持ち出し、不正アクセス…知らないうちにあなたの個人情報は簡単に盗まれる!?

にほんブログ村 ネットブログ SNS・ソーシャルメディアへにほんブログ村 ネットブログへ

2度(ヤフー、ベネッセ)も個人情報が流出した経験から、個人情報はいとも簡単に流出するものだと認識しているわけすが、その背景には流出した企業に対して重い制裁を科す仕組みがないことが、企業のセキュリティの甘さとずさんさを生む結果となっています。

■「便利だから」と個人用USBメモリー使用…児童の個人情報紛失 神戸市の男性教諭

神戸市教育委員会は26日、市立小学校の男性教諭(31)が児童計65人分の成績などの情報が記録された個人用USBメモリーを紛失したと明らかにした。

 市教委によると、メモリーには平成24~26年度に教諭が担任していた児童の氏名や日ごろの様子についてのコメントも記録されていた。住所や電話番号の情報はなかった。当時5~6年生で、既に卒業している。

 教諭は11日に職員室でメモリーを使用し、13日に紛失に気付いた。個人用メモリーは内規で禁止され、校長らから口頭で数回注意されていたが「便利だから」などと利用を続けていた。市教委は「処分を検討する」としている。

■がん検診の受診票36人分を紛失…戸別訪問で謝罪 枚方市保健センター

枚方市保健センターが3月に実施したがん検診で、委託先の市医師会から受領・保管していた36人分の受診票を紛失し、市が21日、発表した。他の書類とともに誤廃棄した可能性もあるとしている。

 受診票には、受診者の氏名や住所、電話番号、検診結果などの個人情報が書かれていた。職員が紛失した市民の自宅を戸別訪問し、謝罪する。

■契約者情報76万件紛失…三井住友あいおい生命

三井住友海上あいおい生命保険は13日、契約者の氏名や加入する保険の種類を含めた個人情報など計約76万7000件分が入ったCD―ROM2枚を紛失したと発表した。

 同社は、情報が悪用された事実は確認されておらず、誤ってシュレッダーにかけた可能性が高いとしている。

CDには個人約69万4000人、法人約6万社分の契約者名、保険の種類、保険料などの情報が含まれていた。契約者の住所、電話番号、生年月日、口座情報、健康状態に関する情報は含まれていない。このほか、全国の代理店約1万2600件の代理店名、住所、口座番号の一部の数字、手数料の情報も入っていた。

 紛失したCDの情報を閲覧するには、毎月変わるパスワードや、非売品の専用ソフトを搭載した機器が必要で、同社は「万が一社外に流出しても第三者が読み取ることは極めて困難だ」と説明している。

■560人の個人情報記録したフロッピー紛失 大分・佐伯市

大分県佐伯市は7日、市民ら約560人の個人情報を記録したフロッピーディスクを紛失したと明らかにした。情報流出は確認していないという。

 市によると、ディスクには水道料金と下水道使用料の引き落としに使う金融機関の口座番号、名義人が記録。職員の一人が4月30日、金融機関から宅配便で届いたディスクを確認し、別の職員の机上に置いた後、見当たらなくなった。

 市は「どこかに紛れ込んだ可能性が高い」と説明。管理を徹底し、再発防止に努める考えを示している。

■第一生命の子会社が3千人分の顧客情報紛失

第一生命保険子会社のネオファースト生命保険(東京)は23日、顧客約3千人分の氏名や保険の証券番号が記載された帳票を紛失したと発表した。誤って廃棄した可能性が高く、これまでに情報が不正使用されたとの報告はないという。

 紛失したのは、品川区の本社倉庫に保管していた2004、05年度の帳票。A3サイズで氏名と8桁の証券番号のほか、解約に伴って返還する予定の支払い済み保険料の残高などが記載されていた。保管期間を10年としていたが、いつ紛失したかは分からないという。

