プライバシーマーク・ISMSナビ

プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。

2014年09月

25
(画面は最終報告書より)

大規模な個人情報流出事件を起こした株式会社ベネッセコーポレーション(岡山県岡山市)ですが、9月25日付で、親会社の株式会社ベネッセホールディングス(岡山県岡山市)が個人情報漏洩事故調査委員会による調査報告を発表しました。今回の事件が発生した経緯、被害内容の詳細、原因の分析、組織体制の見直しを含む抜本的な対策など、かなり詳細な内容となっており、個人情報保護や情報セキュリティに関わる方には是非読んでいただきたい内容になっています。

http://www.benesse.co.jp/customer/bcinfo/news.html
個人情報漏えい事故調査委員会による調査結果のお知らせ

(私のコメント)
テクニカルには様々な要因があるのですが、今回の事件で見つかった最大の反省点は、「誰も情報セキュリティに責任を取っていなかった」という点にあると思います。CISO(最高情報セキュリティ責任者)がおらず、情報セキュリティ部門もなく、個人情報の管理部署も明確ではなかったといいます。このような状況下ではいくらセキュリティソフトを導入したとしてもそれをチェックする人がいませんので、無用の長物と化します。今回もまさにそういう状況にあったようです。

今回の報告書の中で、一番印象的だった件は下記の部分です。
ベネッセグループが、失われた信用を回復するためには、再び今回のような大規模な情報漏えい事故が起きることはないと顧客その他の関係者が確信するに足りるだけの措置を講じなければならない。そこで、内部にて業務に従事する者の不正行為による情報漏えいその他の情報漏えいの有無を監視し、これに即座に対応できるよう、情報漏えいに対する厳しい監視を行う組織を設ける必要がある。

一旦問題を起こしてしまうと、通常以上に厳しい対策を取ることでもしなければ、外部からの信頼を取り戻すことはできないのだと思いました。他山の石として、教訓にしたいと思います。


000041743
(画像はIPAのWebサイトより)

国内で情報セキュリティに関する情報収集や啓発活動を実施している独立行政法人情報処理推進機構(IPA)と、独立行政法人情報処理推進機構・一般社団法人JPCERT コーディネーションセンター(JPCERT/CC)が、パスワード使いまわしに対する撲滅に向けた呼びかけを共同で実施すると、9月17日付で発表しました。

パスワード使いまわしとは、複数のネットサービスで同じIDとパスワードの組み合わせを使用することで、これにより一か所からIDとパスワードが漏洩するとドミノ倒しのように他のネットサービスでも不正アクセスが行われるという問題です。この不正アクセスの手法は「パスワードリスト方式」と命名されており、ここ数年大きな問題となっています。

37
(画像はLINEのWebサイトより)

今年一番の不正アクセス事案といえるLINEの不正アクセスについても、パスワード使いまわしが大きな原因の一つと考えられています。

対策として、IPAとJPCERT/CCでは下記の3つを提案しています。

(1)紙のメモにパスワードを書いて保持する。
(2)パスワード付き電子ファイル(Excelなど)に保持する。
(3)パスワード管理ツールを使用する。


ぜひ、これらの情報を参考にして、今回こそパスワード使いまわしをしない習慣を身につけてください。

http://www.ipa.go.jp/about/press/20140917.html
http://www.jpcert.or.jp/pr/2014/pr140004.html

(私のコメント)
この問題は本当に長年に渡りセキュリティ界の懸案になっていました。今回、IPAとJPCERT/CCでは「紙」を一番最初の対策に持ってきました。紙にパスワードを保持することについてはいろいろな議論があります。しかし、それでもパスワードが使いまわしされるよりは有益であろうとの判断があったのだと思います。どんな人にでもできるパスワード使いまわし対策ということで、基本に戻ったのだと思います。

個人のお金やはんこをどこに隠しているのかを秘密にするのと同じように、パスワード管理の方法は、その方法を秘密にすることがひとつのセキュリティ対策になります。ですから、自分はこういう方式でパスワードを管理していますというような情報をネット上で見かけることは少ないです。

自分なりのパスワード管理方法を見つけて、実行することは、これからのネット時代を生き残る一つの知恵になります。各自の実践を求めます。

(過去の記事)
最終警告>パスワードの使いまわしはやめましょう
http://www.pmarknews.info/archives/51891461.html
しつこいようですが、パスワードの使いまわしはやめましょう。
http://www.pmarknews.info/archives/51755395.html
パスワードの使いまわしにご注意!
http://www.pmarknews.info/archives/51537988.html

11
(画面は同社プレスリリースより)

大規模な個人情報流出事件を起こした株式会社ベネッセコーポレーション(岡山県岡山市)ですが、9月10日付で、親会社の株式会社ベネッセホールディングス(岡山県岡山市)と連名で「お客様情報の漏えいに関するご報告と対応について」というタイトルの文書を発表し、500円のお詫び金の配布や、セキュリティ確保のための新会社設立など、当面の対策を発表しました。

