情報セキュリティ 関連コラム

不正アクセスと公表までの期間

2022.01.18

総合研究部 研究員 吉田 基

【もくじ】

■不正アクセスと公表までの期間

1.はじめに

2.発覚から第一報

(1)行政への速報

(2)第一報までの期間

(3)クレジットカード情報漏えいと注意喚起

3.早期発見するために

(1)不正アクセス対策

(2)サイバーキルチェーン

4.最後に

■最近の個人情報漏えい事故(2021年11月、12月)

不正アクセスと公表までの期間

システム セキュリティ ミーティングのイメージ

1.はじめに

情報漏えいをした場合には、事実を確認し迅速に対応することが求められます。一方で、不正アクセス等の事案において、不正アクセスされた時点から第一報の公表までに相当の時間を要しているのが実態です。本稿では、各企業や団体が、公表に至るまでに何故相当の期間を要するのか、その要因を検討していきたいと思います。

2.発覚から第一報

(1)行政への速報

令和2年改正個人情報保護法により、一定の場合には、個人情報保護委員会への報告を要します。その報告等の対象となる事案は以下の①~④であり、当該事態を知った後、概ね3~5日以内に報告が必要となります(改正個人情報保護法22条の2第1項本文、個人情報保護委員会規則第6条の2、第6条の3)。

  1. 要配慮個人情報が含まれる個人データの漏えい等が発生・発生のおそれがある事態
    【例】
    • 病院における患者の診療情報や調剤情報を含む個人データを記録したUSBメモリーを紛失した場合
    • 従業員の健康診断などの結果を含む個人データが漏えいした場合
  2. 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等が発生・発生のおそれがある事態
    【例】
    • ECサイトからクレジットカード番号を含む個人データが漏えいした場合
    • 送金や決済機能のあるウェブサービスのログインID/パスワードの組み合わせを含む個人データが漏えいした場合
  3. 不正の目的をもって行われたおそれがある個人データの漏えい等が発生・発生のおそれがある事態
    【例】
    • 不正アクセスにより個人データが漏えいした場合
    • ランサムウエア等により個人データが暗号化され、復元できなくなった場合
    • 個人データが記載または記録された書類・媒体等が盗難された場合
    • 従業員が顧客の個人データを不正に持ち出して第三者に提供した場合
  4. 個人データに係る本人の数が1001人以上の漏えいが発生・発生のおそれがある事態
    【例】
    • システムの設定ミス等によりインターネット上で個人データの閲覧が可能な状態となり、当該個人データに係る本人の数が1000人を超える場合

したがって、情報漏えいが発生したら早急に事実確認を行い、速報が必要な事態か否かを判断しなくてはなりません。ただ、報告義務が課される事態か否かを、当該情報漏えいを発見した人が判断することは難しく危険です。そのため、情報漏えい(リスク)を発見(感知)すれば、事態の程度の大小軽重を問わず、直ちに社内の責任者に報告がなされる体制を構築しておくことが重要です。したがって、改めて報告先を社内規程やガイドライン等で定めているかを確認し、かつ、これを従業員に周知、研修を行うことが必要となります。また、④の事態は人数がメルクマールとなっており(①~③の場合は、人数が関係なく、1件でも報告が必要。)、普段より保有する情報を、台帳管理等を行いその数量を把握しておくことも重要となります。

(2)第一報までの期間

当社の『現場のプロが教える情報漏えい対応のリアル 漏えい事故 実態調査と最新事例』では、情報漏えいに関する事実を素早く公開し、被害者本人への連絡やお詫びを速やかに行うことで、悪用されるリスクや可能性について注意喚起することが求められると解説しています。一方で、前回のコラムで筆者は、「不正アクセスを契機とする漏洩を認識した時点から公表までに要する期間が長くなっているように感じています。」と述べました。11月、12月に発生した不正アクセス事案(筆者が調べることができた範囲に限る。)で、発覚してから第一報の公表までの最短期間は16日、最長で8か月でした。また、第一報までの期間が短い事案は、カード情報の漏えいがなかったものやサーバーへの不正アクセスの痕跡はあったものの個人情報の外部流出は確認されなかった事例です。反対にクレジットカードの情報漏えいが確認されるケースでは第一報までに相応の期間を要することとなります。

(3)クレジットカード情報漏えいと注意喚起

「クレジットカード情報の漏洩対応について~ECサイトを中心に~」において述べた通り、クレジットカード情報が漏えいした場合には、フォレンジック調査、クレジットカード会社・決済代行会社との調整が必要となるので、公表までの期間が長くなります。

一方で、悪用されるリスクや可能性について注意喚起することが求められると述べました。クレジットカード情報の漏えいの場合、悪用される可能性が十分にあり、前回のコラムでも述べましたが、カード会社の不正利用に関する補償期間を徒過してしまう可能性があります。そのため、クレジットカード情報の漏えいを確認した時点で注意喚起を行っていくことが必要となるはずです。しかし、実態は、以下のような文章がホームページ開示文内に記載されているかと思います(筆者下線)。

「本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、クレジットカード決済代行会社と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は第三者機関の調査結果、およびカード会社との連携を待ってから行うことにいたしました。
今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。」

下線部分に対しては一定数、「疑いがあったことを認識した時点で公表しないことは不誠実である、公表してくれていたらクレジットカードの番号を変更できていた」と指摘を受けることがあります。

しかし、実務的には、フォレンジック調査の終了後、クレジットカード会社と調整の後、公表するケースが大半です。これは、フォレンジック調査を経ないと、誰が漏えい対象者であるかが判然とせず、情報主体から数多くなされる「私は対象か?」という問い合わせに対応できないため、「疑いがあった時点」での公表が難しいという実情があるためです。

