カテゴリー: I　C　T

政府の行政ポータルサイト「e-Gov」の電子申請システムがリニューアルで不具合発生です。行政手続きをネットで行える「e-Gov電子申請」で、別の申請者の基本情報が表示される事象があったようです。この事象、11/24～11/26の間で10件確認されたということです。

e-Govリニューアル

いつもお世話になっているe-Govなんですが、kuniの場合は「e-Gov法令検索」しか使わないので、電子申請の方の不具合には全く気が付きませんでした。11/24にリニューアル、その途端に障害発生ですね。3連休で新システム稼働への準備をしたんでしょうが、、、。

まぁ、障害が起きるのはしょうがないです。問題は障害発生後の対応。11/26には不具合修正を完了し、同様の事象が発生しないことを確認済みとしています。

個人情報漏えい

申請者の入力画面に別の申請者の情報が表示される事象。つまり個人情報の漏えいですね。総務省の発表では「個人情報（法人の担当者氏名及びメールアドレス）」としか説明されていなくて、詳細は分かりません。

が、10件発生して、「ご迷惑をおかけした関係者に対し、事実の報告及び謝罪を行っております」としていますのでまぁ、これはこれで収まるんでしょう。3日間で10件しか利用されなかった、、、の方が問題かも。

e-Govでは個人情報が誤表示される事象以外にも、ウェブサイトが正しく表示されなかったり、ファイルをアップロードするとエラーが発生したりといった不具合も出ているようです。こちらの不具合についてはまだ解消しきれてないようですね。

既に2週間が経過しているんですが、サイトのどの画面で何を行った場合に、どういうエラーが起きるのか。こういう具体的な案内をどんどん掲載していかないと、サポートデスクがパンクしちゃいますよ。

先週でしたか、日本経済新聞の1面トップに、「機密情報盗み身代金要求　暴露型ウイルス、1000社被害　1～10月　企業活動停滞も」という記事が掲載されました。暴露型ウイルスという定義はちょっとどうなんだろうとは思いますが、、、。とにかく被害メチャ拡大してます。

新型のランサムウエア

ランサムウエアといえば、被害企業等のパソコンやサーバなどのデータを暗号化し、データの復旧と引き換えに身代金を要求するものでした。最近増えてきたのがパソコンやサーバのデータを盗み、その後に元のデータを暗号化するというタイプです。こういうタイプのランサムウエアを暴露型と呼んでるようです。

直近で被害を受けた企業として、当ブログでも取り上げたカプコンが紹介されてます。米国のクラウドストライクという企業が実施した調査結果も伝えています。過去一年以内にランサムウェアの攻撃を受けた日本企業の32％が身代金を支払っていたそうです。平均支払額は1億2300万円で、42％が攻撃者との交渉を試みたとのこと。

サイバー対策費用など

日経ではここまでしか書いてなかったんですが、実は続きがあって、日本における過去3年間のDXに対する投資額は平均3億8400万円（366万ドル）。世界平均の486万ドルを下回っているそうです。

また、サイバーセキュリティへの平均投資額は4850万円（46万ドル）で、こちらも世界平均の61万ドルを大きく下回っています。DXへの投資額、セキュリティへの投資額、ともに世界平均の3/4というのは残念です。

さらに、コロナ禍でセキュリティに最新ツールを導入した日本企業の割合は世界平均よりも9ポイント低い39％にとどまり、調査対象国の中で最下位だったそうです。

※　ここでいう世界平均とは、調査対象とした米国をはじめ、イギリス、フランス等ヨーロッパ6カ国、中東、インド、シンガポール、オーストラリア、日本です。

東建コーポレーションは11/17、同社とグループ会社のネットワークが第三者による不正アクセスを受け、グループが保有する個人情報が外部に流出した可能性があることを公表しました。流出の可能性を確認したのは10/20としていますから、1ヶ月もかかっています。

最大657,096件

東建グループ全体で保有している個人情報（法人情報含む）を保管していたサーバーが狙われたということで、最大で65万件の情報が外部流出した可能性があるとのこと。東建コーポレーションはじめ、子会社のナスラック、柔道チャンネル、ホテル、ゴルフ場、ホームメイトなどなど。

サイトやらメルマガなどで登録された個人情報がダダ洩れです。同社ホームページでは各種サービス名と当該サービスにおいて、顧客のどのような個人情報が流出したのかが分かるようになっています。

