エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン

（ダイジェスト版）

1. 背景と導入:  

モバイルデバイスは、個人の通信デバイスから企業の主要なツールへと進化してきました。これらのデバイスは、機密データの処理やネットワークへのアクセスに使用されています。そのため、セキュリティの確保が不可欠となっています。このガイドラインは、企業がモバイルデバイスのセキュリティリスクを理解し、適切な対策を講じるためのものです。

2. モバイルデバイスの特性:

現代のモバイルデバイスは、通信や情報へのアクセスを提供するだけでなく、企業のネットワークやシステムにアクセスするためのプラットフォームとしても機能します。これには、スマートフォンやタブレットなどのデバイスが含まれます。これらのデバイスは、高度な計算能力とストレージ容量を持ち、クラウドサービスやエンタープライズリソースにアクセスする能力を持っています。そのため、これらのデバイスのセキュリティは、企業のITセキュリティ全体の一部として考慮されるべきです。

3. セキュリティ上の懸念:

モバイルデバイスの普及に伴い、モバイルマルウェアや脆弱性が増加しています。これらの脅威は、デバイス、モバイルアプリ、ネットワーク、管理インフラストラクチャに影響を及ぼす可能性があります。特に、公共のWi-Fiネットワークを使用する際のリスクや、不正なアプリケーションのインストールによるリスクが高まっています。さらに、デバイスの物理的な紛失や盗難も、データ漏洩のリスクを増加させる要因となります。

4. セキュリティ技術: 

モバイルデバイスのセキュリティを強化するための技術として、エンタープライズモビリティ管理 (EMM)、モバイル脅威防御 (MTD)、モバイルアプリケーション審査 (MAV) などがあります。これらの技術は、デバイスの管理、アプリケーションのセキュリティ、データの保護、ネットワークのセキュリティを強化するために使用されます。EMMは、デバイスの設定、アプリケーションの配布、データの保護を一元的に管理するためのソリューションを提供します。MTDは、モバイルデバイス上の脅威を検出し、対応するための技術です。MAVは、モバイルアプリケーションのセキュリティを評価するためのプロセスやツールを提供します。

5. 対策とカウンターメジャー:

モバイルデバイスのセキュリティリスクを軽減するための推奨対策として、EMM技術の導入、ソフトウェアの迅速な更新、OSとアプリの隔離、モバイルアプリケーションの審査、モバイル脅威防御、ユーザー教育などが挙げられます。特に、ユーザー教育は、セキュリティインシデントの発生を防ぐ上で非常に重要です。ユーザーは、セキュリティのベストプラクティスやポリシーを理解し、適切に遵守する必要があります。

6. モバイルデバイスのライフサイクル:

モバイルデバイスのセキュリティを維持するためには、デバイスのライフサイクル全体を通じて一貫したアプローチが必要です。これには、要件の特定、リスク評価、モビリティ戦略の実装、運用と保守、デバイスの廃棄や再利用が含まれます。デバイスの適切な廃棄は、機密データの漏洩を防ぐために特に重要です。デバイスの再利用やリサイクルの際にも、データの完全な消去やデバイスのリセットが必要です。

7. 結論:

モバイルデバイスは企業のIT環境において不可欠な存在となっています。そのため、これらのデバイスを安全に管理・利用するための適切なガイドラインと戦略の導入が求められています。NISTのこのガイドラインは、モバイルデバイスのセキュリティを向上させるための実用的なアドバイスを提供しています。企業は、このガイドラインを参考にして、モバイルデバイスのセキュリティポリシーとプロセスを策定・実施することが推奨されます。このガイドラインを適切に適用することで、企業はモバイルデバイスを安全に使用し、ビジネスの効率と生産性を向上させることができます。

参考：NIST SP 800-124 Rev.2 エンタープライズにおけるモバイルデバイスセキュリティ管理ガイドライン (2023.05.17)

出典：Guidelines for Managing the Security of Mobile Devices in the Enterprise

【セキュリティ事件簿#2023-267】茨城県 茨城県発達障害者支援センターにおける個人情報の漏洩について 2023年7月14日

茨城県が社会福祉法人同仁会に委託して実施している茨城県発達障害者支援センター「COLORS つくば」において、個人情報が漏洩する事案が発生いたしました。

今後二度と同様の事案が発生しないよう、再発防止に努めてまいります。

１ 概要

（１）状況

• 市町村職員向け研修の実施にあたって、申込みの受付を Google フォームにより行ったが、誤って申込者全員の情報が Google フォーム上から確認できる状態になっていた。
• 研修当日の７月 12 日に、参加者から問合せがあって申込時の情報を確認したことから、設定の誤りに気付いた。
• 申込は６月 12 日に開始し、７月３日に締め切ったが、Google フォーム上から確認できる状態は、７月 12 日の午前 11 時頃まで続いていた。

