プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

カテゴリ: 個人情報漏えい事件

キャプチャ
(画面は日本クレジット協会のWebサイトより)

2020年のオリンピック・パラリンピック東京大会の開催をターゲットに、経済産業省とクレジットカード業界をあげて国内においてクレジットカード等を安全に利用できる環境整備を進めています。そのために昨年立ち上げられたクレジット取引セキュリティ対策協議会が、一年間の討議を経て、2月23日に「クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画〜2016〜」を発表しました。

実行計画の内容は多岐にわたるものですが、その中で期間を区切っての具体的な目標が出てきました。
(1)カード会社は2018年3月末までにPCI DSS準拠を完了すること。
(2)原則として、全ての加盟店はカード情報の非保持化をするか、PCI DSS準拠を行うこと。ネット販売などのEC加盟店は2018年3月末、対面加盟店は2020年3月末を期限とする。
(3)EC加盟店は、2018年3月末までに3Dセキュアやセキュリティコードによる認証など多面的重層的な本人認証を講じること
(4)対面加盟店は、2020年3月末までにICカード対応を完了すること。

とのことです。具体的な期限が設定されたので、業界全体のセキュリティ水準の底上げが加速するものと思われます。

※PCI DSSとは、クレジットカード業界が定めたデータセキュリティの国際基準です。

http://www.j-credit.or.jp/
http://www.j-credit.or.jp/download/160223a1_news.pdf
http://www.j-credit.or.jp/download/160223a2_news.pdf

(私のコメント)
PCI DSSについては、かなり前から取得が呼びかけられて来ていましたが、期限が切られていなかったために、いまひとつ普及が進んでいなかった経緯があります。今回、カード情報を保持したいのなら加盟店もPCI DSSを取るようにということが明確になり、よかったのではないかと思います。



20151207_101859
(画面は三菱東京UFJ銀行Webサイトより)

三菱東京UFJ銀行は、11月30日付で、自社のテレフォンバンキングサービスにセキュリティ上の欠陥があり、主に出会い系サイトの利用者と思われる電話番号が過去半年間で1万7千件流出した可能性があると発表しました。

この事件、非常に分かりにくいのですが、こういうことのようです。

(1)三菱東京UFJ銀行のテレフォンバンキングサービスの「入出金明細照会」サービスにバグがあり、特定の操作をすると誰でも入出金明細(年月日、金額、振込者名など)を自動音声で聞くことができたようです。
(2)出会い系サイトを中心とする「会員制サイト」などでは、料金を振り込む際に「自分の名前」ではなく「自分の電話番号」を入力するように指定しているものが多く存在していたようです。
(3)悪意を持った第三者が、(1)のバグを利用して(2)の出会い系サイトが指定する口座の入出金明細を聞き出すことで、「出会い系サイトの利用者の電話番号を大量に知る」ことに成功したようです。

実際に、出会い系サイトの利用者に対して、架空請求詐欺の電話がかかったことにより、今回の事件が発覚しました。同行では、テレフォンバンキングサービスのバグ修正を実施し、フリーダイヤルを設置して被害を被った人に対応していくとしています。さらに過去に遡っての調査も行うとしています。

http://www.bk.mufg.jp/news/news2015/pdf/news1130.pdf

(私のコメント)
三菱東京UFJ銀行のテレフォンバンキングのバグが長年放置されていたことが最初によろしくないことですが、それを知って、特定の状況を組み合わせて架空請求詐欺にまでつなげた第三者も凄いなと思います。かなりの知能犯ですね。



総務省発行文書

(画面は総務省のWebサイトより)

10月20日から、全国の全ての世帯に対して、マイナンバーをお知らせするための「通知カード」が日本郵便の簡易書留を使用して送付されていますが、いくつかの郵送事故が発生し、11月2日付で、総務省は再発防止を要請する文書を発行しています。

日本郵便や総務省の発表、ならびにその他の報道などによりますと、発生した郵送事故は下記のようなものです。

●高知県安芸郵便局で、不在配達票により本人から受け取りたいとの申し出があったが、局内で通知カードが紛失。自治体側に再発行を要請。
●千葉県流山郵便局では、通知カードが別人に誤配送され、受取人からの申し出で未開封のまま回収。正しい住所に送付された。
●青森県五所川原郵便局では、通知カード2通が郵送途上で紛失。拾得物として届け出があり回収。正しい住所に送付された。
●石川県珠洲市で、簡易書留で送付されたはずの通知カード21通が、ポストへ投函されていたことが判明。配達員が自らサインをしていたという。

(私のコメント)
マイナンバーに関しては、行政も民間も一般の国民もピリピリしてます。日本郵便の配達の皆さんも前例のない規模の簡易書留の取扱いで大変かと思いますが、しっかりとお願いしますね!





