カテゴリー: I C T

富士通子会社のシステム 住民票の写しなど証明書誤交付

富士通100%子会社の富士通Japanは3/30、住民票の写しなど公的証明書をコンビニで交付する同社のサービスで27日に障害が発生し、横浜市で、申請者とは違う住民の証明書が発行されたと発表しました。

富士通Japan

富士通Japanは富士通の100%子会社で、自治体、医療・教育機関、および民需分野のソリューション・SI、パッケージの開発から運用までの一貫したサービスを提供する企業。AIやクラウドサービス、ローカル5Gなどを活用したDXビジネスの推進も。非上場企業ですが、売上高は6,000億円に迫ります。従業員数もなんと10,000人。

障害の概要

障害が起きたのは、横浜市のマイナンバーカードを使ってコンビニで住民票の写しや印鑑登録証明書などを交付できるサービス。3/27、3/28の両日で、申請者とは別人の住民票の写しを誤って交付してしまった例が5件(11人分)あったといいます。

そしてさらに、5/1には足立区でも同様の障害が確認されました。誤発行は3人分の住民票写しと、1人分の印鑑登録証明書の計2件で、いずれも足立区内のコンビニで3〜4月に発生したということです。横浜市で発生した誤交付を受けて、富士通ジャパンが他の自治体向けのサービスも点検して判明しました。

他の自治体向けサービスの点検は4月末で完了し、足立区以外の不具合はないとのこと。事実上の終結宣言ですが、マイナンバーカードやら個人の公的証明、かなり皆さん敏感な対象だけに、、、この誤交付はいただけません。親会社の富士通からも何ら開示がされてないってのも気になります。

ソースネクスト 12万件の個人情報漏洩?

ソースネクストは2/14、「当サイトへの不正アクセスによる個人情報漏えいに関するお詫びとお知らせ」を公表しました。個人情報120,982件(顧客のクレジットカード情報112,132件含む)が漏えいした可能性があることが判明したということです。

ソースネクスト

ソースネクストはパソコン用ソフト、スマホ用アプリ、IoT製品の開発・販売を手がける企業。主な製品として、「ウイルスセキュリティZERO」などのセキュリティ対策ソフト、「筆王」などのハガキ作成ソフト、Androidスマホ向けアプリ、IoT製品の「POCKETALK(ポケトーク)」などを持っています。

不正アクセスの概要

個人情報が最大12万件漏洩した可能性があるということなんですが、そのうち11万件がクレジットカード情報も洩れてるかも、という事態だそう。さらに、このクレカ情報については、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」が含まれているようです。おいおい、セキュリティ対策をビジネスにしている会社がかよ。

決算発表

不正アクセスによる情報漏えいを同社ホームページでひっそり公表した同日、適時開示では第3四半期の決算発表も行っています(つまり漏えいの事実は適時開示していない)。こちらも酷いことになっていて、業績予想を下方修正。発表翌日の2/15の株価は225円、45円安となっています。

2023年3月期はボロボロ。そこに個人情報漏えいに対する新たな損失が加わってくるとすると、いったいどんなことになっていくんでしょう。同社のセキュリティソフトも年賀状ソフトも使ったことあるぞ。またkuniの情報があちこちに売られるのか・・・?いい加減にしろや。

アダストリア サイバー攻撃(その2)

昨日に続いてアダストリアの件。1/24の第2報を読んでいて少し気になったことを追記します。第2報の中の、原因究明とその後の安全対策に関する記述に関してです。

ちょっと矛盾した書きぶり

第2報の中で書かれている今後の対応について。「引き続き、外部の専門機関と連携し、原因や経路の究明を行う」としています、一方で、「現在、安全な環境の構築が完了し、停止していた社内業務システムの稼働を順次再開しました。休止しているWEBストア「ドットエスティ」についても、物流システムを再稼働し、安全性が確認できたことから、近日中に再開を予定しております」としています。

本来は、原因(脆弱だった箇所)や侵入経路を究明し、それが完了したからこそ、安全対策の構築が始まるはずで、ちょっと上記の説明には矛盾を感じました。引き続き原因や経路の究明を行う(まだよく分かっていないことがある?)、としながら安全対策が完了したといってるところです。なぜ不正アクセスを許してしまったかについては、書けなかったためこんな書きぶりになったんでしょうかね。