 今月14日に、04年度分を廃棄しようとして、両年度の帳票がなくなっていることに気付いた。廃棄の方法を見直すなど再発防止に努める。

■中国向けサーバー事件、通販506万人情報盗む

国内に設置された中国向けの中継サーバーがインターネットの不正接続に悪用された事件で、警視庁は17日、東京都内で押収したサーバーから、インターネット通販サイトなどの利用者計約506万人分のIDやパスワードが見つかったと発表した。

 このうち約6万人分は実際にIDやパスワードを入力して、通販サイトに接続した痕跡が確認されたという。同庁は、これらのデータを中国の詐欺グループが不正取得し、買い物などに使おうとしたとみて、被害の確認を進め、利用者にパスワードの変更などを呼びかけている。

盗み取られたネット上の個人情報が発見されたケースとしては、過去最大規模となる。同庁は、接続の痕跡が確認された約6万人分は、通販大手など3社の利用者のデータとしている。社名は公表されていないが、読売新聞の取材で、このうち2社は、通販大手「楽天」と無料通話アプリ運営会社「LINE(ライン)」と判明した。

■24人分の個人情報紛失、大阪・箕面市の小学校

大阪府箕面市教育委員会は14日、市立小で、児童24人の個人情報が書かれた書類24枚を紛失したと発表した。情報が悪用されたとの報告はない。

 市教委によると、紛失したのは災害時に児童を保護者へ引き渡すために使う緊急時連絡カード。児童と保護者の氏名や住所、電話番号などが記載されている。

 カードは通常、職員室のロッカーに保管し、最後にカードを確認したのは昨年6月の訓練時。今月7日午後に情報の更新のためカードを点検し、1クラス分のカードがないことに気付いた。

■大阪・吹田市立中の美術教諭、515人分の成績情報を紛失

大阪府吹田市教育委員会は6日、市立中の美術科を担当する男性教諭(32)が、1、2年の生徒計515人の氏名や美術の成績情報などが保存されているUSBメモリーを紛失したと発表した。

 市教委によると、教諭は3月22日に職員室でメモリーを使用し、24日に紛失に気づいた。普段、自宅に持ち帰ることはないため校内を中心に捜したが見つからず、今月1日に吹田署などに届けた。市教委によると悪用されたとの報告はない。

 吹田市では昨年12月にも別の市立中教諭が成績情報の入ったUSBメモリーを紛失したばかりで、市教委は「生徒や保護者に不安を与えることが続き申し訳ない」としている。

■外付けハードディスクごと個人情報1万件紛失

北海道は30日、計1万259人分の個人情報が入った外付けハードディスクを紛失、北海道警札幌中央署へ盗難届を提出したと発表した。
道障がい者保健福祉課が使っていたもので障害者の相談内容、有識者の金融機関の口座番号などが含まれている。道は、「これまでで最大の個人情報紛失」としているが、現在のところ、悪用は確認されていないという。

発表によると、9日朝、同課の職員が課に配置されている9台のうち1台がなくなっていることに気付いた。ハードディスクは道の内規で職員が退庁する際には、鍵のかかるロッカーに保管することなどが定められていたが、9台とも同課の室内でノートパソコンに接続されたままだった。閲覧を制限するパスワードも設定されていなかったという。6日夜、別の職員が退庁する際にはハードディスクがあるのを確認していた。

■名簿業者を書類送検=不正競争防止法違反―ベネッセ情報流出事件・警視庁

通信教育大手ベネッセコーポレーションの顧客情報流出事件で、警視庁は30日、情報を流出させた元システムエンジニアの松崎正臣被告(40)=不正競争防止法違反罪で公判中=から顧客情報を購入し、営業秘密を不正に開示したとして、東京都江東区の名簿業者社長(45)=葛飾区=を、同法違反(営業秘密の取得・開示)容疑で東京地検立川支部に書類送検した。法人としても送検した。社長は「不正入手された情報との認識はなかった」と容疑を否認している。

