プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2011年06月

keiko_logo

慶応大学病院(東京都新宿区)は、27日付で、自病院のスポーツ医学総合センターにおいて患者の個人情報を記録したUSBメモリが行方不明になっていると発表しました。

行方不明になったUSBメモリには、過去20年間に及ぶ患者2万4459人分の名前や電話番号、生年月日、けがや病気の種類などが保存されていたとのことです。USBメモリには、パスワードがかけられており、現在までに被害の情報は入っていないとのことです。

http://www.hosp.keio.ac.jp/
http://www.med.keio.ac.jp/information/hbimd2000000ir87.html

(私のコメント)
当たり前のことですが、医療機関で取り扱うほぼ全ての情報はセンシティブ情報にあたりますので、一層の注意を持って管理していただきたいと思います。

hongkong

日本経済新聞での報道によりますと、香港の有力銀行4行が顧客の個人情報を本人の同意なく社外に提供していたため、プライバシー条例違反を指摘されたとのことです。

中国工商銀など4行、香港で個人情報を流用

香港政府は中国工商銀行や米シティバンクなど香港で営業する銀行4行が、顧客の個人情報を承諾を得ずに社外に提供していたと発表した。うち工商銀など3行は保険会社などにデータを売却、収入を得ていたという。金融は香港の主力産業だが、個人情報保護に対する意識の低さが明らかになった。

香港のプライバシー条例違反を指摘されたのは地元資本の永亨銀行と台湾系の富邦銀行を含む4行。クレジットカード加入者の氏名や電話番号、身分証明書の番号などを社外に提供していた。政府によれば各行は顧客の許諾取得の徹底など改善措置をとったという。

工商銀の香港法人「工銀亜洲」の場合、2009年に1万7500人分の情報を保険会社に提供。保険契約に応じて「服務費」も受け取っていた。顧客が携帯電話番号を外部に提供しないよう数度求め、同行も承諾した後に保険会社に提供された事例もあるという。

香港では昨年7月、交通機関や買い物で幅広く使われるICカード「オクトパス(八達通)」の運営会社が06年から利用者の個人情報を転売し、4400万香港ドル(約4億6千万円)を得ていたことが発覚。トップが辞任に追い込まれた。(香港=川瀬憲司)

(c)日経新聞 2011/6/26 21:27

厳しい規制の下にあるはずの金融機関でこのような事件が発生したというのは、驚きを禁じえませんね。しかも、一部の社員が転売したというようなことではなく、組織として行っていたものであり、正式の契約も結んでいたようですので、そもそも違法との意識もなかったのではないかと思われます。

日本の金融機関は、今や金融庁の厳しい監視下にあり、個人情報の取扱いでこのような事件が起こることはありえないです。しかし、日本でも個人情報保護法ができる前は、本人の同意を得ないまま、個人情報を転売するようなことは当たり前に行われていました。多くの人々が、様々な取組みをしたおかげで、今のような一定の基準の下に個人情報が取り扱われる状態になったわけであり、日本社会全体の意識改革が行われたんだなあと思いました。



sophos_logo
セキュリティソフト大手のソフォス(英国)によりますと、ソニー事件などで世界を騒がさせているハッカー集団が、あるポルノサイトからメールアドレスとパスワードの組み合わせを盗み出し、政府や軍の関係者と思われるものを中心に一般に公開したとのことです。

さらに、一般のユーザーに対して、そのメールアドレスとパスワードの組み合わせを使ってFacebookにログインして、いたずらすることを呼びかけているとのことです。

恐ろしいですよね?これもパスワードの使い回しが原因です。ポルノサイトとFacebookに同じパスワードを使っていると、こんな恐ろしいことにもなりかねないのです。

くれぐれも、パスワードはサービスごとに違うものを作成して、使用するようにしてください。

http://www.sophos.co.jp/pressoffice/news/articles/2011/06/porn-website-userinfo-exposed-lulzsec.html

刑法の改正法案が、17日に参議院を通過し、成立したとのことです。今回の改正は「情報処理の高度化等に対処するための刑法等の一部を改正する法律案」となっており、今の情報化社会に対応することを趣旨としています。その中で、いわゆる「ウイルス作成罪」も盛り込まれました。7月から施行されるようです。