20151028_171319
(画面は読売新聞Webサイトより)

数日前より、自分のマイナンバーを自分のBlog上で公開している男性がおり、話題になっておりました。彼はマイナンバーの記載された自分の住民票を取得し、それをスキャンして自分のBlogに掲載していました。

10月28日付の読売新聞のWebサイトにおける報道によりますと、マイナンバー制度を管理している「特定個人情報保護委員会」は、マイナンバー法違反の疑いがあるとして、10月27日付でこの個人とサイト運営会社に対して、文書で削除要請を出したとのことです。

彼はマイナンバー制度に反対の考え方を持っているようです。

http://www.yomiuri.co.jp/national/20151028-OYT1T50010.html

(私のコメント)
Blogで自分のマイナンバーを公開している人がいると知り、当初、私は「え?マイナンバー法罰則適用第一号か?」と早とちりしたのですが、マイナンバー法の罰則の部分を何度読み返してもこの行為は「処罰」自体の対象にはなりそうになく、驚いた次第です。ただし、違法であることは間違いありませんので、特定個人情報保護委員会が削除要請を出したということのようです。よい子の皆さんは真似しないようにしていただきたいと思います。


53
(画像は取手市Webサイトより)

10月5日から、全国の自治体におけるマイナンバーを記載した住民票の発行が順次始められていますが、いくつかトラブルが発生しています。

(1)取手市のケース

茨城県取手市では、自動交付機で発行された住民票に、本人の希望がないにもかかわらず設定ミスによりマイナンバーが記載されてしまうトラブルが発生しました。対象者は100人分だそうです。このうち、すでに住民票を使用した60人について、マイナンバーをすべて変更する方針とのことです。

(2)茨城県美浦村のケース

茨城県美浦村では、窓口で住民票を交付する際に、本人の希望がないにもかかわらず職員の操作ミスでマイナンバーが記載されてしまうトラブルが発生しました。対象者は28人分だそうです。このうち、すでに住民票を使用した16人について、マイナンバーを変更する方針とのことです。

(3)札幌市厚別区のケース

札幌市厚別区役所では、窓口で住民票を交付する際に、「住民票コード」の記載を請求されていたのに、間違えて「マイナンバー」を記載して発行してしまったといいます。この2名については、本人の意思を確認した上でマイナンバーの変更を行うとしています。

(4)千葉県船橋市のケース

千葉県船橋市では、自動交付機で発行された住民票に、本人が希望しているにもかかわらずデータ連携のミスによりマイナンバーが記載されないトラブルが一部で発生しました。対象者は46人分だそうです。希望とは異なる住民票を交付した対象者には、個別に連絡を取るとのことです。

(私のコメント)
さっそく、全国でいろんなトラブルが起こっていますね。住民票発行を担当される職員の方には、もう一度、システムの設定と操作手順などを確認していただきたいと思います。



Pension_handbook_(Japan)
(画面はWikipediaより)

6月に公表された大規模な個人情報流出事件に関して、日本年金機構は情報が流出した96万人について基礎年金番号を再発行し、被保険者(約43万人)には新しい年金手帳を、受給者(約52万人)には新しい年金証書を、それぞれ簡易書留で送付すると8月20日付で発表しました。

発送作業は8月24日から開始され、9月中には全ての対象者への発送が完了する見通しとのことです。

年金機構では、今回の年金基礎番号の変更に関して、勤務先や市区町村への連絡も全て機構側で行うため、対象者としては受け取った年金手帳や年金証書を保管しておくだけでよく、また古い手帳や証書は廃棄してもいいし、保管していてもいいとしています。

http://www.nenkin.go.jp/n/data/service/0000029596PQPsxPHApG.pdf

(私のコメント)
約100万人に対して簡易書留を送付とのことで、郵便局としてはマイナンバーの通知カードの送付の予行演習のようになるかもしれませんね。

59
(画面は年金機構がWebサイトに掲載した資料より)