また、対象が誰であるか判然とする前に公表すると、情報主体や漏えい対象者以外(すなわち、本来はカードの番号を変更する必要のない人)からカード番号の変更をクレジットカード会社へ申し立てを行う可能性が発生してきます(実際に申し立てがあった場合にクレジットカード会社がどのような対応をするかは明らかではありません。)。クレジットカード会社や決済代行会社から調査結果が出る前に公表することをストップするよう要請されることも少なくないと聞き及びます。これは、カード番号の変更の問い合わせが殺到してしまうと、対応の負担が大きくなる可能性があるため、対応を最小限度の範囲とするためと予測されます。また、クレジットカードの番号を変更すると、情報主体が自ら各種サービスで番号の変更等を行う必要が出てきます。このように必要最小限の範囲での対応とすることは、対情報主体との関係でも著しく不合理ではないように思います。そして、ECサイトサイドは漏えいしてしまっている立場からして、クレジットカード会社や決済代行会社の要請を受けざるを得ないのが現状です。したがって、結果として、情報漏えいをさせてしまった企業もクレジットカード会社も十分な対応をするためには調査結果を待たざるを得ないこととなります。

3.早期発見するために

(1)不正アクセス対策

テレワークの導入により従業員がスマートフォンやクラウドサービスを利用して企業内ネットワークにアクセスが可能となっています。これに対し、標的型攻撃を行おうとする場合、様々な手法を使って、いつでも攻撃を仕掛けることが可能となっています。したがって、圧倒的に攻撃者側が有利に立ちます。このような状況に鑑みると、不正アクセスをさせないという予防策ではなく、むしろ不正アクセスによりインシデントが発生することを前提に被害を最小限にする施策の準備と、態勢の構築をしておくことが肝要となります。

(2)サイバーキルチェーン

インシデントの発生を前提とする対策として、有効なのが「サイバーキルチェーン(Cyber Kill Chain)」というものです。これは、軍事利用されるキルチェーンという攻撃のモデルを標的型攻撃にあてはめたものです。

サイバーキルチェーンはサイバー攻撃を以下の7つの段階に分けています。
  1. 偵察(Reconnaissance):
    標的に関する情報を収集するもので、ダークウェブや標的のSNS上の情報を集めて、どういった攻撃手法が有効かを検討する段階をいいます。
  2. 武器化(Weaponization):
    収集した情報を基礎として、攻撃に使用する不正プログラムを作成する段階をいいます。
  3. 配送(Delivery):
    武器化の段階で作成された不正プログラムを標的に届ける段階をいいます。
  4. 攻撃(Exploitation):
    配送された不正プログラムが実行され、標的の端末を乗っ取るためマルウェアなどがさらにインストールされる段階をいいます。
  5. インストール(Installation):
    上記インストールの段階をいいます。
  6. 遠隔制御(Command and Control):
    インストールされたマルウェアは、攻撃者の用意した指令を出すことを目的とするC&Cサーバーへの通信を試み、接続され遠隔操作が可能な段階をいいます。
  7. 目的達成(Actions on Objective):
    情報の窃取や改ざん、データ破壊、サービス停止等、攻撃者の目的が実行される段階をいいます。

実際の情報セキュリティ対策としては、各段階で適切な対応をすることが必要となります。

例えば、「偵察」、「武器化」の段階では、フィッシングサイトのURL、新種マルウェアなどサイバー空間に蔓延る情報をセキュリティ対策に反映させていくこととなります。また、「遠隔制御」に関しては、外部との通信が前提となるので、内部から外部へ不正にデータが送られていないか等を確認することが重要となります。

情報インシデントが発生することを前提に、すなわち、侵入を前提とした「入り口対策」「内部監視」「出口対策」といった多層防御対策が重要です。しかしながら、実態としては、入り口対策だけに注力し、内部監視、出口対策が不十分な企業が多いとえます。

『フェイクウェブ』(高野聖玄/セキュリティ集団スプラウト著)では、「過去には数年に渡って内部に潜まれ様々な情報資産を盗み出されていたケースもあり、現時点において既に侵入されているが気付いていないといった企業も実のところ少なくないとみられる」と指摘しています。また、当社に寄せられる情報インシデントでも、「不正アクセスされ、情報が抜き取られた痕跡がある」、「クレジットカード情報が漏えいし不正利用されたと決済代行会社から指摘された」という相談が多いです(危機管理会社なので、危機的状況に陥ってから相談されることからすると当たり前のことですが・・・。)。

各企業は、改めて社内ネットワークにおいて不審な動きがないか(上記プロセスでいうと、「攻撃」、「インスト―ル」、「遠隔制御」に伴う様々な兆候)等について、積極的・継続的に監視をしていく必要があることを認識しなければなりません。小さな兆候に着目して事前に大事故の予防に努めるとともに、現状のリスク対策の状況を検証・見直すことで、リスク管理体制の強化につなげる、ミドルクライシス®・マネジメント(当社提唱の概念)の考え方は、情報セキュリティ対策としても重要な指針となるのです。

4.最後に

上述の通り、複数の利害関係者との調整に時間が掛かることや、そもそも侵入されている・不正アクセスされている事実に気が付くことができないことが要因となり、公表等が遅れてしまっているのが実情です。いかに気がつくか、情報漏えい等のリスクを発見できるかがポイントとなり、そのためにも、リスクセンスを磨く必要があります。リスクセンスを磨くためには、攻撃の手口に関する情報を常に収集することが重要となります。また、従業員を標的として攻撃が仕掛けられ企業への侵入の糸口とされる現状に鑑み、情報管理の責任者やセキュリティ担当者だけではなく、教育研修等を通じ従業員全員のセキュリティ意識を向上させることも必要となります。また、効果的な研修に向け、現状のセキュリティに関する意識のレベル感を把握することもリスク管理する上で重要です。そこで、例えば、従業員を対象に攻撃型メール訓練やフィッシング模擬訓練と呼ばれる訓練を行うことも重要です。