主な改正点を上げてみます。

1)刑法に「不正指令電磁的記録に関する罪」を新設。これにより、悪意を持って不正ソフトウェアを作成し、頒布する行為が明確に違法行為となります。

2)刑法の「わいせつ物頒布等」に電子データも含まれることになりました。

3)刑事訴訟法の改正により、コンピュータを差し押さえる場合に、そのコンピュータ本体をではなく、データのみを複写して差し押さえる方法が認められるようになりました。これを「記録命令付差押え」と言うようです。

詳しくは、法律の本文をご参照いただければと思います。

(私のコメント)
このような形で徐々に法律が実際の社会に適合していくことはよいことと思います。

http://www.moj.go.jp/keiji1/keiji12_00025.html
http://www.moj.go.jp/content/000073750.htm(Q&A)
http://www.moj.go.jp/content/000073749.htm(主な修正点)
http://www.moj.go.jp/content/000073754.htm(新旧対照条文)
http://www.shugiin.go.jp/itdb_gian.nsf/html/gian/keika/1DAC55E.htm(成立までの経過)


sega_logo

ゲーム会社大手の株式会社セガ(東京都大田区)は、19日付で、自社の欧州子会社が運営するサービスに不正アクセスがあり、登録ユーザーの個人情報が流出したと発表しました。

流出した個人情報は、本サービスの全登録ユーザーにあたる129万人分で、名前、生年月日、メールアドレス、暗号化されたパスワードとのことです。

http://sega.jp/
http://sega.jp/corp/release/2011/0619/nr110619_1.pdf(PDF)

(私のコメント)
ハッカーによる著名サイトへの攻撃は、手あたりしだいの様相を呈してきました。やはり、何人かが本当に当局に逮捕されて、法的制裁を受けないといけないのかもしれませんね。そろそろ、そういう時期ではないかと思います。

034_04

報道によりますと、国際通貨基金(IMF)は、11日付で、自団体のコンピュータシステムに対してサイバー攻撃を受けたと発表しました。また、ワンタイムパスワード生成器の大手であるRSA(今はEMC社のセキュリティ部門になっているそうです)のコンピュータシステムにもサイバー攻撃があり、パスワード生成ロジックなどが盗み出されたと発表されています。

いずれについても、詳細は公表されていませんが、「標的型攻撃」と呼ばれる攻撃の被害にあっているものと思われます。「標的型攻撃」とは、従来のばらまき型の「ウイルス」による被害とは異なり、特定の組織を狙って実行されるものです。特定の企業や団体に標的を絞り、そこに入り込んで情報を盗み出したり、システムをダウンさせたりするものです。先日のソニー事件も、詳細は公表されていませんが、「標的型攻撃」を受けていた可能性があります。

ところで「標的型攻撃」の実際の手口とはどんなものなのか。その一端を垣間見れる情報が、情報セキュリティの専門会社である株式会社ラック(東京都港区)のセキュリティ監視センターJSOCの川口さんの記事で取り上げられていますので、ご紹介します。

この画像のような、実際のメールの内容をそのまま再利用したメールを送信し、添付されたファイルを開かせようとするもののようです。添付ファイルを開くと、本人が知らない間にバックグラウンドで外部と通信をし、その後そのパソコンが乗っ取られるということです。ですから「不審な添付ファイルは開かないようにする」ということがこの標的型攻撃に対する一番最初の対策になるものと思われます。

ご参考まで。

http://www.atmarkit.co.jp/fsecurity/column/kawaguchi/034.html



LAC_logo

情報セキュリティの専門会社である株式会社ラック(東京都港区)では、このほど「標的型メール攻撃」に対応するためのセミナーを開催するそうですので、本Blogでもご案内します。

■タイトル「標的型メール攻撃による情報漏えいの危険を考えるセミナー〜標的型メール攻撃による情報漏えいの実態〜」
■開催日時 2011年6月24日(金)13:20〜15:00(受付開始13:00)
■会場 株式会社ラック(東京都千代田区平河町2-16-1 平河町森タワー)
■参加費 無料
■内容
「標的型攻撃の実態と対策」株式会社ラック最高技術責任者 西本 逸郎氏
「標的型攻撃を防ぐ(仮)」株式会社ラック事業戦略室 七戸 駿氏
「セキュリティ力を高める社員教育のご案内(仮)」株式会社ラック営業統括本部 教育事業担当部長 石川 剛氏
「実践トレーニングの有用性について(仮)」NTTラーニングシステムズ株式会社

http://www.lac.co.jp/event/20110624.html

(私のコメント)
最近の「標的型メール攻撃」は、従来のウイルス対策では対抗できないため、各企業では従来とは異なる対策が求められています。このセミナーで最新の情報を知り、対策を取ることをオススメします。



