原子力規制委員会 またまた情報漏洩

原子力規制委員会は1/15、同委員会が開催を予定している説明会の案内メールを送付する際に、誤送信が発生し、核燃料等使用者のメールアドレス111件が外部流出したことを明らかにしました。同委員会、これで情報漏洩3発目ですね。

2020年6月

6/2 放射線防護企画課の職員が、在宅勤務中の課内職員の個人用メールアドレス宛にメールを送信。その際、当該個人用メールアドレスに誤りがあり、第三者(1名)に誤送信してしまいました。この第三者あてに送信したメールは4月以降計48通で、個人情報も含まれていたとのこと。

2020年10月

10/27 同委員会が運用する内部情報システムがサイバー攻撃を受けたことを公表。その1か月後には非公開資料などが閲覧された可能性があることが分かった。この時点ではまだ外部との連絡にメールが使えていない状況でした。警視庁が不正アクセス禁止法違反容疑で捜査を開始したとされていましたが、、、その後新しい公表されていません。

2021年1月

そして今回1/15、メールの誤送信です。ここ半年間ほどの間に情報セキュリティ絡みの事件がこれだけ起きているのに、なんと今回の誤送信の原因、「BCC」形式で送信するべきところ「TO」形式で送信したというもの。超脱力系誤送信ですね。加えて「BCC」以外の入力がないことを複数名で確認するというルールも守られてなかったと。。。

ちなみに、、、もう少し遡ると、2019年7月にもメール誤送信により、新卒採用活動における個人情報(メールアドレス)250件の漏えいを起こしています。この時も全てのメールアドレスを「宛先(TO)」に入力して送信したためでした。。。ん~、この組織ダメみたい。

病院のサイバー対策 大丈夫か厚生労働省

1/5付け日本経済新聞の記事です。「病院のサイバー対策強化 厚労省が指針改定へ 攻撃・漏洩恐れあれば報告」というタイトルで、2005年に策定した情報セキュリティのガイドラインを改定すると伝えています。しかし、今頃こんなことやってるのってどうよ、って感じです。

ガイドライン改定のポイント

記事では改定のポイントも4点まとめられているんですが、どれもこれも目新しさがないというか、これまでこの程度のことも盛り込めてなかったのかと驚かされます。攻撃を受けた際の報告や2要素認証の採用、ネットワークの監視システムの導入、標的型攻撃への対策などを求める内容です。

産業界の中でも特に医療界は取組みが遅れているようですね。病院のセキュリティに対する危機感は乏しい、という有識者の言葉も紹介されていました。そのうえ監督官庁である厚労省までがこの始末です。

ランサムウェアを仕込む奴らの目線

海外ではランサムウェアの餌食になる病院が後を絶ちません。日本は大丈夫だろうという意識はもう通用しません。仕掛ける奴らにとっては、身代金を払ってくれそうな相手なら何でもいいわけです。

ただでさえ人の命を預かっている病院。そこへ新型コロナ。。。新型コロナの重症者を受け入れている病院では人工肺などの医療機器がフルに使用されています。こうした医療機器もデジタル化されてるでしょうから、制御装置を停止させることで身代金を要求、なんてことも起こりかねません。

他の病気であっても一緒ではありますが、今は特にコロナ患者を死なせてしまうことはニュース性もあり、つけ込みやすい弱み。同じ日の日経には、「都立病院を重点拠点に」という記事もありました。14の都立病院、公社病院と説明されていて、コロナ患者を受け入れる病院(標的)まで報道され始めています。

今、日本の病院は非常に危険な状況にあると思います。厚労省の動きを待つことなく、サイバー対策を進めてほしいものです。

楽天 148万件の情報流出の可能性 楽天市場 楽天カード 楽天Edy

楽天は148万件の企業・個人の情報が流出したおそれがあることを公表しました。データを管理する外部のクラウドシステムのセキュリティー設定で、人的ミスがあったといいます。なんと恐ろしいことに、この設定ミス、約5年間続いていて、外部からのアクセスが可能な状態だったそうです。

流出した情報

大きくは楽天市場、楽天カード、楽天Edyから情報流出としています。楽天市場においては楽天市場への法人向け資料請求者および店舗情報が。楽天カードにおいては事業者向けビジネスローン申込者情報。楽天Edyにおいては故障した端末の残高移行サービス申込者情報が、それぞれ流出した可能性があるということです。