警視庁は厳重処分を求める意見書を付けたが、検察は証拠を精査した上で、刑事処分を判断するとみられる。

 送検容疑は2014年5月21日、ベネッセの顧客情報を買い取り、不正の利益を得る目的で、同年7月に2回、熊本県内の教育関連会社に電子メールで送信して転売し、ベネッセの営業秘密である顧客情報計約1万6300件を開示した疑い。

■ベネッセで新たな情報流出 23人分、業務委託先で

ベネッセホールディングスは17日、顧客情報の大量流出事件が起きた傘下のベネッセコーポレーションで、業務委託先の元契約社員が23人の顧客情報を不正に取得し、外部に持ち出していたことが新たに判明したと発表した。

 情報を持ち出したのは、コールセンター業務を委託しているトランスコスモスの元契約社員で、昨年3~8月ごろに閲覧を許可した23人分の情報を不正に取得した可能性があるとしている。

 ベネッセは「流出した情報は既に回収され、現時点で第三者に渡ったという事実は報告されていない」と説明。顧客へのおわびも始めているという。

■8万4千人分の顧客データ流出 旭川のクレジット会社

北海道旭川市のクレジットカード会社「エヌシーマック」は13日までに、顧客の住所、氏名、カード番号、暗証番号などの情報約8万4千人分が流出していたと明らかにした。不正利用が疑われる請求があったものの、同社が負担し、顧客への被害は確認していないとしている。

 同社によると、流出したのは平成23年6~10月ごろのデータ。25年3月までに一部が流出した疑いが浮上し、全会員のカード番号を変更した。今年2月23日に警察から情報提供があり調べたところ、当時保持していたほぼ全ての顧客データが流出していたことが分かった。流出の経緯は不明という。

■米国史上最大、メールアドレス10億件盗む

米司法省は6日、インターネットプロバイダーに不正にアクセスして10億件以上のメールアドレスを盗み出し、200万ドル(約2億4000万円)の利益を上げたとして、25~33歳のベトナム人2人とカナダ人1人の計3人を起訴したと発表した。

同省は、流出したデータ件数としては「米国史上最大」としている。

 同省によると、3人はハッキングによって少なくとも全米8社のプロバイダーから10億件以上のメールアドレスを入手。このアドレスに大量のスパムメールを送りつけ、グループの1人が運営する販売サイトに誘導し、200万ドルの収入を得ていた。

■深刻度増すデータ持ち出し「転職先で使うため」

警察庁は26日、企業などの知的財産権を侵害したとして、全国の警察が昨年1年間に摘発した事件が前年より50件増の574件で、統計が残る1986年以降で最多だったと発表した。

営業秘密を持ち出した事件は11件で倍増した。企業の知的財産の意識が高まっていることから、産業スパイへの罰則強化を盛り込んだ不正競争防止法の改正案が今国会中に提出される見通し。

同庁によると、営業秘密侵害事件は前年より6件増の11件で、摘発者数は13人だった。研究データを韓国企業に持ち込んだとして東芝の提携先企業の元技術者の男が不正競争防止法違反(営業秘密開示)で逮捕・起訴されたほか、ベネッセコーポレーションの顧客情報を流出させた元システムエンジニアの男も同法違反(営業秘密複製、開示)で逮捕・起訴され、いずれも公判中だ。

 警察庁によると、転職先で使うため、顧客名簿を持ち出すケースが目立つという。同庁幹部は「大量のデジタルデータを持ち出しており、被害の深刻度が増している」と分析する。

■情報流出は2万件=女子プロゴルフ協会

日本女子プロゴルフ協会のサーバーが不正アクセスを受け、選手らの個人情報が流出した問題で、同協会は25日、不正アクセスは昨年12月5日から15日まで断続的に行われ、情報流出件数は合計2万704件だったと発表した。生年月日、電話番号やクレジットカード番号、金融関係の口座情報などの漏えいはなかったという。
 不正アクセスは1月に判明。写真データの一部が流出していたため、協会は調査委員会を設置していた。

