カテゴリー: I　C　T

1/5付け日本経済新聞の記事です。「病院のサイバー対策強化　厚労省が指針改定へ　攻撃・漏洩恐れあれば報告」というタイトルで、2005年に策定した情報セキュリティのガイドラインを改定すると伝えています。しかし、今頃こんなことやってるのってどうよ、って感じです。

ガイドライン改定のポイント

記事では改定のポイントも4点まとめられているんですが、どれもこれも目新しさがないというか、これまでこの程度のことも盛り込めてなかったのかと驚かされます。攻撃を受けた際の報告や2要素認証の採用、ネットワークの監視システムの導入、標的型攻撃への対策などを求める内容です。

産業界の中でも特に医療界は取組みが遅れているようですね。病院のセキュリティに対する危機感は乏しい、という有識者の言葉も紹介されていました。そのうえ監督官庁である厚労省までがこの始末です。

ランサムウェアを仕込む奴らの目線

海外ではランサムウェアの餌食になる病院が後を絶ちません。日本は大丈夫だろうという意識はもう通用しません。仕掛ける奴らにとっては、身代金を払ってくれそうな相手なら何でもいいわけです。

ただでさえ人の命を預かっている病院。そこへ新型コロナ。。。新型コロナの重症者を受け入れている病院では人工肺などの医療機器がフルに使用されています。こうした医療機器もデジタル化されてるでしょうから、制御装置を停止させることで身代金を要求、なんてことも起こりかねません。

他の病気であっても一緒ではありますが、今は特にコロナ患者を死なせてしまうことはニュース性もあり、つけ込みやすい弱み。同じ日の日経には、「都立病院を重点拠点に」という記事もありました。14の都立病院、公社病院と説明されていて、コロナ患者を受け入れる病院（標的）まで報道され始めています。

今、日本の病院は非常に危険な状況にあると思います。厚労省の動きを待つことなく、サイバー対策を進めてほしいものです。

楽天は148万件の企業・個人の情報が流出したおそれがあることを公表しました。データを管理する外部のクラウドシステムのセキュリティー設定で、人的ミスがあったといいます。なんと恐ろしいことに、この設定ミス、約5年間続いていて、外部からのアクセスが可能な状態だったそうです。

流出した情報

大きくは楽天市場、楽天カード、楽天Edyから情報流出としています。楽天市場においては楽天市場への法人向け資料請求者および店舗情報が。楽天カードにおいては事業者向けビジネスローン申込者情報。楽天Edyにおいては故障した端末の残高移行サービス申込者情報が、それぞれ流出した可能性があるということです。

クラウドにおける設定ミス

楽天のお知らせでは、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備、、、と表現されていますが、どうやらこれ、セールスフォース・ドットコムのクラウドサービスのようですね。このサービスを使う企業は結構多いらしいです。

報道ではあまり見ませんが、12/7、加盟店に関する情報などを管理するシステムが不正アクセスを受けていたことを公表したPayPayも、同じセールスフォースのサービスを利用していたみたいです。

PayPayの方は「第三者からの不正アクセスを受けた」という表現をしていましたが、楽天のお知らせでは「不正アクセス」という言葉は使われていませんでした。あくまで「社外の第三者による海外からのアクセス」と表現しています。

セキュリティの設定を間違えていて、社外からもアクセスできるよう扉を開けてたんだから、アクセスは不正とは言えない。。。そんな判断もあったんでしょうかね。

いずれにせよ、セールスフォース・ドットコムのクラウドサービスが狙われているのは確かでしょう。この後も同様の情報流出のニュースが出てくるかもしれません。ご利用企業のシステム担当者の皆さんは速やかに設定の点検を！！！

LDH JAPANは12/8、同社が運営するオンラインショップ「EXILE TRIBE STATION ONLINE SHOP」がサイバー攻撃を受け、同サイトでクレジットカード情報の登録を行った4万4,663名のカード情報について流出が確認されたことを公表しました。

流出の概要

個人情報流出の可能性があるのは、8/18～10/15の期間中に同SHOPにおいて、新規にクレジットカード情報を会員登録した顧客、又は既に会員登録により登録済みのクレジットカード番号を変更した顧客、計44,663名のクレジットカード情報だそうです。

流出した情報は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコードとしています。サイバー攻撃を受けて個人情報が流出する事件は増加していますが、多くの場合クレジットカード情報は別会社で管理されており、流出を免れていました。

