齢、性別のほか、腫瘍部位や治療法、手術日、経過、病理組織結果など49人分 | 誤添付 |
41 | 通販 | 不正アクセス | クレジットカードの名義、番号、有効期限、セキュリティコードなど | |
42 | 機構 | 書類紛失 | 償還予定表や抵当権設定契約証書の写しなど、個人情報が記載された書類6件 | 誤廃棄の可能性 |
43 | 私立大学 | 不正アクセス | メールアドレス7956件、イベント申込者20人、サイト利用者19人の氏名や住所、メールアドレス | |
44 | 市 | メール誤送信 | サービス利用決定者13人の氏名と介護保険者被保険者番号、サービス内容など | |
45 | テレビ局 | 不正アクセス | 顧客に関する氏名、IDとして登録されたモバイル電話番号、ハッシュ化されたログインパスワードなど1万3002件 | |
46 | 市 | 書類紛失 | 児童の氏名やクラス、兄弟や保護者の氏名、引き渡す相手の氏名や続柄、連絡先、自宅以外に帰る場合の下校先の住所、続柄、連絡先など | |
47 | マーケティング | 不正アクセス | 氏名や住所、電話番号、メールアドレス、パスワード、銀行の口座番号など | |
48 | 医療センター | 不正アクセス | 8335件の送受信メール | 医師が利用するメールアカウントが不正アクセスでマルウェアに感染した可能性 |
49 | 通販 | 不正アクセス | 氏名や住所、連絡先、メールアドレス、購入履歴など | |
50 | 通販 | 不正アクセス | クレジットカード決済を利用した477人の顧客で、クレジットカードの名義や番号、有効期限など | |
51 | 通販 | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなど | |
52 | 通販 | 不正アクセス | 最大3万7832件のクレジットカード情報が外部に流出した可能性 | |
53 | 総合研究所 | メール誤送信 | 担当者1人の氏名、依頼試験項目、試験条件など | |
54 | 予約サイト | 不正アクセス | メールアドレス1401件 | |
55 | 信用金庫 | 書類紛失 | 顧客3075人分の氏名や住所、電話番号、口座番号、取引金額など | 誤廃棄の可能性 |
56 | 市 | 書類紛失 | 78世帯118人分の個人情報が記載された特定健診受診推奨名簿 | |
57 | 予約システム | 誤表示 | 5名の氏名や住所、電話番号、メールアドレス、利用人数、決済方法など | システム不具合 |
58 | 通販 | 不正アクセス | 顧客の氏名や住所、電話番号、生年月日、性別、メールアドレスなど、個人情報4万1355件 | |
59 | 私立大学 | 書類紛失 | 卒業生1020人分の情報が記載された名簿。氏名や旧姓名、住所、電話番号、勤務先、学科、ゼミなど | |
60 | 通販 | 不正アクセス | 2407人のクレジットカードの名義やカード番号、有効期限、セキュリティコードなど | |
61 | 通販 | 不正アクセス | 顧客最大444件の氏名と住所、カード番号、有効期限、セキュリティコードなど | |
62 | 市 | 書類紛失 | 氏名や住所、電話番号、性別、生年月日、国民健康保険被保険者番号、施術内容、施術金額のほか、施術者の名称や住所、電話番号、振込口座、柔道整復師の氏名など | 誤廃棄の可能性 |
63 | 府立高校 | 書類紛失 | 1年生126人、2年生75人、3年生55人の氏名や出席番号、出欠状況、提出物の有無など | |
64 | 私立大学 | USBメモリ紛失 | 約1000人分の情報を保存した表計算ファイルや宛名印刷用のドキュメントファイル | |
65 | 不動産 | USBメモリ紛失 | 従業員56人分の賃金台帳と給与明細など | |
66 | 市 | 書類紛失 | 児童29人分の歯科検診の結果が記載された一覧表 |
5月と6月の事故の傾向として、メールの誤送信が19件と多く確認されました。事故の要因としては、システムの不具合によるものもあれば、ToとCc、Bccの誤認識、打ち間違え等によるうっかりミスや不注意等の多様な形態があります。メールアドレス一つだけでも、個人情報に該当するケースが多く、ひとたび誤送信事故が発生すれば企業として管理体制や対応の質が問われることになります。さらに、メールアドレスだけではなく、社外秘の内容や機密情報といった営業秘密や機微な情報が添付もしくは記載されていれば、それだけで企業にとって極めて重大な事故に発展しかねません。
電子メールは今や業務に欠かせない重要な情報通信手段であると同時に、未だに事故が多く発生しています。電子メールの誤送信対策としては、システム的な施策(送信前の承認や自動暗号化等)以外にも、人的な脆弱性を克服していくためにも、各自が電子メールを送信する際に宛先、送信内容、同報送信の種類、添付ファイルを十分確認するプロセスについて、あらためて(何度でも)注意喚起し続ける必要があります。
<注意すべきポイント>
(参照)▼情報処理推進機構「対策のしおり」
電子メール利用時の危険対策のしおり(第4版)、初めての情報セキュリティ対策のしおり(第1版)、企業(組織)における最低限の情報セキュリティ対策のしおり
- 社外の宛先は特に注意する。
- 一定個数以上の(大量の)宛先がある場合は注意する。
- 多くの社内宛ての宛先に紛れている社外宛ての宛先に注意する。
- To, Cc, Bccの設定間違いに注意する。
- 「転送」と「返信」の間違いに注意する。
- 「返信」と「全員に返信」の間違いに注意する。
- メーリングリストのメールアドレスに注意する。
- 初めて送るアドレス(送信履歴のない宛先)に注意する。
- 同姓の他企業のメールアドレスに注意する。
- メーラーのオートコンプリート機能をOFFにする。
- 重要な宛先(顧客)のメールには上司承認のプロセスを追加する。
- 個人情報・特定個人情報・機密情報が含まれていないか注意する。
- 「添付ファイル名」「中身(内容)」に個人情報・特定個人情報・機密情報が含まれていないか注意する。
- 添付ファイルがあるメールは一時保留してファイルを再度確認する。
- 添付ファイルは必ず暗号化するか本文と切り離す。
- パスワードの作成・伝達方法に注意する。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556