改めて、個人情報をはじめ情報資産は、一度、外部へ流出し輾転流通としてしまうと回復が不可能であることを念頭に、再度、保護のあり方を見直す必要があるといえます。

参考

最近の個人情報漏えい事故(2021年11月、12月)

下記の表は、2021年11月と12月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

No 原因 漏洩件数・原因
1 大学 不正アクセス 複数の海外IPアドレスより不正アクセスが行われた。同アカウントより大量のメールが送信されていることを同大で検知し、問題が発覚した。

メールアカウントには講義受講者36人分の氏名、学籍番号、成績が記載されたファイル1件をメールの添付ファイルとして保存。パスワードは設定されていた。

また別の研究科においても、教員のアカウント1件より大量の迷惑メールが送信されていたことが発覚。メールアカウントには大量のメールが保存されており、約1万4000件のメールアドレスが含まれる。

2 ECサイト 不正アクセス 不正アクセスがあり、クレジットカード情報が外部に流出し、不正に利用された可能性がある。

クレジットカードの番号、有効期限、セキュリティコードなど、顧客2070人が購入時に利用したクレジットカードに関する情報を窃取され、不正に利用された可能性がある。

3 ECサイト 不正アクセス 不正アクセスを受け、顧客の個人情報最大25万7308件が外部に流出した可能性があることが判明したという。クレジットカード情報最大3101件も含まれる。

具体的には、システム内に不正なプログラムを設置され、クレジットカード情報を入力した顧客の個人情報最大3101件を窃取された可能性がある。氏名、住所、電話番号、生年月日、メールアドレス、ハッシュ化されたパスワード、購入金額、任意で入力した内容などの個人情報のほか、クレジットカードの番号、有効期限、セキュリティコードなどが含まれる。

また、会員登録をせずにゲストとして商品を購入した利用者の氏名、住所、メールアドレス、電話番号、注文内容など最大2万1340件、カタログより予約注文を行い、店頭で受け取った顧客の氏名や電話番号など個人情報最大19万3766件なども流出した可能性がある。

4 誤掲載 一部申請者の個人情報をウェブサイトに誤って掲載するミスがあった。具体的には、本来は個人情報を含まない公表用ファイルを掲載するところ、別のシートに個人情報を含む作業用のファイルを誤って掲載してしまったという。ファイルには、申請者の氏名1万1438件や携帯電話番号1930件、メールアドレス9646件なども含まれる。
5 学校 紛失 教諭の私物であるUSBメモリが所在不明となっていることが判明した。問題のUSBメモリには、市内小学校の児童に関する情報が保存されていた。

具体的には、2021年度の1クラスに関する住所録やテスト記録のほか、2020年度の1クラス分のテスト記録、別の小学校の2クラス分の住所録とテスト記録が保存されていた。

6 誤破棄 市の職員が個人情報含む公文書を自宅に持ち帰り、家庭ゴミとして捨てていたという事態が判明した。収集事業者が回収し、詳細について調査を進めている。

不透明の袋で捨てられており、収集事業者が回収できるゴミか確認したところ、同市の関連書類を発見。同市が廃棄された4袋を回収し、中身を確認したところ、1袋は紙ゴミやファイルだったが、3袋より公文書を確認。児童の名簿など個人情報が記載された書類が含まれていることが判明した。

7 ECサイト 不正アクセス オンラインショップが不正アクセスを受け、登録会員に関する個人情報が外部に流出した。

会員登録フォームより登録された「ライトオンメンバーズ」の個人情報24万7600件が外部に流出したことが、10月30日に判明したもの。氏名や生年月日、性別、住所、電話番号、メールアドレスなどが含まれる。

8 銀行 意図的交付 顧客の個人情報を第三者へ漏洩した。

具体的には、数人の顧客に関する特定時点での預金残高の情報を外部に漏洩した。

9 紛失 健康診断結果通知票の一部が所在不明。

定期健康診断の受診者のうち、産業医による就労判定が必要な56人分の結果通知票を、他職員とは異なる場所に保管していたところ、紛失していることが判明した。

所在不明となっている通知票には、56人分の身長や体重、BMI、血圧、視力などのほか、血液検査の結果や既往歴、内科診察、X線所見、安静時心電図など診断結果が含まれていた。

10 国立研究開発法人 誤送信 シンポジウム参加者に対し、視聴用のURLを記載したメールを送信した際、送信先を誤って宛先に設定するミスがあったもの。

メールアドレス412件が受信者間で閲覧できる状態となり、受信者からの連絡があり問題が判明した。

11 国立研究開発法人 不正アクセス 職員などが利用する学習管理システムが不正アクセスを受け、データベース内の個人情報が外部に流出した可能性があることが判明した。

研究所では、学習教材の配信や成績の管理に、外部サービス事業者の学習管理システムを利用しているが、同システムのサーバに対して、脆弱性を突く不正アクセスが行われたもの。

システム内のファイルを改ざんされ、さらにデータベースを操作されたことで個人情報約1万4000件が外部に流出した可能性がある。

12 学校 誤設定 申し込み用に用意したウェブフォームの設定を誤ったもので、関係ない別の申込者に関する個人情報が閲覧可能となっていたもの。58人分の氏名、中学校名、電話番号、メールアドレスなどが含まれる。
13 紛失 最高裁判所裁判官国民審査の投票録を、保管期限前に誤って廃棄していた。

