カテゴリー: I C T

2021年版警察白書 サイバー犯罪摘発最多 9875件

警察庁は7/20、2021年版警察白書を公表しました。2020年のサイバー犯罪の検挙件数は9,875件となり、前年より356件(3.7%)増加。過去最多を更新したそうです。

サイバー犯罪の検挙件数

9,875件の内訳をみると、不正アクセス禁止法違反(609件)、コンピュータ・電磁的記録対象犯罪(563件)、児童買春・児童ポルノ禁止法違反(2,015件)、詐欺(1,297件)、著作権法違反(363件)、上記以外の罪種(5,028件)となっています。

コンピュータ・電磁的記録対象犯罪と詐欺が過去最高を記録し、前年に比べそれぞれ127件と320件の増加となっています。

イメージというか実感との差を感じる方も多いと思いますが、この数字はあくまで警察による検挙件数です。被害届があり、警察が捜査を実施し、検挙に至った件数ですね。企業等が不正アクセスを受けたとしても検挙に至らなければこの数字に反映されません。発生件数のデータってどこか持ってないんでしょうかね。

白書の特集

白書では被害が深刻化するランサムウエアを取り上げ、「世界的に問題となっている」と指摘しています。当ブログでも何度も取り上げました。最近では、鹿島建設の海外子会社、Colonial Pipeline、東芝テックの海外子会社、カプコンなどがありましたね。

これらの情報は警察白書の特集ページ、「サイバー空間の安全の確保」で掲載されており、この他にも、「東日本大震災から10年を迎えて」、「新型コロナウイルス感染症をめぐる警察の取組」、「クロスボウの規制に向けた警察の取組」という4つの特集が組まれています。警察庁のホームページで誰でも読めますよ。

株式会社キャンディル 子会社ECサイトでクレジットカード情報漏洩

株式会社キャンディルは7/20、「当社子会社が運営するオンラインショップへの不正アクセスによる個人情報漏洩に関するお詫びとお知らせ」を公表しました。子会社のキャンディルデザインが運営する「ECサイト プロショップ匠」が不正アクセスを受け、クレジットカード情報(4,040件)が漏洩したようです。

キャンディル

キャンディルは建材・家具等の補修材及びメンテナンス剤の卸売業者です。2018年に上場を果たしていて、従業員数は連結ベースでも600人以下という小ぶりな企業です。

事件の概要

「ECサイト プロショップ匠」が第三者による不正アクセスを受け、顧客のクレジットカード情報(4,040件)が漏洩した可能性があるということなんですね。で、漏洩した情報が、「カード名義人名」、「クレジットカード番号」、「有効期限」、「セキュリティコード」となっています。

これだけ情報が揃えば、どこのECサイトでも本人になりすまして買い物できちゃいます。実際に、開示の中でも「一部のお客様のクレジットカード情報が不正利用された可能性があることを確認した」とあります。

開示の遅さ

実はこの不正アクセスによる漏えい、今年1/26に判明しています。第三者調査機関による調査も4/2に完了しています。で、開示が7月という遅さ。公表が遅れた経緯について、同社は次のように説明しています。この対応は正しいと言えるんですかね。

「決済代行会社等と協議し、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であるとの説明を受け、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことにいたしました。」

婚活アプリのネットマーケティング 会員情報の一部流出に伴う特別損失を計上

婚活アプリのネットマーケティングは7/16、「特別損失の計上及び通期業績予想の修正に関するお知らせ」を公表しました。会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上する見込みとなったとのこと。

情報流出

5/21、同社が提供する恋活・婚活マッチングアプリ「Omiai」を管理するサーバーに対し、外部からの不正アクセスを受け、171万件にのぼる会員情報の一部が流出した可能性が高いという事故でしたね。

