雑記系ブログ。セキュリティとか、マイルとか、投資とか、、、 / Miscellaneous Blogs. Security, miles, investments, etc
【セキュリティ事件簿#2023-478】株式会社ダイヤモンド社 不正アクセスによる個人情報漏えいのおそれに関するお知らせとお詫び
【セキュリティ事件簿#2023-107】個人情報保護委員会 株式会社 NTT ドコモ及び株式会社 NTT ネクシアに対する 個人情報の保護に関する法律に基づく行政上の対応について
個人情報保護委員会は、個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個人情報保護法」という。)に基づき、株式会社 NTT ドコモ及び株式会社 NTTネクシアに対し、令和6年2月 15 日に個人情報保護法第 147 条に基づく指導等を行いましたので、お知らせいたします。
1.事案の概要
ドコモ社は、自社インターネットサービス等に関する事業について、サービス・商品の提案等を行うため、個人データを取り扱っている。
ドコモ社は、これらの事業に関し、ネクシア社に対し、電話営業用の顧客情報管理(以下「本件業務」という。)を含む業務を委託していたところ、ネクシア社の派遣社員であった者(以下「X」という。)が、令和5年3月 30 日、顧客情報管理のために業務上使用する PC(以下「本件 PC」という。)から、個人契約するクラウドサービスに無断でアクセスし、合計約 596 万人分の個人データ(以下「本件個人データ」という。)を同クラウドサービスへアップロードすることにより、外部に流出させ、漏えいのおそれが発生した。
2.事案発生に至った原因
(1) 基準不適合事項
本件業務は、令和4年7月、ドコモ社が株式会社 NTT ぷらら(以下「ぷらら社」という。)を吸収合併したことにより、ドコモ社が事業を承継したものであるところ、本件業務に関するネットワーク等の執務環境(本件 PC を含む。)については、以下の①及び②のような、ドコモ社が定めた情報管理規程に一部適合しない事項(以下「基準不適合事項」という。)が存在した。
① 顧客情報を取り扱う場合は専用の PC を利用し、顧客情報を取り扱う PC においてはインターネット及びメールの利用が制限される必要があるが、これらの制限が実施されていなかった。
② 顧客情報(ファイルシステム及びデータベース)の暗号化が必要であるところ、これが行われていなかった。
(2) 追加的運用ルール
(3) 本件漏えいのおそれの発生に至ったXの取扱い
(4) 小括
このように、ドコモ社及びネクシア社においては、大量の顧客の個人データを取り扱っていたにもかかわらず、ドコモ社がぷらら社を吸収合併した後、半年以上も、基準不適合事項のリスクが存在する状況下で、追加的運用ルールが徹底されず、本件漏えいのおそれが発生した。
3.法律上の問題点
(1) ドコモ社
ア 物理的安全管理措置(個人データを取り扱う区域の管理)
ドコモ社では、情報管理規程で定めるところにより、顧客の個人データを取り扱う場合はインターネット及びメールの利用が制限された専用の PC を利用することとし、インターネット及びメールを利用する PC とは取扱区域を分けて管理するルールであった。
しかし、本件 PC は、個人データを取り扱うにもかかわらずインターネット及びメール利用の制限がなされておらず、当時の物理的安全管理措置(個人データを取り扱う区域の管理)は十分な状態とはいえなかった。
イ 技術的安全管理措置(情報システムの使用に伴う漏えい等の防止)
ウ 組織的安全管理措置(個人データの取扱いに係る規律に従った運用)の不備
ドコモ社は、前記ア及びイの物理的安全管理措置及び技術的安全管理措置に関する問題点について、前記2.(2)のとおり、組織的安全管理措置の徹底により総合的なリスクを低減させる方針を決定したものであるから、この決定に従った運用が実際に徹底されることが重要である。
ドコモ社は、物理的安全管理措置及び技術的安全管理措置が一部不十分な状況に対して、追加的運用ルールを規定し運用していたところ、本件業務における同運用確保のための取組では、日次で行わせる自主点検の結果を月次で確認することで、確実に徹底されていることを確認することとしていた。