保管期間が異なる衆議院議員選挙の投票録を別々に保管すべきところ、両方の投票録を同一のファイルに保管していたため、誤って一緒に廃棄したと説明している。

14 独立行政委員会 誤送信 送信先のメールアドレスを誤って宛先に設定したためメールで送信した際に送信ミスがあり、関係者のメールアドレスが流出した。
15 誤交付 都市整備部街づくり事業課において、情報公開請求に関する意見を聴くため、請求内容と関係ある機関に対して情報公開請求書9枚を送付したが、請求を行った住民の個人情報をマスキングしておらず、個人情報が漏洩したという。請求書には請求者の氏名、電話番号、メールアドレスなどが含まれる。
16 ECサイト 不正アクセス データベース内の個人情報6882件が流出したり、入力されたクレジットカード情報322件を窃取され、不正に利用された可能性がある。

具体的には、不正な注文操作によりウェブ上で動作する不正なプログラムを設置され、アクセスが行われていた。これにより、決済アプリケーションを改ざんされたことにより、クレジットカード決済を利用した顧客のクレジットカードに関する名義、番号、有効期限、セキュリティコードなど322件を窃取された可能性がある。

17 紛失 イベントの際に職員が参加者から預かった手荷物を紛失した。

紛失した手荷物は、イベントで配布した啓発物品が入ったビニール袋で、中には住民が取得した戸籍謄本などが入っていた。

18 学校 一時紛失 計算用紙として再利用した裏紙28枚に、採点済みの答案用紙5枚が含まれていた。

具体的には、生徒が計算用紙などに利用できるよう、個人情報の有無を確認した上で、不要となった教材用プリントなどの裏紙を紐で綴り、廊下で配布していたが、小テストを行った教諭が、返却時に不在だった5人分の答案用紙を誤ってほかの教材プリントと一緒に計算用紙として置いてしまった。

19 誤送信 イベントにおいて、所定の用紙が未提出となっていた参加者115人に対し、提出を求めるメールを送信したところ、送信先を誤って宛先に設定するミスが発生したもの。受信者間にメールアドレスが流出した。
20 学校 紛失 職員が私用のUSBメモリを校舎内で紛失した。2020年度と2021年度の1年生から6年生447人に関する氏名、1教科の成績などが保存されていた。

また記事執筆者5人分の氏名、住所、電話番号、所属、メールアドレス、2021年度教育実習生22人分の成績評価、2017年度、2018年度の児童64人分の写真が保存されていた。

21 特定非営利活動法人 不正アクセス サイトに不審なファイルが設置されていることが判明した。

そこで、サイトの公開を停止するとともに管理パスワードを変更。攻撃対象となったコンテンツマネジメントシステム(CMS)を閉鎖した。影響について調査を進めている。

22 ECサイト 不正アクセス システムの脆弱性を突く不正アクセスにより、決済アプリケーションを改ざんされ、同サイトを利用し、商品を購入した顧客情報507件を窃取された可能性があることが判明した。

ログインID、パスワードのほか、名義、番号、有効期限、セキュリティコードなどクレジットカード情報を窃取され、不正に利用された可能性がある。

23 製造業 誤送信 ダイレクトメールに別人の個人情報を記載するミスがあった。具体的には、ダイレクトメールで送付した注文書に異なる顧客の氏名、住所、電話番号などが記載されていたもの。指摘があり調査を行ったところ、約500件のダイレクトメールで同様の問題が発生していたことが判明した。

同社では、ダイレクトメールの印刷や発送を委託した印刷会社に、印刷ミスが発生した

24 学校 紛失 転学または退学した生徒の個人情報含む3人分の「健康診断票」「健康管理票」や11人分の「高校生活支援カード」を紛失したり、誤って廃棄していた。

「健康診断票」には、氏名、学年、クラス、生年月日、性別、健康診断の結果などを記載。また「健康管理票」は氏名、住所、学年、クラス、生年月日、緊急連絡先、既往症などが含まれる。また高校生活支援カードには、氏名、学年とクラス、学校生活上の配慮事項などを記録していた。

25 ECサイト 不正アクセス 外部事業者の実施した調査でクレジットカードに関しては、349件が流出した可能性がある。

流出内容には、クレジットカードの名義、番号、有効期限、セキュリティコードなどが含まれる。

26 情報通信 誤送信 オンラインセミナーを案内するメールにおいて誤送信が発生し、顧客のメールアドレスが流出した。

参加案内メールで送信ミスが発生したもの。送信先のメールアドレス480件を誤って「CC」に入力したため、受信者間でメールアドレスが互いに閲覧できる状態となった。

27 学校 誤送信 学校説明会申込者へ送信したメールで誤送信が発生し、メールアドレスが流出した。

同校の担当教員が申込者59人に対し時間変更に関するメールを送信した際、1人のメールアドレスを誤って宛先欄に入力したため、ほかの申込者58人からメールアドレスが閲覧できる状態になった

28 紛失 保健室の鍵付き収納庫で保管していた児童8人分の児童保健調査票を紛失していた。

問題の調査票には、児童の氏名、住所、電話番号、緊急連絡先、性別、生年月日、保護者氏名のほか、予防接種歴、既往症、アレルギー、結核、健康状態などが記載されていた。

29 サービス業 誤送信 顧客向けに送信した案内メールにおいて送信ミスがあり、メールアドレスが流出した。

24時間緊急通報サービスを利用する顧客300人に住所の移転をメールで案内した際に誤送信が発生したもの。

送信先を誤って「CC」に設定したため、受信者間にメールアドレスが流出した。300件のメールアドレスのうち、50件については無効なメールアドレスだったとしている。

30 公益財団法人 誤送信 講座の参加者へ関連資料をメールで送信した際、メールアドレスが流出した。具体的には、資料を講座参加者10人へメール送信した際、メールアドレスが受信者に流出した。
31 誤掲載 「認知症サポート医名簿」と「東京都かかりつけ医認知症研修修了者名簿」において、本来であれば所属医療機関の所在地や電話番号を掲載すべきところ、14人に関して自宅の住所や個人の電話番号を誤って掲載していたもの。

