タグ: サイバーセキュリティ

尼崎市 紛失したUSBメモリー その後

全市民約46万人の個人情報が記録されたUSBメモリーが紛失してしまったという事件。翌日には発見されて、情報の漏えいなどは今のところ確認されていないとか。けど、その後もこの事件をめぐって様々なお話が聞こえてきます。主に再発防止策に関連する話ですね。

スマホのGPS

わずか一日で発見に至った決め手は、スマートフォンの位置情報だったみたいですね。紛失した本人が警察と一緒にスマートフォンの位置情報を追い、吹田市内のマンション敷地内で見つけたんだそうです。当人が鞄にしまったときと同じ状態で発見され、パスワードは変わっていなかったということです。

ほぉ、なるほどね。と思っていたら、宮城県名取市が6/29、個人情報データを外部に持ち出す場合の専用ケースを導入すると発表しました。ダイヤルキー付きで、移動中の開封を制限するほか、衛星利用測位システム(GPS)で位置情報を追跡できるんだそう。この専用ケース1万円だそうです。

再発防止策

こうした事件や事故が発生すると、再発防止策を策定することになります。kuniも長年コンプラ関係の仕事していて、こういう光景に接してきました。もちろん対策の完成度が高ければ高いほど良いことなんですが、一方でこれってやりすぎじゃない?とか、対応すべきポイントずれてない?、みたいなこともよくあります。

名取市の対策は1万円の出費ということですから、過剰な対応とまでは言えないでしょうが、情報を持ち出し酔っぱらって、路上で寝てしまったという事件に対するものとしてはいかがなものかという感じがしますね。そもそも自分が持ち出した情報の重みを本人が十分に理解することの方が先でしょうよ。って感じです。

事故や事件はどんだけ防止しても起きてしまうもの。というアプローチを否定するわけではありません。しかし、紛失しても大丈夫。ってことを前提にするような対策ばかり用意しちゃってたら、人災はなくならないと思うんですが・・・。

株式会社LITALICO 不正アクセスによる被害発生

株式会社LITALICOは6/24、「不正アクセスによる被害発生について」を公表しました。同社及び同社子会社である株式会社LITALICOパートナーズが、2022年6月20日時点で第三者からの不正アクセスが行われたことを確認したということです。

株式会社LITALICO

LITALICOは就労を目指す障害者向けの就労支援サービスと、幼児から高校生までの発達障害などを抱えた子供への学習面などの支援を行っている企業です。首都圏を中心に全国主要都市に展開しており、法律に基づいた報酬を国から得るビジネスモデルなんだそうです。

不正アクセス

判明した不正会アクセスについて、社内調査を行った結果、Phobosの亜種と推定されるランサムウェアによる一部の社内データの暗号化と、一部の社内サーバーに対する不正アクセスの被害を受けたことが分かったといいます。

被害発生を認識後、速やかに警察への報告を行うとともに、被害の拡大防止策を講じた上で、社内チームと外部専門機関による調査・対応を行っているとのこと。現時点では、顧客の個人情報等の外部への流出は確認されていないようです。

ランサムウェアですから、感染した端末やそこに保存されているファイルを使用不能にし、その解除と引き換えに身代金(Ransome)を要求するマルウェアということですね。Phobosについては通常、攻撃者が要求する身代金が、他のランサムウェアよりはるかに低い金額であるため、被害者には安価に感じられ、支払われる可能性が高まると言われています。

LITALICOによる開示情報は上記のとおりですが、はたして要求された身代金を支払うんでしょうかね。身代金額を控えめにして支払わせる、、、しかしまぁ、いろんな仕掛け方してきますね。

尼崎市 紛失していたUSBメモリーを発見

兵庫県尼崎市は6/24、全市民の個人情報を記録したUSBメモリーが見つかったと公表しました。全市民約46万人の個人情報が記録されたUSBメモリーが6/23に紛失していたという件です。まぁ、とにかく見つかって良かったわけですが、紛失に至る経緯や管理の状況、酷かったみたいですね。

紛失の経緯

尼崎市から新型コロナウイルスの給付金支給業務を受託していたBIPROGY(ビプロジー、旧日本ユニシス)関西支社。そして同社から再委託を受けていた企業の社員が6/21、市に無断で個人情報をメモリーに複製し、大阪府吹田市にあるビプロジーのコールセンターでデータの移管作業を行いました。