※既に申込者全員に対して、状況を説明し、謝罪しております。

（２）漏えい件数

研修申込者の氏名、所属、年代、メールアドレス、電話番号 58 人分

２ 原因

Google フォーム作成時に、設定の確認を十分に行わなかったため。

３ 再発防止策

委託先である社会福祉法人同仁会に対し、以下の再発防止策等の徹底を指示する。

• Web フォーム作成時には、複数職員で確認を行う。
• Web フォーム作成ツールに不慣れな職員も対応できるように、マニュアルを作成し、適切な利用を徹底する。
• その他の業務においても、個人情報保護に必要な措置の点検を行い、改めて職員に対する教育を行う。

また、他の委託事業者に対しても、個人情報の取扱いについて、改めて内部における責任体制を明確にし、管理を徹底することを求める。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-266】東谷株式会社 弊社が運営する「fkolme.com」への不正アクセスによる 個人情報漏えいに関するお詫びとお知らせ 2023年7月18日

このたび、弊社が運営する「fkolme.com」におきまして、第三者による不正アクセスを受け、お客様のクレジットカード情報（46件）が漏洩した可能性があることが判明いたしました。

お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。

なお、個人情報が漏洩した可能性のあるお客様には、本日より、電子メールおよび書状にてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

1. 経緯

2023年1月12日、お客様のクレジットカード情報の漏洩懸念に気づき、2023年1月16日弊社が運営する「fkolme.com」でのカード決済を停止いたしました。

同時に、第三者調査機関による調査も開始いたしました。2023年4月24日、調査機関による調査が完了し、2022年11月11日～2023年1月13日の期間に　「fkolme.com」で購入されたお客様クレジットカード情報が漏洩し、一部のお客様のクレジットカード情報が不正利用された可能性があることを確認いたしました。

以上の事実が確認できたため、本日の発表に至りました。

2. 個人情報漏洩状況

(1)原因

弊社が運営する「fkolme.com」のシステムの一部の脆弱性をついたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたため。

(2)個人情報漏洩の可能性があるお客様

2022年11月11日～2023年1月13日の期間に「fkolme.com」においてクレジットカード決済を行ったお客様37名で、漏洩した可能性のある情報は以下のとおりです。

• カード名義人名
• クレジットカード番号
• 有効期限
• セキュリティコード
• サイトログインID
• サイトログインパスワード

上記に該当する37名のお客様については、別途、電子メールおよび書状にて個別にご連絡申し上げます。

3. お客様へのお願い

既に弊社では、クレジットカード会社と連携し、漏洩した可能性のあるクレジットカードによる取引のモニタリングを継続して実施し、不正利用の防止に努めております。

お客様におかれましても、誠に恐縮ではございますがクレジットカードのご利用明細書に身に覚えのない請求項目がないか、今一度ご確認をお願いいたします。万が一、身に覚えのない請求項目の記載があった場合は、たいへんお手数ですが同クレジットカードの裏面に記載のカード会社にお問合せいただきますよう、併せてお願い申し上げます。

特定できているクレジットカード情報以外のカード再発行をご希望される場合の手数料につきましては、クレジットカード会社により対応が異なります。お客様ご負担での差し替えをご案内された場合、お手数ではございますが、弊社相談窓口へご連絡ください。

4. 公表が遅れた経緯について

2023年1月12日の漏洩懸念から今回の案内に至るまで、時間を要しましたことを深くお詫び申し上げます。

本来であれば疑いがある時点でお客様にご連絡し、注意を喚起するとともにお詫び申し上げるところではございましたが、不確定な情報の公開はいたずらに混乱を招き、お客様へのご迷惑を最小限に食い止める対応準備を整えてからの告知が不可欠であると判断し、発表は調査会社の調査結果、およびカード会社との連携を待ってから行うことに致しました。