「認知症サポート医名簿」には約1300人、「東京都かかりつけ医認知症研修修了者名簿」には約1900人の情報が含まれるが、このうち7人で個人の電話番号、6人に関しては自宅住所、また1人については自宅住所と個人電話番号の双方掲載していた。

32 誤送信 介護保険事業者へ送信した通知メールにおいて送信ミスがあった。

社会福祉施設におけるインフルエンザ対策に関する情報をウェブサイトへ掲載したことをメールで案内する際、誤って送信先のメールアドレスを宛先に設定したため、受信者間でメールアドレスを閲覧できる状態となった。

33 誤送信 子宮頸がん検診の受診勧奨ハガキ1286件を異なる宛名に送付するミスがあったという。

11月12日に発送したが、同月16日に郵便局から返送があり問題が判明。19日時点で815件が市に返送された。宛名と異なる住所に届いたケースも2件の申し出があったという。

送付対象者の名簿を作成する際、データの並べ替え時に操作ミスがあり、誤った内容のままハガキを印刷してしまったという。読み合せ作業も行っていたが、名簿の誤りに気が付かなかった。

34 小売業 誤送信 顧客へメールを送信した際にミスがあり、メールアドレスが流出した。具体的には、送信したメールにおいて操作ミスがあり、メールアドレス94件が受信者間に流出したもの。
35 省庁 誤送信 資料をメールで送信したところ、誤ってメールアドレス395件を「CC」に指定して送信したため、受信者間でメールアドレスを確認できる状態となった。
36 誤送信 職員が個人で利用するメールアドレスに無許可で資料を送信しようとし、誤ったメールアドレスを指定したことで情報が外部に流出する事故が相次いで発生した。
37 大学 ウェブサイトが侵害され、一時無関係なサイトへリダイレクトされる状態だったことを明らかにした。

同大によれば、検索サイト経由で同大サイトへアクセスすると、無関係なサイトへリダイレクトされる状態となっていたもので、リダイレクト先がフィッシングサイトである疑いもあったため、同大ではウェブサイトを閉鎖して対応。

38 誤送信 広報誌のモニター7人へ送信したアンケートの提出を促すメールにおいて誤送信が発生したもの。同市において、11月10日にメールアドレスが流出する誤送信の事故が発生した。従来、ルールに従って議会事務局では手動で「BCC」を用いて送信していたが、同市システムに「一斉送信機能」が用意されていることに職員が気が付き、メールアドレスが漏洩しないものと思い込んで挙動を確かめずに利用したが、実際はメールアドレスが宛先となる設定だったため、メールアドレスが受信者間で閲覧できる状態になった。
39 学校 盗難 校舎内に置いていた教員用のノートパソコンが見当たらないことに教員が気づいた。

被害に遭ったパソコンには、2018年度から2021年度に在籍していた生徒423人分の情報が保存されていた。卒業生の氏名と生年月日、欠席生徒の氏名と欠席理由のほか、2018年度から2020年度実施の入学調査応募者68人分の情報も保存されていた。一部応募者の氏名、小学校の成績などが含まれるが、パスワードが設定されている。

また、2018年度から2021年度に在籍した教員58人に関する情報も保存されており、常勤教員の氏名と年齢、非常勤講師の氏名とメールアドレス、電話番号、新規採用教員の氏名、住所、電話番号、生年月日、メールアドレス、職歴などが含まれる。

40 誤送信 ボランティア活動に参加する75人へ送信したメールにおいて誤送信が発生したもの。職員の操作ミスにより、メールアドレスが受信者間に流出した。
41 ECサイト 不正アクセス システムの脆弱性を突く不正アクセスがあり、サイト上で入力されたクレジットカード情報や認証情報を窃取する悪意あるファイルやコードが設置されたという。

これにともない、同サイトで決済に利用された顧客1万7828人分のクレジットカード情報が外部に流出し、不正に利用された可能性がある。

さらにクレジットカードの名義、番号、有効期限、セキュリティコードのほか、メールアドレスや同サイトで利用するID、パスワードについても窃取されたおそれがある。

42 ECサイト 不正アクセス 同サイトで会員登録を行ったか、またはゲストとして購入した顧客1万6131人に関する氏名、住所、電話番号、メールアドレス、注文情報のほか、任意で入力した会社名やファックス番号、生年月日、性別、職業などが流出した可能性がある。

また特定の期間の間に、同サイトで顧客1544人が入力したクレジットカード情報1607件の名義、番号、有効期限、セキュリティコードなども窃取された可能性がある。

43 コンサルティング業者 不正アクセス ランサムウェアによる感染被害が発生し、顧客情報が外部に流出した可能性があることが判明した。顧客情報を保存していたストレージにアクセスできない状態を確認し、被害を認識したとのこと。

流出した可能性があるのは、2019年6月から2021年11月上旬にかけて研修やコンサルティングサービスを提供した顧客に関する情報。企業名、住所、電話番号、担当者の氏名、部署、役職、一部メールアドレスのほか、研修受講者の氏名、部署名なども含まれる。

44 不正アクセス ウェブサイトが改ざんされた。具体的には、サイト内のリンクをクリックすると、無関係のサイトに誘導される状態へと改ざんされていたもの。匿名のメールで情報提供があり、11月29日に被害へ気がついた。サーバ内に個人情報は保存されていないという。

同県では、翌30日14時半ごろにサイトを停止。改ざんされた時期や原因について調査を進めている。同サイトを閲覧した心当たりがある利用者に対して、マルウェアに感染していないか確認するよう注意を呼びかけている。