しかし、上記取組では、自主点検において虚偽の申告が含まれないことを前提としているため、意図的に追加的運用ルールに反したXの取扱いは是正できず、また、自主点検結果の月次の確認では、いつ行われるか予測できない私的なインターネット接続を即時で検知できないものである。したがって、ドコモ社においては、個人データの取扱いに係る規律に従った運用に問題があり、組織的安全管理措置の不備があったものと言わざるを得ない。
エ 委託先の監督の不備(委託先における個人データの取扱状況の把握)
(2) ネクシア社
法第 23 条は、「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又は毀損の防止その他の個人データの安全管理のために必要かつ適切な措置を講じなければならない。」と規定している。しかしながら、ネクシア社では、個人情報等の取扱いについて、以下の問題点が認められた。
ア 組織的安全管理措置(取扱状況の把握及び安全管理措置の見直し)
イ 人的安全管理措置(従業者の教育)
ネクシア社では、派遣社員であるXを含む従業者に、情報セキュリティ遵守のため機密保持に関する誓約書を提出させ、また、情報セキュリティ研修の実施を行っていたものの、情報セキュリティ研修では、一般的な情報セキュリティの考え方及び法の令和2年改正部分を紹介するにとどまっており、大量の顧客データを管理する事業者における研修としては十分とはいえず、結果としてXによる本件漏えいのおそれの発生を防止するに至らなかった。
したがって、ネクシア社における従業者の教育は、従業者が適切な情報セキュリティの確保や個人データの適正な取扱いの重要性に関する認識を醸成するには不十分な内容であったと言わざるを得ず、人的安全管理措置の不備が認められる。
4.指導等の内容
(1) ドコモ社
- 法第 23 条、法第 25 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
- 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。
(2) ネクシア社
- 法第 23 条及び個人情報の保護に関する法律についてのガイドライン(通則編)に基づき、必要かつ適切な措置を講ずること。
- 既に策定した再発防止策を確実に実施するとともに、爾後、適切に運用し、継続的に個人データの漏えい等の防止その他の個人データの安全管理のために必要かつ適切な措置を講ずること。
- 法第 146 条第1項に基づき、再発防止策の実施状況について、関係資料を提出の上、令和6年3月 15 日までに報告するよう求める。
IHGによる、マルチクラウドを活用したホスピタリティの最大化に向けた戦略
IHG:ジョージ・ターナー氏 |
マルチクラウド成功のためのマルチパートナー戦略
【セキュリティ事件簿#2024-046】建設連合国民健康保険組合 静岡県支部におけるUSBメモリ紛失について
1 概要
当国保組合の静岡県支部では、組合員の皆様の情報を管理するための台帳を毎年作成しており、その印刷・製本を外部業者に委託しております。
令和6年1月26日、例年と同様に台帳作成用データの授受作業に取り掛かろうとした際、毎年使用しているUSBメモリ(1本)が支部事務所内の所定の場所に保管されていないことが判明しました。(前年の委託時から最大約1年間紛失の状態が続いていたと思われます。)
その後、支部事務所内及び外部業者などをくまなく捜索しましたが、発見できておりません。
なお、現在までに情報の外部流出による被害は確認されておりません。
2 データ内容
静岡県支部の被保険者(組合員及びご家族)の情報のうち、「氏名」、「郵便番号」、「住所」、「生年月日」、「電話番号」、「当国保組合の資格取得日」、「当該支部内での管理番号」。(3,775件)
※口座番号や、健康保険を使用した履歴や病歴などの情報は入っておりません。
3 データ保護策
当該USBメモリに保存されたデータには、高度な暗号化及び複雑なパスワード設定による漏えい防止策が施されています。
4 再発の防止について
今回については、USBメモリの受け渡し記録及びUSBメモリの管理体制が不十分であったことが原因です。以下の対応を行い、再発防止に努めます。
○個人情報を含むUSBメモリ等の授受の際は、必ず複数人で確認し、日付・用途・ 担当者・先方の担当者等を記録し、所定の場所にUSBメモリ等が正しく格納されているか定期的に確認することを徹底する。
○授受の際は必ず受領書を発行し、互いに押印し原本と写しを双方で保管することを徹底する。
○高度な暗号化及び複雑なパスワードの設定を引き続き徹底する。