今回の発表までお時間をいただきましたこと、重ねてお詫び申し上げます。

5. 再発防止策ならびに弊社が運営するサイトの再開について

弊社はこのたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。

改修後の「fkolme.com」の再開日につきましては、決定次第、改めてWebサイト上にてお知らせいたします。

また、弊社は今回の不正アクセスにつきまして、監督官庁である個人情報保護委員会には2023年6月26日に報告済みであり、また、所轄警察署にも2023年5月1日被害申告しており、今後捜査にも全面的に協力してまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-230】ヤマハ株式会社 米国子会社への不正アクセスについて（第 2 報） 2023 年 7 月 20 日

 

当社の米国販売子会社であるヤマハ・コーポレーション・オブ・アメリカ（YCA）で発生したランサムウェア（身代金要求型ウイルス）感染について、被害状況の調査が終了しました。また、本件を契機に当社グループ全拠点のネットワークセキュリティについても調査を行ったところ、新たな不正アクセスを確認しましたので、お知らせいたします。

１．YCA への不正アクセスの被害および対応

第１報でお伝えしておりますように、YCA ではランサムウェアに感染した機器のネットワーク接続を速やかに遮断した上で、安全対策を施して復旧し、現在は通常通り営業しています。その後の調査の結果、お客様やお取引先、従業員の個人情報の漏洩はなかったことを確認しております。

２．新たに確認した不正アクセスの被害

 カナダの当社販売子会社であるヤマハ・カナダ・ミュージック（YC）でも同時期に第三者による不正アクセスがあり、現地の従業員や直営音楽教室・お取引先の個人情報が窃取されたことを確認しました。YC では情報漏洩の可能性のある関係者に周知・注意喚起を行い、現地の警察にも通報をしております。なお、YC は不正アクセスを確認後、直ちに全てのシステムのネットワーク接続を遮断して安全対策を講じ、すでに復旧を終え、現在は通常通り営業しております。

３．その他拠点の状況

 ヤマハグループの国内拠点 15 箇所、海外拠点 40 箇所のネットワークについて調査を行いましたが、YCA と YC 以外に不正アクセスの被害はありませんでした。また、日本国内をはじめ当社グループの他拠点のシステムへの影響はありませんでした。

今回の事態を受け、当社ではグループ全拠点のシステムにおけるセキュリティ強化、アカウント管理の徹底、従業員へのセキュリティ教育を改めて実施してまいります。お客様をはじめ、関係する皆様にご心配とご迷惑をおかけしましたことを深くお詫び申し上げます。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-265】ライフイズテック株式会社 申込者宛当選メール誤送信による個人情報漏洩に係るお知らせとお詫び 2023年6月29日

ライフイズテック株式会社が、本事業の主催者の名古屋市から受託した中学⽣起業家育成事業「ナゴヤスタートアップ 1DAY」において、当選者（イベント参加予定者）へのメールを異なる当選者名宛で送信したことが判明しました。

本件は原因を既に特定し、当該原因への対応、対象となる⽅へのお詫びとご報告は完了しておりますが、お申し込み頂いたお客様をはじめ関係者の皆様に多⼤なるご迷惑、ご⼼配をおかけいたしましたことを深くお詫び申し上げます。

また、事業運営者として、今回の事態を重く受け⽌め、再発防⽌策を徹底して参ります。

本件の経緯等について下記のとおりご報告いたします。

1.経緯

2023年6⽉28⽇18時47分にナゴヤスタートアップ 1DAY初級コースの当選者宛に「当選メール」を⼀⻫に送信いたしました。その後19時19分に、メールを受領されたお客様からご連絡をいただき、誤送信が発覚しました。

調査の結果、イベント当選者の中で11名の⽅に対して誤った宛名でメールをお送りしていたことが判明しました。

なお、現時点では今回の事態による被害の報告はございません。

2. 情報を閲覧できる可能性のあった⽅の数

異なる宛名のメールをお送りした⽅ 11名

3. 情報を閲覧される可能性のあった⽅の数

異なる宛名のメールをお送りした⽅ 11名

4. 閲覧された可能性のある個⼈情報

申し込み登録いただいた参加中学⽣の⽒名および当選⽇時・コース

5. 本件の原因について

当選者の⽅々のリストを作成し、そのリスト情報に基づき⼀⻫メール送信プログラムを⽤いて当選メールをお送りしました。この作業過程において、11名の⽅々の宛先メールアドレスに対して、異なる当選者の宛名等情報が掲載されて送信される事態が⽣じました。