Kazuo_Hirai
(5月15日付でお客様向けにメッセージを発表した平井副社長 。ソニーWebサイトより引用)

史上最大規模の個人情報漏えい事件を起こしたソニーは、6月2日付で、日本・韓国・香港を除く全世界でプレイステーションネットワークのサービスを全面再開したと発表しました。

http://www.sony.co.jp/SonyInfo/News/Press/201106/11-0602/index.html
http://www.sony.co.jp/SonyInfo/News/Press/201105/11-0531/index.html

一方でハッカーによるソニーグループ各社に対する攻撃は続いています。米国のSony Pictures Entertainmentは、「LULZSEC」と名乗るハッカーによる攻撃を受けて、情報流出が発生したと発表しています。

http://www.sonypictures.com/corp/press_releases/2011/06_11/060311_security.html

(私のコメント)
このような危険な状況が続く中で、「皆様に最高のエンタテインメントを、再び安心してお楽しみいただける」(平井副社長のコメントの一部)のか、個人的には危惧しています。

JIPDEC_NEW_logo

プライバシーマークの制度を運営している一般財団法人日本情報経済社会推進協会(略称:JIPDEC)・プライバシーマーク推進センターは、5月31日付で、「平成23年度 プライバシーマーク付与事業者向け研修会」の開催を案内しました。

これは、昨年10月〜12月に開催したものと同内容のものだそうです。

■開催スケジュール
平成23年6月30日(木)東京(1)
平成23年7月 7日(木)福岡
平成23年7月15日(金)大阪
平成23年7月26日(火)東京(2)

■参加費:無料

■申し込み方法
4月から開始された「プライバシーマーク制度 付与事業者専用サイト」の中で申し込み方法を案内するとのことです。

http://privacymark.jp/news/2011/0531/index.html

(私のコメント)
JIPDECからの公式説明を聞くことには、意味があります。昨年、行きそびれた方は参加されることをお勧めします。


20110603_IPA

独立行政法人情報処理推進機構・セキュリティセンター(IPA/ISEC)は、6月3日付で2011年5月のコンピュータウイルス・不正アクセスの届出状況を発表し、その中でソニー事件に関連して「IDやパスワードの使い回し」の危険性について、注意を喚起しました。

ご参考まで。

コンピュータウイルス・不正アクセスの届出状況[5月分]について(IPA)
http://www.ipa.go.jp/security/txt/2011/06outline.html

(過去の記事)パスワードの使い回しにご注意!
http://www.pmarknews.info/archives/51537988.html

20110602_nishimoto

情報セキュリティの専門会社である株式会社ラック(東京都港区)は、本日、「情報流出緊急対策セミナー」を開催し、同社の4名の講師がソニー事件の後のセキュリティ対策についてそれぞれの視点で講演しました。

特に最初に登場した最高技術責任者の西本氏の講演は大変内容の濃いものでした。公開されている情報を元にソニー事件を分析し、犯人がどういう人で、どういう動機なのか、ソニーはどの辺りが問題だったのか、どのような攻撃が行われたと考えられるのか、私達としては今後何に気をつけるべきなのか、などを熱く語られました。

なかでも、ターゲットを特定の企業や団体に絞り込んだ「標的型攻撃」では、一般には広まっていない不正ソフトウェアが使用されるため、一般的なウイルス対策ソフトではほとんど効果がないと強調しました。すなわち、従来のウイルス対策では対応できない攻撃が存在しているということです。今後はこのような対策が焦点になってくると思われます。

本セミナーは今月6日と9日にも開催されるとのことで、9日はまだ申し込み可能とのことです。関心のある方はご参加ください。

http://www.lac.co.jp/event/20110602.html

(追記)9日も満員になったようです。残念。

↑このページのトップヘ