6月に公表された日本年金機構からの大規模な個人情報流出事件に関して、年金機構からの発表や、報道されている内容を元に、その後の情報をまとめておきます。

(1)お詫び状の送付は完了

日本年金機構は対象となる101万人に対するお詫び状の送付を6月中に完了したそうです。

(2)不審な電話の報告が2,000件を超える

今回の事件に便乗した不審な電話が、全国で多発しており、年金機構のコールセンターに連絡があっただけで2,000件を突破したとのことです。テレビなどでも報道されているように「年金機構から電話で連絡することはない」はずなのですが、それでも何か詐欺のきっかけにできないかと考えている人達がいるようです。

(3)膨らむ対策費用

上記お詫び状の発送コストとして、1日の衆議院厚生労働委員会で塩崎厚労相は「印刷代と郵送代で1億円強」と答えたとのことです。また9月以降、今回流出した基礎年金番号101万件を新しい番号に変更する際には簡易書留での送付を考えているそうで、その際には今回よりもっと多くのコストが見込まれるとのことです。

また、年金機構では、専門のコールセンターを開設して加入者の対応にあたっていますが、この規模が1000人程度と、通常の期間の10倍になっており、単純計算で毎月4億円程度のコストになるとのことです。

(4)国会の審議は停止中

今回の流出事件をきっかけとして、参議院で審議中だった「個人情報保護法改正」「マイナンバー方改正」については、審議が停止されたままとなっています。会期が9月27日まで延長されましたので、その間になんとか通過するものと思いますが、現段階では見通しが立っていないようです。

http://www.nenkin.go.jp/n/www/index.html

(私のコメント)
年金機構事件は、公的機関からのものとしては、初めての大規模な個人情報流出事件と言えます。だからこそ「不審な電話」が起こったり、国会の審議にまで影響が出たり、予期せぬ影響が広がっています。


(画面はLAC社の分析資料より)

大きな問題となっている日本年金機構からの個人情報流出事件について、情報セキュリティの専門会社である会社ラック(東京都千代田区)による分析資料が公開されましたので、本Blogでもご紹介します。

(要旨)
今回の事件は「標的型サイバー攻撃」によるものである。年金機構では加入者の情報を「社会保険オンラインシステム」という基幹システムで管理されており、これはインターネットと接続された情報系システムとは接続はされておらず、本来は閉鎖ネットワークとなっていた。それにもかかわらず、何らかの理由により基幹システムから書き出された加入者情報が情報系システムに複製され、それが流出した。

今回の事件の原因は「公共団体は狙われやすいという意識を持たなかった」「実際の運用とシステムの実装がマッチしていない」「ウイルス対策と標的型攻撃の対策の違いが理解されていない」ことだ。

標的型サイバー攻撃に対する対策としては、「社員や職員の意識改革と教育」「事件・事故前提の組織体制構築」「事故対応チームの組織化」「セキュリティ監視と不正通信の洗い出し」「演習」といった取り組みが重要である。

今回の事件は衝撃的なものでもあり、危機感を持った方も多かったと思われるが、「内閣サイバーセキュリティセンターが早期に発見し、報告したこと」「年金機構が警視庁に届け出をしたこと」「警視庁が短期間に手を打ったこと」など評価できる点もあった。

http://www.lac.co.jp/security/report/pdf/20150609_apt_j001t.pdf

(私のコメント)
非常に分かりやすいまとめです。特に最後のところで書かれていますが、今回の不正アクセスを内閣サイバーセキュリティセンターが早期に発見したのは、素晴らしいことだったと思います。日本の公共部門の信頼性が問われる事件ではありますが、抜けている部分もあれば、しっかりしている部分もあったのだと思います。



50
(画面はお詫びの手紙のイメージ画像。日本年金機構のプレスリリースより)

大きな問題となっている日本年金機構からの個人情報流出事件について、続報をまとめておきます。

(1)標的型メール攻撃による流出と判明したようです。

年金機構は当初から「ウイルスメールによる不正アクセス」と発表していましたが、その後の報道によりますと
●5月8日に、外部に公開されている問い合わせ用のメールアドレスに対してメールが送信され、福岡事務所の職員がそのメールの添付ファイルを開いたことにより、そのパソコンがウイルスに感染した。
●5月18日に、非公開の職員の業務用アドレス(100程度)に対してメールが送信され、数十台のパソコンがウイルスに感染した。
●メールのタイトルは「『厚生年金基金制度の見直しについて(試案)』に関する意見」「給付研究委員会オープンセミナーのご案内」「厚生年金徴収関係研修資料」「医療費通知」など、不自然さが感じられないもの
●送付元のアドレスは、いずれもフリーメールで4つ
●ウイルスは新種のもので、既存のウイルス対策ソフトでは検出できなかった。
●加入者のデータはデータベースで管理しているが、事務処理の都合のためにエクスポートしたデータをCD-ROMに焼いて提供する場合があり、それがファイル共有サーバーに置かれていたものが流出した。
などの事実が分かってきました。

