プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2012年06月

20120629

レンタルサーバー大手のファーストサーバ株式会社(大阪市中央区)のデータセンターで、6月20日に大規模な障害が発生し、5,000社以上のサーバー上のデータが消失し、復旧できなくなりました。

これにより、
1)Webページのコンテンツ
2)メールサーバーのアカウント情報、サーバー上の受信簿
3)サイボウズなどのグループウェアをサーバー上で運営している場合のデータ
4)ショッピングサイトを動かしている場合の受発注データ
などの重要なデータが失われたそうです。

もちろん、手元にバックアップがある場合にはそれを使って復旧することは可能なようですが、完全に復旧することが困難なケースも出てきているようです。

http://support2.fsv.jp/urgent/

(私のコメント)
クラウド事業者の事故としては、国内最大規模のものと言えると思います。やはり自前でもバックアップを取ることは重要ですね。


6月25日より、海外の匿名掲示板で情報交換をしているハッカー集団が、日本の著作権法改正に反発し、日本政府や著作権団体などへのサイバー攻撃を開始しているようです。

今回の著作権法改正は、著作権法に違反した動画や音楽をダウンロードする行為に対する罰則が規定されたほか、DVDなど暗号化措置の施された媒体から動画などを吸い出す行為(リッピングといいます)が違法となり、10月1日から施行される予定です。

今回のサイバー攻撃は、この著作権法の改正に反発したもののようです。

(著作権法改正に関するニュース)
http://internet.watch.impress.co.jp/docs/news/20120620_541251.html

hallowork

報道によりますと、ハローワーク横浜(横浜公共職業安定所)の職員が、調査会社社長の求めに応じて、データベースに含まれる全国の雇用保険被保険者の職歴情報を流出させていたことが分かり、職員と調査会社社長の二名が逮捕されたとのことです。このルートで少なくとも何百件以上の個人の職歴情報が流出していたそうです。

調査会社(いわゆる探偵会社や興信所)などが関係したこの手の事件としては、
・カード会社の社員が、信用情報ネットワークの端末を操作して個人の借入情報などを流出させた事件
・携帯電話会社の社員が、顧客データベースを照会して携帯電話の所有者情報を流出させた事件
などが過去に発生しています。

また、社会保険庁の職員が、年金加入者データベースを業務目的外に操作して、有名人の年金加入データなどを閲覧していたという事件がありましたが、ここでも調査目的の閲覧があった可能性は高いと思います。

要は、調査会社という仕事があり、彼らは依頼人からお金をもらって特定の個人のことを調査しており、彼らは様々な手口を使って、公的なデータベースから不正に情報を仕入れようとしていると言うことです。

そして、国や地方自治体や公共機関の職員、大企業の社員で、こういったベータベースにアクセスできる権限を持つ人は調査会社に狙われ、お金をちらつかされて、誘惑されるという構造があるのです。

同様の大規模な個人情報データベースを運用している場合においては、権限の厳格な管理、アクセス状況の定期的な監視、定期的な教育・監査などの対応が欠かせないと思います。

tkstxnt
(NewYorkTimes報道)

米NewYorkTimes誌は、6月1日付けで、イランの核関連施設の制御システムに障害を与えたコンピュータウイルス「Stuxnet(スタックスネット)」が、米国によるサイバー攻撃であったと報道しました。

Stuxnet(スタックスネット)とは、Microsoft Windowsをターゲットとしたコンピュータウイルスで、2010年に発見されたものです。このスタックスネットは、Windows OSの未知の脆弱性を利用しており、インターネットやUSBメモリを介して感染を広げていくものでした。このスタックスネットが通常と異なっていたのは、独シーメンス社の開発した特定の制御システムという、極めて限られた対象物をターゲットとしていることであり、感染地域も特定の地域に集中していました。そして、2010年9月には、イランの核関連施設で使用されていた制御システムに対して実際に攻撃が行われ、多くの遠心分離機が稼働不能に陥ったといいます。

スタックスネットについては、これまでも多くの専門家による推測が行われていましたが、誰が実行したのかは最終的には解明されていませんでした。それが今回、関係者によって出される書籍において米国政府によるものであったと明らかにされたとのことです。

元記事
http://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html
関連記事
http://www.itmedia.co.jp/enterprise/articles/1206/02/news016.html
http://scan.netsecurity.ne.jp/article/2012/06/06/29184.html

(私のコメント)
米国は2010年に「サイバー軍」を正式に立ち上げていますが、このスタックスネットはサイバー軍の最初のアクションと言えるのかも知れません。防御が中心なのかと思っておりましたが、やはり防御だけでなく攻撃もするのですね。こういった攻撃が正式な宣戦布告もなく行われるのだとすると、恐ろしいことだと思います。

↑このページのトップヘ