要因としては、⼀⻫送信作業中に⼀部の⽅のメールアドレスに誤登録が発⾒されたことを受け、本来お申込フォームに登録いただいた情報から機械的に参照してリスト作成するべきところ、宛先メールアドレス情報のみ⼿動で転記修正しました。その際に⾏のずれが発⽣し、誤送信に⾄りました。

6. 今後の対応について

第⼀に再発防⽌を徹底いたします。また、今回誤送信した宛名等の情報が悪⽤される等の事態が発⽣した場合には、各種法令に従い、関係者と連携し、適切な措置を講じてまいります。

7. 再発防⽌策

同様の事案が起きることがないよう、改めて確認体制・業務フローの⾒直しを⾏います。

1. 本事案発⽣の要因となった、⼿作業による個⼈情報を含むリスト作成を必要としない業務フローを構築します。
2. ⼀⻫メール送信時に、宛先メールアドレスの誤登録等が発覚した際も、それ以外の宛先に対してのみ⼀⻫送信を⾏うと共に、誤登録先については、申込者に確認を取るとの個別対応に当たるよう徹底して参ります。
3. これらの対応が徹底されるよう、作業者と監督者を含むチームで作業に当たり、完遂に⾄るまで⼿順確認と監督が図られるオペレーションを構築して参ります。

また、本件の原因と対策について社内で周知徹底を⾏うとともに、個⼈情報保護及び情報セキュリティ教育の内容やナレッジの共有⽅法を⾒直します。

この度はご迷惑とご⼼配をおかけして、⼤変申し訳ございません。関係者の皆様のご不安の解消と今後の再発防⽌に努めてまいります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-264】大阪教育大学 電子メール転送先ミスによる情報漏えいについて 2023年7月14日

この度、本学職員による電子メールアドレスの転送先設定ミスにより、個人情報を含む電子メールが学外に漏えいする事案が発生しました。

このような事案が発生し、関係者の皆様に多大なご迷惑をおかけすることとなり、深くお詫び申し上げます。事態を重く受け止め、電子メールの運用方法見直しや注意喚起等を行い、再発防止に努めていく所存です。

なお、既に当該電子メールアカウントにおける電子メール転送設定は停止しているほか、現時点では、電子メールの内容の悪用等の事実は確認されておりません。 また、この事案に関して個人情報の漏えいに該当する方に対しては、個別にお詫びと状況説明を行っているところです。

経緯

1. 2018年4月24日（火）に、本学職員が大学の電子メールアカウントからGmailへの自動転送設定を行った際に転送先電子メールアドレスのドメインを「@gmail」とすべきところを誤って「@gmeil」としていた。
2. 2023年2月1日（水）に、転送先電子メールが存在しない旨のエラーがあり、改めて転送先電子メールアドレスの確認を行い、ミスに気付いた。
3. 2023年2月1日（水）に、電子メール転送設定を停止した。
4. 2023年2月3日（金）に、電子メールサーバにて、本学発行電子メールアドレスに関するログを点検し、ドッペルゲンガードメイン(情報を詐取する悪質なドメイン)へ転送されている事を確認した。
5. 2023年2月3日（金）に、電子メールログの点検を実施。直近1ヵ月に当該事案以外の同一ドメインへの転送が無いことを確認した。

漏えいした情報

誤送信メール件数…4,511件

うち、電子メールおよび添付ファイルに含まれている個人情報等…1,793件

• 学内教職員…1,191件
• 学内学生…85件
• 学外関係者…504件
• 不明(送信不可で返送されたもの)…13件

リリース文（アーカイブ）

【セキュリティ事件簿#2023-165】日本コンクリート工業株式会社 ランサムウェア被害の調査結果について 2023 年 7 月 7 日

今般のランサムウェア感染被害につきましては、皆様に多大なるご心配とご迷惑をおかけし、誠に申し訳ありません。

この影響による決算関連業務の遅延により、2023 年 6 月 29 日開催の第 92 回定時株主総会で計算書類等の報告が出来ず、7 月 28 日開催の継続会で報告する予定であり、有価証券報告書の提出も 7 月 28 日まで約 1 ヶ月延期いたしました。