静岡県支部の関係者の皆様には、ご迷惑とご心配をおかけする結果となりましたことを深くお詫び申し上げるとともに、再発防止に努めてまいります。
現在、該当する組合員へお知らせする準備を進めています。
【セキュリティ事件簿#2024-045】東京テアトル株式会社 個人情報漏洩の可能性に関するお知らせとお詫び
1.経緯
2.個人情報を閲覧された可能性のあるお客様
3.閲覧された可能性のある情報
4.原因と再発防止策
5.今後の対応について
無料で使えるサイバー脅威インテリジェンスソースとツール10選
1- AlienVault Open Threat Exchange
2- CTI4SOC
3- DOCGuard
4- GreyNoise
5- Intezer
6- MISP Threat Sharing
- マルウェアサンプル、インシデント、攻撃者、およびインテリジェンスに関する効率的なIoCおよび指標データベース。
- マルウェア、攻撃キャンペーン、または分析からの属性や指標間の関係を見つけるための自動相関。
- 複雑なオブジェクトを表現し、関連付けて脅威インテリジェンス、イベント、またはリンクされたアイテムを表現する柔軟なデータモデル。
- さまざまな配布モデルを使用してデータを共有するための組み込みの共有機能。
- エンドユーザーがイベントや属性/指標を作成、更新、および共同作業するための直感的なユーザーインターフェース。
- MISPを独自のソリューションに統合するための柔軟なAPI。 MISPには、イベントの取得、イベント/属性の追加または更新、マルウェアサンプルの追加または更新、または属性の検索などを行うREST APIを介してMISPプラットフォームにアクセスする柔軟なPythonライブラリであるPyMISPが付属しています。
- イベントを分類し、タグ付けするための調整機能。
- MISPギャラクシーと呼ばれるインテリジェンス辞書。これには既存の脅威アクター、マルウェア、RAT、ランサムウェア、またはMITRE ATT&CKなどが含まれ、これらは簡単にMISP内のイベントや属性と関連付けることができます。
7- OpenCTI – Open Cyber Threat Intelligence Platform
- OpenCTIは、STIX2標準に基づく一貫したデータモデルを通じて、リンクされた運用および戦略的なインテリジェンス情報を提供します。
- 自動化されたワークフロー:エンジンは論理的な結論を自動的に導き出して洞察力とリアルタイムの接続を提供します。
- 情報技術エコシステムとの統合:そのオープンソース設計により、ネイティブまたはサードパーティーのシステムとのシンプルな統合が可能です。
- 賢明なデータ可視化は、アナリストがエンティティとそれらの接続、さらにはさまざまな表示オプションを使用してネストされた関係を視覚的に表現できるようにします。
- 分析ツール:各情報とインディケーターは、分析、スコアリング、および修正を容易にするためにそれが来た主要なソースにリンクされます。
- OpenCTIは、PythonまたはGo APIインターフェースとパワフルなWebインターフェースを備えたフレームワークです。
8- PhishTank
9- Pulsedive
10- VirusTotal
【セキュリティ事件簿#2024-044】株式会社アイル 当社サーバーへの不正アクセスによるシステム停止事案のお知らせ
この度、当社ファイルサーバーへのウイルス感染により、検体検査の遅延が発生し、大変ご迷惑をお掛けしましたことを深くお詫び申し上げます。これまでに判明している経緯と対応につきまして、以下の通りお知らせいたします。
1.これまでの経緯
① 8:20 頃 サーバー障害を確認② 8:45 頃 サーバーへのウイルス感染を確認③ 8:50 頃 ネットワーク遮断④ 9:00 頃 管理会社への支援要請⑤ 10:00 頃 影響範囲の確認と特定および対策・復旧対応開始
2.現況及び今後の対応
現在、検査業務については平常に戻り結果報告の遅延はありません。ランサムウェア感染に関しては、所轄警察署ならびに第三者機関の個人情報保護委員会、プライバシーマーク審査機関への報告を済ませております。
更に、ウイルス感染したサーバーを外部機関に解析調査依頼し、被害状況や情報漏洩度など詳細な解明を行い、恒久的対策を検討してまいります。
現時点においては個人情報の流出は確認されておりませんが、流出の完全否定は出来ておりませんので、引き続き調査を進めてまいります。