確かにこういうケースでは、「システムの〇〇に脆弱性があり、これへの対応を怠っていたため、不正なアクセスを許してしまった。」みたいな、他の同様なシステムを持つ企業等への悪影響が考えられるような具体的な話(原因や経路)は開示しないように。といったアドバイスを専門家や警察から受けている可能性はあるかもしれません。

であれば、「原因や経路等についての究明は完了しておりますが、他の企業等への影響を考慮し、開示は控えさせていただきます」、みたいな書き方はあったと思うんですけどね。

日本へのサイバー攻撃 3年間で倍増

少し前になりますが1/22付け日本経済新聞の1面に、「サイバー攻撃、日本に矛先 攻撃数3年で倍増 対応丸投げ、脆弱性放置」という記事がありました。あれだけランサムウエア攻撃などを受けた企業のニュースが流れるなか、日本企業の対応の遅さはいまだに解消してないようです。

3年間で倍増

記事で取り上げていた「3年間で倍増」というのは、「警察庁が公表した22年1~6月に検知された不審なアクセス通信」のことを指しているようで、実際に被害につながった件数ではありません。防御ができているから被害に繋がらなかった不審なアクセスも含んでるわけですね。

とはいえ、狙われてるのは事実

記事の書きぶりがやや誤解させそうなものとなっていますが、日本企業への攻撃は今後も増加すると思われます。記事では「IT(情報技術)開発のベンダーへの丸投げが多く、サイバー防衛への当事者意識が希薄」であることをその要因として指摘しています。この点については異論はありません。

では、丸投げせず、当事者意識をしっかり持つ、、、ためには何が必要なんでしょう。これは前にも書いたことありますが、システム関係費用をコストと考えないということに尽きると思います。これ、今の世の中、コストではなく「最重要な資源」と考えるべきなんです。

コストと考えるから経営は「削減」という方向を意識(検討)しますが、経営目標を達成するための重要な資源という認識になれば、「投資」を意識することができるでしょう。そうすることで日経が指摘する当事者意識も向上し、ベンダーへの丸投げを止めて、自社でのシステム要員育成といった方向付けも可能になります。

ということで、DXしかり、サイバーセキュリティしかり。経営陣の意識(コストから資源へ)の改革が一番重要ということです。

Amazon 楽天などからのフィッシングメールに注意

タイトル通り、各社からのフィッシングメールが急増中です。っていうか、kuniのところへ似たようなフィッシングメールがバンバン届いてるんです。最近のフィッシングメールは日本語もかなりまともな表記がされており、見てすぐに偽物とわかるようなメールではありません。困ったものです。

おさらい

フィッシングメールというのは、フィッシング詐欺とも呼ばれ、実在する企業やサービスを装ったメールを送りつけ、登録情報の確認などの名目で、IDやパスワード、クレジットカード番号などの個人情報を窃取する悪質な詐欺です。

「登録しているクレジットカードの期限が切れてる」とか、「通常とは異なる、カード等の不審な利用が確認されたため」といった理由で、フィッシングサイトへ誘導。そこで確認のためとかと称して、IDやパスワードを再入力させてその情報を抜き取ろうとします。

最近の傾向

昔のようにメールの日本語がちょっと変みたいなことはもうありません。全然マトモです。加えてメール差出人に実在するサービスのメールアドレス (ドメイン) を使用したものまで。正直メールの内容等をチェックしても本物のメールにしか見えないんです。マジで困ったもんです。

対策

上記のような理由で、あなたを惑わせるようなメール(SMSも同様)が届いた場合、当該業者の信頼できるサイトにアクセスし、本当にその業者が送信したメールかどうかを確認しましょう。例えばAmazonの場合、Amazonにログインし、右上の「アカウント&リスト」に入ります。「メッセージセンター」をクリックすると、Amazonがあなたに向けて発信したメールの一覧が現れます。

この中に怪しいメールが含まれていなかったら、それはフィッシングメールということになるわけです。皆さん気を付けましょうね。(追伸)、、、直近のフィッシングメールの特徴。とにかくしつこい。何回も同じ内容のメールを送り付けてきます。根競べです。