その翌々日には、コーポレートサイトの管理システムの不具合により、他の顧客の記載内容の一部が、別の顧客から閲覧できる状況になっていたという事故も起きていました。

特別損失 業績予想修正

で、同社のメディア事業における「Omiai」サービスの会員情報の一部流出に伴う関連費用として96百万円の特別損失を計上することに。顧客からの問い合わせ対応窓口設置・運営及びシステム調査並びに情報セキュリティ対策等に係る費用ということです。

この開示では、通期業績予想の修正も行われているんですが、96百万円の特別損失を計上したうえで、経常利益192百万円、当基準利益で66百万円の増益修正となりました。

「Omiai」サービスにおける新規会員獲得を目的とするデジタル広告の出稿を全面的に一時休止。この措置に伴い広告費が削減された結果、販売促進費が当初想定を下回ったことにより増益となったようです。皮肉な結果ですね。

ただし、この開示を受けて株価はあらためて売りなおされています。直前に上昇していたからですかね。これまた皮肉な結果です。

名ばかりCIO、場当たりDX

7/13付け日本経済新聞の記事に、「名ばかりCIO、場当たりDX 『情シス』消え人材不足、丸投げ変えられず」というのがありました。この記事お勧めです。思わず笑ってしまうような、「ハハ、これうちの会社や」みたいな話がたくさん出てきます(kuniはもう退職してますが)。

情報システム部門の放出

「過去のリストラで実動部隊の情報システム部門を手放し、司令塔であるはずの最高情報責任者(CIO)も名ばかりという実態がある」と書かれています。この文章の前半部分。

「日本企業におけるIT(情報技術)人材の不足は、平成バブル崩壊後の1990年代に情報システム部門が本体から切り離された影響が大きい。当時「ノウハウ集約」や「専門性の向上」といった大義名分で設立された情報子会社の多くは、コスト削減目的のアウトソーシング(外部委託)が実態だった。」とも。

そうなんですよね、コスト削減目的で子会社として切り離す。まぁ、それ以前の話として、システムがコストだと思っている経営者が多すぎるのも大問題なんですけどね。

親会社からの厳しい要求

おまけに、システムの開発においては、「開発期限は何が何でも厳守」とか、「開発費の増額は一切許さない」といったプレッシャーが掛けられ続けます。日経が同じく指摘していた「丸投げ」の実態です。丸投げゆえにユーザー側にシステムに精通した人員も育ちません。

で、いざ障害発生となると、手も足も出ない状態(どこかの銀行みたいに)になってしまうんですね。どこかの銀行の場合など、障害の責任取ってCIOが更迭されましたね。これって今まで(それなりに)一番精通していた人がド素人に交代するってことです。

日本企業のDX、狂ってしまった歯車はどう戻せばよいのでしょうか。

岡藤日産証券HD 不正アクセスの被害公表 トレードワークスも

岡藤日産証券ホールディングスは6/10、「不正アクセスによるオンライントレードシステムの障害発生に関するお知らせ(4)」を公表しました。やはり、システムをASPで提供しているのはトレードワークスだったようで、同社も同日、「当社提供システムにおける不正アクセス事象の調査結果のご報告」を公表しています。

被害の状況

第三者の外部専門機関による調査を行った結果、これまで実施した調査においては、情報へのアクセスや収集、内外部への転送等、流出を示唆する痕跡は確認できなかったということです。以下、判明している事実です。

不正アクセスの状況全般、データ通信記録、個人情報の保管状況、及びデータ流出経路の可能性の考察の結果、不正アクセスにより暗号化されたファイルに個人情報は含まれていなかった。

持ち出し可能であったデータは存在するものの、これらが持ち出されたという痕跡は確認されなかった。データベースに保管された個人情報が持ち出された可能性は極めて低いものであると考えられる。

システムの状況

ファイルを暗号化されるという被害はあったものの、個人情報は無傷で、持ち出された可能性もほぼなし。どうやらそういうことのようです。まぁ、不幸中の幸いでしたね。

ただし、その後のシステムの状況についてですが、「システム復旧、サービス再開時期につきましては、決定次第、改めてお知らせいたします。」となっています。トレードシステムはまだ復旧してないんですね。