これはもう明らかに標的型メール攻撃です。外部から侵入するルートを確立し、そのルートを使って内部のパソコンを遠隔操作し、共有サーバーに置かれたファイルを外部に持ち出す。かなり専門的な知識のある者の犯行と思われます。

(2)年金機構は125万人の年金加入者にお詫びの手紙を出すそうです。

年金機構の3日のプレスリリースによると、情報が流出した125万人にお詫びの手紙を出すそうで、すでに3日の時点で9,000通を送り出したとのこと。コールセンターの設置、基礎年金番号の変更などの対応が記載されています。

(3)個人情報保護法とマイナンバー法改正の国会審議が止まっています。

個人情報保護法とマイナンバー法の改正案について、現在参議院での審議が行われており、今週中にも内閣委員会で採決の見通しでしたが、今回の事件を受けて、審議が止まっているようです。

(4)年金機構におけるマイナンバーの利用開始を遅らせる可能性も

そもそもマイナンバーは税と社会保障のためのものであり、年金機構での活用はその中心となっていますが、今回の事件を受けて、年金機構におけるマイナンバーの利用開始を遅らせる可能性もあるとの考え方も出されているようです。(6月3日衆院厚生労働委員会の集中審議にて向井内閣審議官発言)

ということで、今回の流出事件の波紋は大きく広がっています。

年金機構の6月3日プレスリリース
http://www.nenkin.go.jp/n/data/service/0000150603ddieLmeUbc.pdf

(私のコメント)
「送られてくるメールはホンモノのメールと見分けがつかないほどよく出来ている」「使用されるウイルスは一般には出回っていないので、ウイルス対策ソフトでは引っかからない」ことから、実際のところ、標的型メール攻撃に関しては対策が非常に困難であり、完全な防止策は存在していません。これはどんな組織でも同じです。ただし、データベースから書きだした加入者データをファイル共有サーバーに置いていたというのはもう基本中の基本が守られていなかったということで、ここが最大の問題だと思います。もしそのような処理を行う必要があるのであれば、インターネットと切り離されたネットワークで取り扱うべきだったと思います。

24
(画面は日本年金機構のWebサイトより)

昨日から報道で話題となっている日本年金機構からの個人情報流出事件について、まとめておきます。

まず、日本年金機構とは、旧社会保険庁を廃止した後に新設された特殊法人であり、国民年金、厚生年金などの手続きを全て行っています。また、全国健康保険協会(協会けんぽ)の資格取得などの取扱いについても、窓口としての業務を行っています。したがって、事実上ほぼ全ての成人国民と、一部の扶養家族の個人情報を扱っている団体と言えます。

今回流出した情報は、年金加入者の「基礎年金番号」「氏名」「生年月日」など約125万件であり、そのうち約5万件に関しては「住所」も含まれていたそうです。

原因としては、外部からの電子メールに添付されていたウイルスを開いたことによる不正アクセスとされています。まだ詳細は分かっていませんが、下記のような流れのようです。
(1)同機構の職員のメールアドレスに複数のウイルス付き電子メールが送信された
(2)福岡の事務所で使用されていたパソコンでメールが開かれてウイルスに感染
(3)機構内部の複数のパソコンがウイルスに感染し、不正アクセスの踏み台になった
(4)共有サーバーに保存されていた加入者のデータが外部に送出された。

同機構では、緊急にインターネットとの接続を遮断するなどの対策を取ると同時に、対象となる加入者にお知らせを送付し、基礎年金番号を変更するなどとしています。

http://www.nenkin.go.jp/n/data/service/0000150601ndjIleouIi.pdf

(私のコメント)
上記の情報からすると、一番大きな問題は(4)の「共有サーバーに加入者の大量のデータが置いてあった」ということじゃないかと思います。データベースで管理された加入者の情報こそが守るべきものであり、そこから書きだされたデータが何らかの形で共有サーバーに保存されていて一般の職員のアカウントでアクセスできたというのでは、セキュリティの原則の初歩の初歩が実践されていなかったということになります。

30
(画面は書類送検された名簿業者のWebサイトより)