が、しかし、このホームページに行かなければ、当然ですが何も分かりません。TDnetへの開示もしていません。おまけにこのニュースを伝えた日本経済新聞の11/18付け朝刊は、子会社のナスラックのサイト利用者の情報が流出という誤報に近い状況でした。

不正アクセスを受け、情報流出の可能性が判明したら、出来るだけ早く顧客にそれを伝えるべきです。自社のホームページでお知らせを掲載、、、だけではどうかと思います。

三菱電機も

三菱電機でも、同社が利用するクラウドサーバーがサイバー攻撃を受け、同社と取引のある国内企業や個人事業主の金融口座情報が流出した可能性があることを公表しています。最大で8,635件の金融機関情報が流出した可能性があるとのこと。同社もやはり開示はしていません。

そういえば、今年1月にも不正アクセス被害受けてましたよね、三菱電機。あの時も初報では大したことなかったけど、1か月後、実は防衛関係の情報が流出、、、みたいな展開でした。

Peatix Incは11/17、同社が提供するイベント管理アプリサービスPeatix（ピーティックス）にサイバー攻撃が発生し、最大で677万件の個人情報が外部流出した可能性があると公表しました。677万件は驚きです。

Peatix（ピーティックス）

ピーティックスはオンラインのイベント運営やチケット販売を手掛ける会社だそうです。自治体などもこのサービスを使っているケースがあるようで、宇都宮市と宮崎市、鹿児島県はそれぞれ、個人情報が流出した恐れがあると公表しました。

宇都宮市や宮崎市では、新型コロナウイルスで低迷する飲食店を支援するプレミアム付き商品券を、オンラインで購入した市民の氏名とメールアドレスが流出したようです。

事故の概要

10/16～10/17にかけて、外部からの不正アクセスが行われ、顧客の個人情報が流出した可能性があるとのこと。このことを認識したのが11/9だそうです。

流出した情報は、氏名やメールアドレス、暗号化されたパスワードなどが含まれているものの、クレジットカード情報やイベント参加情報などは流出していないとのこと。

既に情報が・・・

その後の情報で、流出したとみられる約200人分の情報がインターネット上で閲覧できる状態になっていることが18日、分かったようです。攻撃者が盗んだ情報を販売する目的で掲載したということですね。

掲載されていたのは「個人データベース販売」と題された英語のサイトで「ピーティックス」、「大部分が日本人」などの説明があり、「サンプル」の欄には約200人分の氏名とメールアドレスが記載されていたと。サイバー攻撃、マジでヤバい状況になってきました。

こうして売られたリストを使用し、リスト型アカウントハッキングが仕掛けられ、パスワードの使い回しや安易なパスワードを使用している人が、また大勢被害にあうことになります。マジでヤバいです。

11/4に不正アクセスによるシステム障害発生を公表していたカプコン。11/16には、現時点で判明している被害の状況について公表しています。巷で言われていたように、やはりランサムウェアによる被害を受けていました。最大36.4万件の個人情報が流出した可能性もあるとのこと。

Ragnar Locker

このランサムウェアは「Ragnar Locker」と呼ばれており、この攻撃を仕掛けたグループ名でもあるようです。同グループは11/9に犯行声明を公開しています。Ragnar Lockerの実行ファイルのデジタル署名はロシアの企業になっているなどという話も。

企業名を名指しで脅迫するメッセージを表示するようにできており、あらかじめカプコンだけを標的にして準備されたランサムウェアということです。サーバを破壊し、データを暗号化すると同時に、1テラバイトのデータを犯行グループへ送信しています。さらにはアクセスログの抹消まで。

こうして抜き取られたデータのうち、9件の個人情報と企業情報の一部が公開サイトに晒されており、これ以外のデータ（個人情報等）を公開されたくなかったら、仮想通貨で身代金を払えという要求をしてきています。

このあとの展開は

犯行声明において、1テラバイトの情報を抜いたと言っているので、おそらく冒頭の個人情報36.4万件は大きく外れてないんでしょう。身代金を要求されているカプコンとしても、ここまでよく情報を開示してきたと思います。

日本、米国の警察当局とも連携し、大手セキュリティベンダにも協力を仰いで全容解明に取り組んでいるようです。これだけ大きな被害が出たうえ、ここまで情報が開示されるのは珍しいケース。もちろんこの後は捜査の関係で情報が一旦出て来なくなるでしょうが。。。

最新の情報では、身代金は11億円といわれており、カプコンはその要求に応じていないとのことです。