本件被害発生以来、外部専門家による調査と復旧に向けた作業を行ってまいりましたが、調査結果が報告されたことから、現時点での状況をご説明いたします。

１． 調査結果概要

• 調査機関 外部専門家（サイバーセキュリティ―、ウィルス感染対応の専門業者）
• 調査目的 感染原因経路調査、サーバー感染有無、クライアント PC 影響確認等

(1)感染原因

• 外部攻撃者によるファイアウォール VPN 機能の既知の脆弱性を衝いた不正アクセス。
• 不正アクセスは 5 月 3 日(水)から開始され、5 月 5 日(金)深夜に本格化。
• 攻撃者はネットワークに侵入後、パスワード総当たり攻撃で管理者パスワードを取得、情報資産にログインし順次ランサムウェアによる暗号化を展開。

(2)感染被害状況

• 調査対象サーバー15 台中 11 台が暗号化。
• PC は 100 台中 5 台にアクセスを試みた形跡が認められたが、全台感染していないことを確認。
• 暗号化されたファイルの復号（暗号の解除）は不可能（現時点で復号のためのキー情報が解明されていない）。

(3)データ漏洩

• 侵害期間における大量のデータ外部流出の痕跡はなく、現時点で具体的な情報漏洩の事実は確認されていない。また、今回のランサムウェアは、様々なセキュリティーベンダーのレポートでデータ持出しをしないことが確認されている。
  ⇒当社としては現時点で情報漏洩は無いものと判断しております。

(4)再発防止策

• ファイアウォールのセキュリティー強化
• 全サーバーへのアンチウィルスソフトのインストール
• セキュリティーポリシーの変更
• ファイルサーバーのバックアップ方法の再検討
• セキュリティー製品の導入

２． システム復旧について

(1) 基本対応方針

• 業務システムの大部分が暗号化され復号不可能であることから、現行システムの完全復旧は困難と判断し、以前より計画していた新システムへの移行(2024 年 4 月予定)を進める。
• 新システム稼働までの間は、暫定的なデータ入力方法を構築することで感染を免れたシステムを継続利用し、現時点で再稼働している経理システムに繋げる。

(2) スケジュール概要

• 経理システムの各事業所での利用再開 本社：6 月 1 日、事業所：7 月 3 日
• 社内ネットワーク復旧 8 月 1 日
• 第 1 四半期（4～6 月）データ入力作業 8～9 月
• 第 1 四半期決算作業 10～11 月（予定）
• 新システム稼働 2024 年 4 月（予定）

※スケジュールについては現時点での計画であり、変更になる場合があります。

リリース文（アーカイブ）

【セキュリティ事件簿#2023-263】角川アスキー総合研究所 弊社サイトから強制的に別サイトに移動する現象について 2023年07月10日

いつも弊社の媒体をご覧いただきありがとうございます。

先週末より、ASCIIブランドのサイトをスマートフォンなどで閲覧しようとした際、「〇〇名様当選のロイヤリティプログラムに選ばれました」などと書かれた外部のサイトに強制的に遷移する現象が発生しております。

遷移先のサイトでは「懸賞への当選」を称し、アンケート回答や個人情報の入力を促しています。こういったサイトが表示された際には、絶対に入力せず、該当するページをすぐ閉じてください。

これは、「リダイレクト広告」と呼ばれるもので、サイト内に設置してあるネットワーク広告の配信システムを悪用し、個人情報などを入力させる詐欺サイトなどに誘導する悪質なものとなっております。弊社の意図する挙動ではございません。

同様の問題は、ASCII.jpと同じネットワーク広告の仕組みを導入しているウェブサイトでも7月以降発生しております。

弊社では、悪用を行ったとみられる特定の広告を遮断しましたが、同様の現象が再発しないよう、ネットワーク広告事業者側と共に調査・改修をしていく所存でございます。

また、弊社サイトおよび他のウェブサイトを含め、今後も同様の現象が発生した際には、不用意に個人情報などの入力をしないようお願いいたします。

読者および関係者の皆様にご心配とご不便をおかけしますが、何卒よろしくお願いいたします。

追記(1)：2023年7月10日の19：00以降に、同じ事象が再度発生しているようです。引き続き対応に努めてまいりますが、サイトが表示された際には、アンケート回答／個人情報の入力などはせず、すぐに閉じていただきますようお願いいたします。（2023年7月10日）

追記(2)：外部のネットワーク広告事業者からの広告配信を止める作業が、昨日の午後に完了しました。以降、問題の再現はないようですが、引き続きご注意いただくようお願いいたします。（2023年7月12日）

リリース文（アーカイブ）