報道によりますと、警視庁は、3月30日付で、昨年発生したベネッセ事件において、流出した個人情報を買い取った名簿業者の代表者と法人を不正競争防止法違反(営業秘密の取得・開示)容疑で書類送検したとのことです。

同社は、すでに起訴済みの被告から10回以上にわたり、のべ1億7800万人分の顧客データを約280万円で買い取り、50社以上に約1,600万円で転売したといいます(ベネッセによると、重複データを削除したデータの総数は約3,500万件だったと説明されています)。

今回の送検は、ベネッセ社からの告訴によるものとのことです。

(私のコメント)
ベネッセ事件を受けて、現在進められている個人情報保護法の改正においては、個人情報の不正な持ち出しやそれを買い取ることに対する規制の強化、記録保存の義務化、処罰の厳格化などが予定されています。不正な方法で名簿を流通させる名簿業者という商売は、今後は収束の方向に向かうのではないかと思います。



27
(画像は同社Webサイトより)

2015年2月、中国系パソコンメーカーのレノボ(Lenovo)社製の家庭用Windowsパソコンにプリインストールされていたソフトウェアに、暗号化通信を無効にする脆弱性が含まれていることが報道され、大きな問題となりました。同社はこのソフトウェアのプリインストールの中止や、出荷済み製品に対する対策を講じることとなりました。

対象となっているのは2014年9月から12月の間に出荷された同社の家庭用パソコンとのことです。これらにプリインストールされて出荷された通称「Superfish(スーパーフィッシュ)」と言われるソフトウェアは、ブラウザを利用してインターネット上のWebサイトを閲覧している際に、独自の広告が挿入されるというものでした。しかしながら、このソフトは広告を挿入するだけに留まらず、SSL暗号化通信のための重要な存在である電子証明書を任意に書き換える機能を持っており、この機能が悪用されたとすると偽物のWebサイトを本物のように偽ることができるなど、深刻な脆弱性を持っているものでした。

今回の問題が発覚する前から、いくつかの都市銀行では、独自の電子証明書を使ったオンラインバンキングが使えないという事象が発生していたようで、昨年からこれに関する案内が出ていたようです。今年2月に入り、それがプリインストールソフトウェアによるものであることが明確となり、ニュースとして報道され、同社は急遽対応を迫られることになりました。

同社の対応は下記のようなもので、かなり徹底したものでした。
(1) 事態の把握と顧客への広報
(2) プリインストールの中止、専用サーバーの停止
(3) アンインストール方法の案内と自動削除ツールの提供開始
(4) 「Windows Defender」やウイルス対策ソフトでの削除機能開始

レノボ社からの案内文>
http://www.lenovo.com/news/jp/ja/2015/02/0220.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0221.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0225-2.shtml
http://www.lenovo.com/news/jp/ja/2015/02/0228.shtml
http://support.lenovo.com/jp/ja/product_security/superfish_uninstall

都市銀行からの案内文>
https://bizstation.bk.mufg.jp/info/150209.html
http://www.mizuhobank.co.jp/corporate/ebservice/account/announce20150212.html

(私のコメント)
今回の事件は下記の3点から個人的には興味を引くものでした。

(1) 同社のリリース文は「見解」「お知らせ」「公開書状」「お約束」などとなっており、日本企業でよく見られる「お詫び」という体裁とは異なっています。内容には「お詫び」という言葉も使われていますが、あくまでも「お客様に対して懸念を抱かせたこと」や「セキュリティの潜在的な脆弱性について認識していなかったこと」に対するお詫びであり、当該ソフトウェアをインストールしたことに対する直接のお詫びはありません。ここはアメリカの文化なのか、中国の文化なのか、明らかに日本企業の通常のやり方とは異なっていることに興味を持ちました。

(2) 今回、事後対策として 「Windows Defender」やウイルス対策ソフトによる削除が取り入れられました。これらは本来は誰が作ったのかわからないウイルスや、悪質な会社が作ったスパイウェアなどを削除することを目的として作られたものですが、通常の企業が正規のルートで配布したソフトウェアの削除に使われていることは興味深いです。

(3) 最後に、中国系のIT企業としては、通信機器メーカーのHuawei(ファーウェイ)が米国政府機関からの締め出しを食らっており、LenovoもIBMのパソコン部門を買収した存在であるとは言え、いつそのような取扱いを受けてもおかしくないのかもしれません。同社の徹底した対応の裏にはそういう事情もあるのかなと思いました。




↑このページのトップヘ