45 病院 紛失 医師が持ち込んだ私物のUSBメモリが、所在がわからなくなっている。症例検討のため使用していたUSBメモリで、2002年9月から2020年2月にかけて扱った16人分の患者情報が保存されていた。ローマ字表記の氏名や診察券番号、年齢、性別、英語で記載された治療項目などが含まれる。
46 小売業 システムの不具合 メール送信システムでメールマガジンに登録する顧客へメールを送信したところ、不具合により受信者とは関係ない顧客の氏名やメールアドレス870件がメールに記載される状態が発生したという。

同システムでは登録者から1000件ずつメールを送るしくみだが、130番目にあった冒頭にハイフンを含むメールアドレスを正しく処理できず、131番目以降のメール送信においてエラーが生じた。

メールの宛先に他顧客のメールアドレスが数件から数百件含まれる状態が発生。メールの本文にも他顧客の氏名が表示された。また誤動作によって数件から千数百件のメールが大量に送信されたという。

47 大学 不正アクセス 研究成果を公表しているウェブサイトが不正アクセスを受け、改ざんされたこと。

同大によれば、「研究成果ストックサイト」のサーバにおける改ざん被害が11月15日に判明したもの。サーバを停止して状況を確認するとともに、メンテナンスを実施している。

48 小売業 不正アクセス サイトの管理を委託している事業者からサーバが不正アクセスを受けた可能性があるとの報告があり調査を進めた。

外部事業者による調査を進めていたが、11月29日に完了し、脆弱性を突かれてサーバに侵入されたことがわかり、事態を公表した。

個人情報を含むデータの外部流出や疑いの痕跡は確認されなかったとし、同社は調査結果から情報流出の可能性は低い。

49 ECサイト 不正アクセス 三者のなりすましによる不正アクセスにより、決済アプリケーションを改ざんされたもの。2020年2月24日から2021年4月20日にかけて顧客8306人がサイト上より入力したクレジットカード情報が外部に流出し、不正に利用された可能性がある。

対象となるクレジットカード情報は9656件。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。決済時に登録済みのクレジットカード情報を用いた場合は影響を受けないとしている。

50 ECサイト 不正アクセス 不正アクセスを受け、入力内容を窃取したり、データベースから情報を抜き出す不正なファイルを設置されたもの。

決済のために入力された顧客のクレジットカード情報110件が被害に遭い、クレジットカードの名義や番号、有効期限、セキュリティコードなどが第三者に窃取された可能性があることがわかった。不正利用被害などは確認されていない。

51 ECサイト 不正アクセス 脆弱性を突く不正アクセスを受けたもの。悪意あるファイルを設置されたり、決済アプリケーションを改ざんされる被害を受けた。

クレジットカード情報に関しては、特定の期間の間に決済を行った顧客2715人のクレジットカードに関する名義、番号、有効期限、セキュリティコードが流出し、不正に利用された可能性がある。

また不正アクセスにより個人情報が格納されたフォルダもアクセスできる状態だった。調査を行った外部事業者より、流出した内容はクレジットカード情報であるとの説明を受けたとしており、フォルダ内のデータが流出した可能性については言及していない。フォルダに含まれる個人情報の件数や項目については、「流出が確認されていないため、特定していない」という。

52 ECサイト お中元やお歳暮、おせちの通販サイトにおいて、2008年10月以降に会員登録をせずに商品を購入した顧客が、購入後に特定の状況下においてほかの顧客の注文情報を閲覧できる状態になっていたもの。

閲覧可能だったのは、注文者の氏名や住所、電話番号、メールアドレスのほか、届け先の氏名、住所、電話番号、注文情報など最大4774件の個人情報。

53 ECサイト 不正アクセス 脆弱性を突かれ、不正なファイルを設置された。

特定の期間の間に、同サイトでクレジットカード決済を行った顧客のクレジットカード情報652件が外部に流出した可能性がある。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

54 誤設定 プレゼント企画の応募者に関する個人情報が、別の応募者より閲覧できる状態となっていた。

委託先が応募フォームを作成したが、設定に誤りがあり、応募完了画面にあるリンクから、他応募者の個人情報を閲覧することが可能だった。

55 公益財団法人 誤送信 会員向け機関紙の発送時にミスがあり、会員の個人情報が流出したことを明らかにした。

同機構によれば、11月26日に発送した機関紙「NICOプレス」において、封筒の宛先に別の会員に関する氏名や役職、部署などが記載されていたもの。

11月29日に複数の会員から電話で指摘があり、記載ミスが判明した。送付先リスト作成時の作業ミスが原因で、会員情報602件が流出したという。

56 電力会社 紛失 電気メーターの取替工事を担当する委託先事業者において、名古屋市中村区内の顧客情報26件が記載されたリストの所在がわからなくなった。

紛失したリストには氏名、電話番号、顧客番号、引込電柱番号、電気の契約内容などが記載されていた。

57 紛失 粗大ゴミの収集作業中に、職員が携行している「大型ゴミ収集連絡票」を確認しようとしたところ、収集対象者4人分の連絡票が見当たらないことが判明した。

紛失した連絡票には、粗大ゴミ収集対象者の氏名、住所、電話番号、収集申込品目などが記載されていた。

58 物流業者 サイバー攻撃 シンガポールにある現地法人の運用するサーバやパソコンの一部がマルウェアに感染し、第三者による不正な通信が行われていることが明らかとなったもの。データが外部に流出した可能性がある。

事態の発覚を受けて、同社では対象機器をネットワークから遮断。外部事業者協力のもと、攻撃が行われていた期間、原因、対象となるデータなど、詳細について調査するとともに復旧を進めている。