クラウドにおける設定ミス

楽天のお知らせでは、社外のクラウド型営業管理システムの利用におけるセキュリティ設定の不備、、、と表現されていますが、どうやらこれ、セールスフォース・ドットコムのクラウドサービスのようですね。このサービスを使う企業は結構多いらしいです。

報道ではあまり見ませんが、12/7、加盟店に関する情報などを管理するシステムが不正アクセスを受けていたことを公表したPayPayも、同じセールスフォースのサービスを利用していたみたいです。

PayPayの方は「第三者からの不正アクセスを受けた」という表現をしていましたが、楽天のお知らせでは「不正アクセス」という言葉は使われていませんでした。あくまで「社外の第三者による海外からのアクセス」と表現しています。

セキュリティの設定を間違えていて、社外からもアクセスできるよう扉を開けてたんだから、アクセスは不正とは言えない。。。そんな判断もあったんでしょうかね。

いずれにせよ、セールスフォース・ドットコムのクラウドサービスが狙われているのは確かでしょう。この後も同様の情報流出のニュースが出てくるかもしれません。ご利用企業のシステム担当者の皆さんは速やかに設定の点検を!!!

EXILE LDH JAPAN サイバー攻撃 クレジットカード情報流出

LDH JAPANは12/8、同社が運営するオンラインショップ「EXILE TRIBE STATION ONLINE SHOP」がサイバー攻撃を受け、同サイトでクレジットカード情報の登録を行った4万4,663名のカード情報について流出が確認されたことを公表しました。

流出の概要

個人情報流出の可能性があるのは、8/18~10/15の期間中に同SHOPにおいて、新規にクレジットカード情報を会員登録した顧客、又は既に会員登録により登録済みのクレジットカード番号を変更した顧客、計44,663名のクレジットカード情報だそうです。

流出した情報は、クレジットカード名義人、クレジットカード番号、有効期限、セキュリティコードとしています。サイバー攻撃を受けて個人情報が流出する事件は増加していますが、多くの場合クレジットカード情報は別会社で管理されており、流出を免れていました。

今回のケースはモロにクレジットカード情報が流出。おまけにセキュリティコードまで。さらに、11/27時点で、少なくとも209名の顧客のカードが不正利用をされた可能性があるとクレジットカード会社から報告を受けているとのこと。

既にそこから2週間が経過しており、不正利用の被害は拡大していると思われます。これは相当ヤバい事故ですね。実際に不正利用が確認されているだけに、4万名を超える情報流出は、「可能性」ではなく、確実に流出していそうです。

「EXILE TRIBE STATION ONLINE SHOP」といいますから、エグザイルのチケットやらグッズを販売するサイトなんだと思われます。今現在は情報漏えいに関するQ&Aなど、しっかりした情報提供がされていますが、いかんせん情報開示が遅すぎでした。

総務省 e-Gov システム障害

政府の行政ポータルサイト「e-Gov」の電子申請システムがリニューアルで不具合発生です。行政手続きをネットで行える「e-Gov電子申請」で、別の申請者の基本情報が表示される事象があったようです。この事象、11/24~11/26の間で10件確認されたということです。

e-Govリニューアル

いつもお世話になっているe-Govなんですが、kuniの場合は「e-Gov法令検索」しか使わないので、電子申請の方の不具合には全く気が付きませんでした。11/24にリニューアル、その途端に障害発生ですね。3連休で新システム稼働への準備をしたんでしょうが、、、。

まぁ、障害が起きるのはしょうがないです。問題は障害発生後の対応。11/26には不具合修正を完了し、同様の事象が発生しないことを確認済みとしています。

個人情報漏えい

申請者の入力画面に別の申請者の情報が表示される事象。つまり個人情報の漏えいですね。総務省の発表では「個人情報(法人の担当者氏名及びメールアドレス)」としか説明されていなくて、詳細は分かりません。

が、10件発生して、「ご迷惑をおかけした関係者に対し、事実の報告及び謝罪を行っております」としていますのでまぁ、これはこれで収まるんでしょう。3日間で10件しか利用されなかった、、、の方が問題かも。

e-Govでは個人情報が誤表示される事象以外にも、ウェブサイトが正しく表示されなかったり、ファイルをアップロードするとエラーが発生したりといった不具合も出ているようです。こちらの不具合についてはまだ解消しきれてないようですね。

既に2週間が経過しているんですが、サイトのどの画面で何を行った場合に、どういうエラーが起きるのか。こういう具体的な案内をどんどん掲載していかないと、サポートデスクがパンクしちゃいますよ。