(主な内容)
●流出した個人情報の合計は3,504万件であり、買い取った名簿業者は3社。ただし重複もあるため延べ人数としては2,895万人。流出した項目は「氏名」「性別」「生年月日」「同時に登録された保護者または子供の氏名、性別、生年月日、続柄」「郵便番号」「住所」「電話番号」「FAX番号」「出産予定日」「メールアドレス」とのこと。
●犯人はグループ会社である株式会社シンフォームの再委託先の社員であり、正規なアクセス権を付与されていた。このアクセス権を利用して私物スマートフォンにデータをコピーして持ちだしていた。専用のセキュリティソフトにより外部メディアへの書き出しは制限していたが、新型のスマートフォンの転送手順は制限できていなかったため、持ちだされた。データベースから大容量のデータを取り出すと警告される機能を導入していたが、今回のデータベースに関してはその対象外だった。またデータベースのアクセスログを保管する仕組みを採用していたが、定期的にチェックすることを怠っていた。
●緊急の再発防止策として下記を行う。
 1)アクセス権限の見直し、必要最小限の担当者への付与、パスワード管理強化
 2)端末へのダウンロード監督者の設置
 3)大量データをダウンロードする際のアラート機能の設置
 4)業務端末における外部記録媒体との接続禁止措置
 5)アクセスログの監視設定の強化(定期チェック)
 6)執務スペースへの私物である電子機器、記録媒体の持ち込み禁止、監視カメラの導入
●セキュリティレベルの大幅な向上を図るため、データベースの管理は親会社の株式会社ベネッセホールディングスに移管する。データベースの保守・運用については、情報セキュリティの専門会社である株式会社ラックとの合弁企業を設立して担当させる。グループ外への業務委託は行わないようにする。
●「お客様本部」を8月4日付けで設置し、漏えいした個人情報の利用を行っている可能性が高いと考えられる事業者へ利用停止の働きかけを行う。
●迷惑をかけた2,895万人に対して、お詫びと報告の手紙を順次送付する。10月下旬完了予定。あわせてお詫びの品として500円分の金券(電子マネーギフトまたは全国共通図書カード)を用意する。
●今回の対策費として計上した200億円の原資より一部を捻出して財団法人「ベネッセこども基金」を設立する。経済的困難を抱える子どもの支援などを行う。お詫びの品の受け取りを辞退する人については、その分を基金への寄付に回す。

http://www.benesse.co.jp/bcinfo/?bcl=corp_top1_bcinfotop
リリース文のPDF文書

(私のコメント)
結局はこの事件は、大日本印刷事件と同じ構造でしたね。データベースを取り扱うどまんなかの管理者が、長期間に渡りこっそりと情報を持ちだしていたのです。内部のものだからといって安心することなく、相互監視を効かせることが重要だと思います。なお、同社としてはこれで一旦は事件を収束させたいということだと思います。同社には再発防止策だけはしっかりやっていただきたいと思います。

大日本印刷事件>大日本印刷が再発防止策を発表
http://www.pmarknews.info/archives/50677066.html

news0722_01
(画面は同行Webサイトより)

三菱東京UFJ銀行は、自社で運営するオンラインバンキングサービス「三菱東京UFJダイレクト」のセキュリティ向上のために、スマホアプリ方式でのワンタイムパスワードを8月10日からサポートすると、7月22日付で発表し(て)ました。

三井住友銀行、みずほ銀行、ゆうちょ銀行がそろってカード形式やキーホルダー形式のワンタイムパスワード生成器を採用する中で、三菱東京UFJ銀行はスマホアプリ方式を採用することにしたようです。

http://www.bk.mufg.jp/news/news2014/news0722.html
http://direct.bk.mufg.jp/secure/otpapp.html?link_id=p_top_visual_otpapp

(私のコメント)
ちょっと気づくのが遅れてしまいました。すみません。カード形式やキーホルダー形式のワンタイムパスワード生成器は便利なのですが、持ち歩くことを考えると財布がパンパンになるデメリットがありますので、今回のスマホアプリ方式は支持したいと思います。Web画面からの申し込みが必要で、自宅に何かの情報が送られてくるそうです。自分でも試してみますね。

59
(画像は2月に出された措置命令。総務省ウェブサイトより)

警視庁は、総務省からの是正命令を無視して、迷惑メールを送り続けたサイト運営会社社長を、9月5日付で特定電子メール法違反の疑いで逮捕したそうです。この法律が施行されて以来、是正命令を無視したことによる初の逮捕事例のようです。

報道によりますと、このサイト運営会社は株式会社SANS(東京都渋谷区)という会社で、出会い系サイトを宣伝する迷惑メールを2年半で20億通に渡り送信していたそうです。今年2月に総務省から特定電子メール法に基づく是正命令を受けていましたが、これを無視して迷惑メールを送信し続けたとのことで、警視庁による摘発が行われたとのことです。

(私のコメント)
まあ日本のSPAM王とでも言いましょうか。法律を無視してこういうことをやり続けちゃいかんですよね。摘発されて当然のことかと思います。

※当初、特定電子メール法違反での初の逮捕事例としておりましたが、是正命令を無視したことによる初の逮捕事例でした。お詫びして訂正いたします。

↑このページのトップヘ