また、サイバー攻撃による事業継続への影響は出ていないという。また日本を含め、シンガポール以外の国や地域で利用するシステムへの影響についても否定した。

59 一般社団法人 誤送信 オフィシャルオンラインショップの運営を委託しているアイテック阪急阪神において、顧客1人からの問い合わせにメールで返信した際、オンラインショップ会員の個人情報を送信したもの。

誤送信したのは、オンラインショップ会員161人分の個人情報で、161人に関する氏名、13人分の住所、3人分の電話番号が含まれていた。

60 誤交付 非公開部分の墨塗り処理が不十分だったため、閲覧した住民1人に情報が流出したもの。

閲覧が可能だったのは、生活保護法に基づく資産調査対象者の特定につながる情報で、1店舗の店名および店舗住所などが記載されていた。また、抗議文の発信者であることの特定につながる3店舗の店名も含まれる。

61 誤掲載 センターの指導主事が教員研修資料として撮影、編集した授業の動画を関係者から確認を得るため、動画共有サイトの「YouTube」にアップロード。関係者のみが閲覧できる「限定公開」としようとしたところ、操作を誤ったため、インターネット経由で誰もが視聴できる状態となった。

問題の動画には、授業に参加した小学生の児童32人が映っており、そのうち16人については名札などから氏名を識別できるとしている。

62 誤交付 ワクチン接種を受けた人に接種券を返却した際、接種者名簿を誤って一緒に渡すミスがあったという名簿には134人分の氏名、生年月日、電話番号、接種券番号が記載されていた。
63 誤交付 新型コロナウイルスの検査を実施する医療機関の担当者21件に対し、検査協力金を案内するメールを送信した際、誤送信が発生したもの。

送信先を誤って宛先に入力したため、メールアドレスが受信者間で閲覧できる状態となった。流出したメールアドレス21件のうち、15件については個人が識別できるメールアドレスとしている。

64 不動産 紛失 レターパックプラスで郵送した書類が、所在不明となったもの。

所在不明となった書類には、管理物件所有者36人および入居者4人の氏名と住所が記載されていた。

65 サイバー攻撃 クラウドシステムに対してサイバー攻撃が行われた。クラウドで運用しているウェブベースのシステムで、同県委託のもと外部ベンダーが運用している。

内部には、森林の所在を示す森林簿や森林計画図をはじめ、森林に関する航空写真、等高線図などを保存していた。森林簿には森林所有者の名称を記載。氏名や組織名などが約5万件が含まれる。

現在システムを停止し、ネットワークから遮断して侵入経路や原因など詳細について調査を進めている。ランサムウェアによる攻撃と見られ、暗号化データの復元を条件に金銭を要求する脅迫が行われたという。データを外部に公開するといった文言はなかった。

66 病院 盗難 研究室に置いていた医師の私用パソコンが所在不明となっていることが11月15日に判明したもの。12日に医師が研究室で同端末を使用したのを最後に所在がわからないという。研究室は大部屋で複数の職員が利用しており、施錠されていなかった。

被害に遭ったパソコンには、同院や同医師が以前勤めていた県立広島病院の患者に関する情報、あわせて約700人分の患者情報が保存されていた。

広島大学病院の患者に関しては、重複を除いて40人分の情報を端末内部に保存していた。手術記録19人分には患者の氏名、性別、年齢、生年月日、術前術後診断、出血量、手術時間、術式などの情報が含まれる。

さらに術前術後のプレゼンテーション資料26人分については、患者の氏名や性別、年齢、生年月日、血液型、身長、体重、手術日、病名、入院前経過、術式などを記録していた。

67 誤送信 講座の参加申込者36人に送信したオンライン配信用アドレスの変更を案内するメールにおいて誤送信が発生したもの。

送信先を誤って宛先に入力したため、メールアドレスが受信者間で閲覧できる状態となった。送信の直後に、職員が誤送信に気づいた。

68 食品業 サイバー攻撃 サーバがサイバー攻撃を受けたことを確認したもの。本社で利用するサーバにおいて、共有ファイルが開けなくなったり、メールが届かない不具合が発生したことから従業員が被害に気が付き、外部との通信を遮断した。

今回のサイバー攻撃により、同社従業員90人やその家族など2人、取引先3人など、あわせて個人情報95人分の流出を確認した。氏名とメールアドレスが含まれる。同社は対象範囲について詳しく調べている。

69 誤掲載 新型コロナウイルス感染症の影響にともなう国民健康保険税の減免手続きについて案内した際、国民健康保険税の還付者の個人情報を含むファイルを誤って公開したという。

国民健康保険税の減免算定において提出を依頼する「収入申告書」の表計算ファイルに本来添付すべきでないデータが含まれていた。

2019年1月から11月までに、国民健康保険税の還付を受けた604人に関する口座情報606件が含まれていた。氏名、金融機関名、口座番号、還付額といった個人情報が含まれる。ファイルは、9月6日より掲載しており、18件のアクセスがあった。

70 銀行 サイバー攻撃 ウェブサイトに対してサイバー攻撃があり、改ざん被害が発生したことを明らかにした。原因など詳細について調査を進めている。

同金庫によると、何者かによってウェブサイトが改ざんされたもので、同サイトへアクセスできない状態が発生した。また検索エンジンにおける同金庫の検索結果が、意図しない不正な内容に置き換えられ、クリックすると無関係のサイトへ誘導される状態だった。

71 ECサイト 不正アクセス サイトで入力された最大1217人分のクレジットカード情報が外部に流出した可能性がある。クレジットカードの名義、番号、セキュリティコード、有効期限が含まれる。

また、対象期間中にスマートフォンより同サイトへログインした最大1万3037人分のログイン用メールアドレス、パスワード、生年月日についても流出した可能性があることが判明した。