今回のケースはモロにクレジットカード情報が流出。おまけにセキュリティコードまで。さらに、11/27時点で、少なくとも209名の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けているとのこと。

既にそこから2週間が経過しており、不正利用の被害は拡大していると思われます。これは相当ヤバい事故ですね。実際に不正利用が確認されているだけに、4万名を超える情報流出は、「可能性」ではなく、確実に流出していそうです。

「EXILE TRIBE STATION ONLINE SHOP」といいますから、エグザイルのチケットやらグッズを販売するサイトなんだと思われます。今現在は情報漏えいに関するQ&Aなど、しっかりした情報提供がされていますが、いかんせん情報開示が遅すぎでした。

政府の行政ポータルサイト「e-Gov」の電子申請システムがリニューアルで不具合発生です。行政手続きをネットで行える「e-Gov電子申請」で、別の申請者の基本情報が表示される事象があったようです。この事象、11/24～11/26の間で10件確認されたということです。

e-Govリニューアル

いつもお世話になっているe-Govなんですが、kuniの場合は「e-Gov法令検索」しか使わないので、電子申請の方の不具合には全く気が付きませんでした。11/24にリニューアル、その途端に障害発生ですね。3連休で新システム稼働への準備をしたんでしょうが、、、。

まぁ、障害が起きるのはしょうがないです。問題は障害発生後の対応。11/26には不具合修正を完了し、同様の事象が発生しないことを確認済みとしています。

個人情報漏えい

申請者の入力画面に別の申請者の情報が表示される事象。つまり個人情報の漏えいですね。総務省の発表では「個人情報（法人の担当者氏名及びメールアドレス）」としか説明されていなくて、詳細は分かりません。

が、10件発生して、「ご迷惑をおかけした関係者に対し、事実の報告及び謝罪を行っております」としていますのでまぁ、これはこれで収まるんでしょう。3日間で10件しか利用されなかった、、、の方が問題かも。

e-Govでは個人情報が誤表示される事象以外にも、ウェブサイトが正しく表示されなかったり、ファイルをアップロードするとエラーが発生したりといった不具合も出ているようです。こちらの不具合についてはまだ解消しきれてないようですね。

既に2週間が経過しているんですが、サイトのどの画面で何を行った場合に、どういうエラーが起きるのか。こういう具体的な案内をどんどん掲載していかないと、サポートデスクがパンクしちゃいますよ。

先週でしたか、日本経済新聞の1面トップに、「機密情報盗み身代金要求　暴露型ウイルス、1000社被害　1～10月　企業活動停滞も」という記事が掲載されました。暴露型ウイルスという定義はちょっとどうなんだろうとは思いますが、、、。とにかく被害メチャ拡大してます。

新型のランサムウエア

ランサムウエアといえば、被害企業等のパソコンやサーバなどのデータを暗号化し、データの復旧と引き換えに身代金を要求するものでした。最近増えてきたのがパソコンやサーバのデータを盗み、その後に元のデータを暗号化するというタイプです。こういうタイプのランサムウエアを暴露型と呼んでるようです。

直近で被害を受けた企業として、当ブログでも取り上げたカプコンが紹介されてます。米国のクラウドストライクという企業が実施した調査結果も伝えています。過去一年以内にランサムウェアの攻撃を受けた日本企業の32％が身代金を支払っていたそうです。平均支払額は1億2300万円で、42％が攻撃者との交渉を試みたとのこと。

サイバー対策費用など

日経ではここまでしか書いてなかったんですが、実は続きがあって、日本における過去3年間のDXに対する投資額は平均3億8400万円（366万ドル）。世界平均の486万ドルを下回っているそうです。

また、サイバーセキュリティへの平均投資額は4850万円（46万ドル）で、こちらも世界平均の61万ドルを大きく下回っています。DXへの投資額、セキュリティへの投資額、ともに世界平均の3/4というのは残念です。

さらに、コロナ禍でセキュリティに最新ツールを導入した日本企業の割合は世界平均よりも9ポイント低い39％にとどまり、調査対象国の中で最下位だったそうです。

※　ここでいう世界平均とは、調査対象とした米国をはじめ、イギリス、フランス等ヨーロッパ6カ国、中東、インド、シンガポール、オーストラリア、日本です。