19時ごろ作業を終え、その後従業員4人で飲食店に立ち寄り、19時半ごろから22時半ごろにかけて飲食。データを持ち歩いていた従業員は、飲酒により泥酔し、路上で眠り込み、目を覚ました6/22未明3時ごろ、USBメモリやスマートフォン、財布など入れていたカバンがないことに気がついたといいます。

いやぁ、まったくお粗末な話ですね。で、尼崎市のデータ管理の実態がいま、様々な批判を浴びているという状況です。紛失したUSBメモリーは発見され、パスワードやデータの暗号化に解除の跡などはみられなかったということです。

しかし、この後も専門業者に依頼して情報の漏えいなどの有無については調査を続けるようです。一連の問題に対する市民の批判は根強く、経緯を調べる第三者委員会も近く設置、1カ月後をめどに検証結果をまとめるとのこと。

他の自治体でも

システムの開発や運用管理の会社に対する情報管理の徹底。これって大変なんですよね。今回も委託先企業の再委託先企業の社員がやらかしています。システムの規模によってはさらに再々委託先も存在したりします。

情報管理のためのルールを周知・徹底するにもかなりの労力が必要なんです。伝言ゲームみたいなもんです。今回は尼崎市が叩かれていますが、その他の地方自治体のレベルも、こんなもんじゃないでしょうか。

FRONTEO 米国子会社へサイバー攻撃

FRONTEOは5/16、「当社米国子会社への不正アクセス発生について」を公表しました。米国子会社であるFRONTEO USA, Inc.において、FRONTEO USAのデータセンター上のデータにランサムウェアと見られる不正なアクセスがあったことを確認したということです。

FRONTEO

FRONTEOは、独自に開発した言語系人工知能(AI)エンジンを柱とするソリューションを提供する企業。AIエンジンとして、主にリーガル・ビジネス分野向けの「KIBIT(キビット)」とライフサイエンスに特化した「Concept Encoder(コンセプトエンコーダー)」を持っています。東証グロース市場上場企業です。

今月のサイバー攻撃

被害の状況等についてはいまだ開示されていません。セキュリティ関連部門および外部専門調査機関による詳細な調査を行っているといいますが、調査完了とFRONTEO USAでの業務復旧までにはしばらくの時間がかかる見込みとしています。

不正アクセスによる被害のみならず、今期の業績悪化の影響もあり、5/23にはストップ安となるなど、踏んだり蹴ったりですね。

今月の不正アクセス等を調べてみると、京都府を中心に賃貸用不動産の賃貸、管理を行う「長栄」や、特定領域の人材紹介を中心に人材サービス事業を展開する「クィック」、韓国などを主市場とする独立系自動車部品メーカー「GMB」などでも同様に、不正アクセスを受けたことを開示しています。

さらに、上場企業ではありませんが、日本経済新聞社は5/19、海外現地法人でシンガポールに拠点を置く日経グループアジア本社のサーバーが不正にアクセスされ、身代金要求型ウイルス「ランサムウエア」に感染したと発表しています。サイバー攻撃止まりませんね。皆さんの会社は大丈夫ですか?

株式会社フジミインコーポレーテッド 決算発表を延期

フジミインコーポレーテッドは4/20、「2022年3月期決算発表の延期に関するお知らせ」を公表しました。同社の子会社が受けたサイバー攻撃の影響により、決算手続に遅延が生じており、5/13に予定していた決算発表を延期するということです。

サイバー攻撃

同社の子会社である、FUJIMI Taiwan Limited がサイバー攻撃を受けたとの第1報は2/22に公表されました。その後3/2に第2報、3/29に第3報が公表されています。この3月末の時点で、生産、出荷数ともに攻撃を受ける前の水準に戻りつつあり、生産設備は全て稼働を開始したとしていました。

しかしながら、社内システムについては更なる確認が必要であり、今暫く時間を要する見込みということでした。このサイバー攻撃による顧客関連情報の流出や FUJIMI Taiwan Limited を除く同社グループ各社へのサイバー攻撃については、確認されてないようです。

第3報まできめ細かく開示されているんですが、サイバー攻撃そのものについてはほとんど触れられていません。システムのどの部分から侵入されたのか、といった攻撃内容についても公表した方が良いんですけどね。当局等との連携などにより、情報開示が制限されている可能性はありますが。

海外子会社がサイバー攻撃を受けたのが2/20。そこから2か月たった今でも社内システムは復旧しておらず、本体決算の取りまとめに影響が出ています。他社においてもこういう状況をしっかり認識し、自社においても起こりうる脅威として対処を進める必要がありますね。