会員システムは、オンラインショップと店舗で同様のものを利用しているため、対象期間中に店舗から新規会員登録を行った場合もメールアドレス、パスワード、生年月日を入力することとなり、外部に流出した可能性がある。

72 システム会社 不正アクセス 従業員のメールアカウントが不正アクセスを受け、フィッシングメールの送信に悪用されたことを明らかにした。
73 誤送信 職員が送信した文化イベントの招待案内メールにおいて誤送信が発生したもの。送信先を誤って宛先に設定したため、招待対象者のメールアドレス63件が受信者間で閲覧できる状態となった。
74 大学 不正アクセス トップページが空白のページに置き換えられたほか、サイト内に同大と無関係のページが複数設置されたという。

11月30日に同サイトのトップページが閲覧できない状態となっていることを確認。サーバを再設定して復旧させたが、同様の問題が再発したため調査を行ったところ、12月8日に不正アクセスを受けた可能性があることが判明した。11月7日ごろより改ざんされていたものとみられる。

75 小売業 誤送信 会員登録している顧客81人に送信したプレセールの案内メールにおいて誤送信が発生したもの。送信先を宛先に入力したため、メールアドレスが受信者間で閲覧できる状態となった。
76 紛失 高齢者在宅サービスセンターにおいて施設利用者の個人情報が所在不明となっていることを明らかにした。

同区によれば、デイサービスを利用する22人の氏名、住所、電話番号が記載されている

送迎表の所在がわからなくなっているもの。

77 不動産 誤送信 セミナー申込者の個人情報を含むファイルを、特定の申込者1人に誤ってメール送信するミスがあった。

ウェブセミナーの終了後にアンケートに回答した参加者へセミナーのレジュメを送信したところ、特定の1人に対し、セミナー申込者53人の個人情報が含まれるファイルを誤って添付するミスがあったという。

78 社会福祉法人 不正アクセス 書籍購入者や会員登録者のメールアドレス4万1970件が不正アクセスにより外部に流出したことが判明したもの。

12月13日に不正アクセスを受けた形跡を確認した。流出したデータはメールアドレスのみとしており、氏名や住所、電話番号、クレジットカードは含まれていないという。

79 ECサイト 不正アクセス 脆弱性を突く不正アクセスにより、不正なファイルを設置されたり、決済アプリケーションが改ざんされたという。クレジットカード情報861件が外部に流出し、不正に利用された可能性がある。

対象となるのは、特定の期間の間に同サイトで顧客861人が決済に利用したクレジットカード情報で、名義、番号、有効期限、セキュリティコードが含まれる。

80 システム会社 サイバー攻撃 データ放送制作システムの開発などを手がける会社が不正アクセスを受け、一部システムにランサムウェアが感染する被害が発生したことがわかった。これにより自治体より受託するスマートフォンアプリの運用に影響が生じた。

システムの保守に用いる端末が、外部よりリモートデスクトップを通じて不正アクセスを受けたもの。脆弱性を突かれてログインされ、管理者権限を奪取された。

セキュリティ対策ソフトを停止され、アンインストールされたほか、サーバにおけるグループポリシーを変更されるなど、不正な操作が行われたという。

ヒューマンエラーによる誤送信・誤交付による情報漏えいは依然として多く確認されています。当然のことながら、ヒューマンエラーを完全になくすことは不可能です。参考として「フールプルーフ」というものがあります。これは、ヒューマンエラーが必ず起きることを前提とし、人間つまり利用者が機器を利用する際に操作を間違えたとしても、それをカバーできような仕組みを、予め組み込んで設計しておくこと、またはそのアプローチ全般を指す言葉です。これは、製造業、工場などモノづくりの現場では「バカヨケ」「ポカヨケ」とも呼びます。例えば、左右で異なる形のネジを使用しなければならない製品があったとします。この左右のネジを間違えやすいなら、ネジを差し込む部分の形状を変えて左用と右用で別にすることで、物理的に、左の穴に右用のネジを差し込めないようにするなどの工夫をしています。技術的にヒューマンエラーを防止する策を導入する必要性の有無を検討しておくべきものと思われます。

また、ECサイトに対する不正アクセスを起因とするクレジットカード情報漏洩、ホームページ改ざん、ランサムウェア攻撃なども散見されます。すべての漏えい案件とはいいませんが、根本的な原因として、当該サイトのセキュリティを最新の状態に保っていなかったことが挙げられます。そして、セキュリティの状態については、保守点検管理をシステムベンダーに依存しているケースがあります。システムベンダーは専門会社である以上、依存せざるを得ない側面はあります。実質的に個人情報漏えいリスクを第三者のシステムベンダーに依存しているため(サードパーティリスク)、システムの開発等に関する委託であり、個人情報の管理の委託ではなく、監視義務等はありませんが、適切に運用されているかは確認しておく必要があるものと思われます。

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

セミナー・研修系サービスの紹介
SPリスク・ラーニング

新型コロナウイルスの影響により、多くの企業で在宅勤務を前提にしたWeb研修や会議が行われている状況を受け、「コンプライアンス」「ハラスメント」「クレーム対応」「情報セキュリティ」「防災・BCP」など、新入社員から入社2~3年目の若手社員に必須の危機管理に関する知識を詰め込んだ9種類の研修用動画を提供しています。

危機管理会社の新入社員・若手社員研修

社会人に求められる常識や、業務の習得に必要な視点・モチベーション、仕事場におけるコミュニケーションスキル等を「リスクマネジメント」の観点から学び、企業と新入社員本人の双方からのアプローチで、早期離職や問題社員化等の「人財ロス」低減を目指します。数々のリスク対応で培った、危機管理会社ならではのオリジナルメニューで、他社ではできない領域の研修が可能です。理論と実践が結びついた早期の危機管理教育が、「人財」を育てます。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
Back to Top