■転職先の中国企業に“手土産”? 情報不正取得容疑で日産元社員を逮捕

日産自動車の国内外でのモーターショーに関する情報などを不正に取得したとして、神奈川県警生活経済課は14日、不正競争防止法違反(営業秘密領得)の疑いで、元日産自動車社員、柴山哲也容疑者(52)=同県茅ケ崎市柳島海岸=を逮捕した。

 逮捕容疑は、在職中の平成25年12月~26年2月の間、横浜市西区の本社からサーバーコンピューターにアクセスし、同社のモーターショーの演出方法に関するデータなど計8件のファイルを自分のハードディスクに複製したとしている。「利益を得る目的ではなかった」と容疑を否認している。

同課によると、柴山容疑者は退職願を出す約半年前から、計1万8千件のファイルを自分のパソコンに取り込み、退職後は中国河北省の自動車会社「長城汽車」に派遣社員として転職していた。県警は、柴山容疑者が再就職先で利益を得る目的で情報を持ち出した可能性もあるとみて調べている。

 日産自動車をめぐっては、昨年5月にも転職直前に発売前の新型モデルの販売計画を不正に入手したとして、別の元社員が同容疑で逮捕、在宅起訴されている。

■米大手保険「非常に洗練されたサイバー攻撃」受ける 8千万人の個人情報“盗難” 中国関与かFBI捜査

米国の医療保険大手「アンセム」は5日、同社のコンピューターが「非常に洗練されたサイバー攻撃」を受け、米連邦捜査局(FBI)が捜査を始めたと発表した。

 顧客ら約8千万人の個人情報が盗まれたとみられ、米メディアは手口などから中国のハッカーによる犯行が疑われていると報じた。

 盗まれたのは顧客や元顧客の氏名や住所、社会保障番号、収入額などの情報。顧客にはオバマ大統領のサイバーセキュリティー顧問や、米国防産業大手ノースロップ・グラマンの従業員らも含まれている。

米専門家はワシントン・ポスト紙(電子版)に対し、中国政府傘下のハッカーが過去6カ月にわたり、医療保険会社を標的にしていると指摘。病歴や収入額などの個人情報は、中国の工作員が米国内で協力者を獲得するために有用だと語った。

■2886人分の情報紛失 京都開催のタカラトミーイベントで

タカラトミーと小学館集英社プロダクションは5日、カードゲームのイベント参加者2886人分の個人情報を紛失したと発表した。現時点で個人情報が流用されたとの報告はないという。

 昨年12月23日に京都市勧業館(みやこめっせ)で開いた「デュエル・マスターズ全国大会2014デュエマ甲子園 エリア代表決定戦 関西大会」の際に、運営協力会社の社員が全国12大会の参加者の氏名、住所、電話番号などを記録したUSBメモリーを紛失した。翌24日にこの社員の報告で判明した。

 個人情報データは暗号化するルールになっていたが、社員は暗号化していなかったという。

■ベネッセ情報流出、子供や親13人が提訴

ベネッセコーポレーションの顧客情報流出事件で、精神的苦痛を受けたとして顧客の子供やその親計13人が同社と関連会社に計100万円の損害賠償を求めて東京地裁に訴えを起こしたことが31日、分かった。

 提訴は29日付。代理人の弁護士によると、氏名や生年月日、住所などが漏れたとしており、慰謝料などの請求額は、子供1人10万円、親1人5万円。

このほかにも別の弁護士らが「被害者の会」を結成し、集団訴訟を起こす準備を進めている。

 ベネッセホールディングスは9月、流出した個人情報が約2895万件に上るとの推計を発表、被害に遭った顧客には500円相当の金券を配布すると表明している。

■バックグラウンドで勝手に個人情報が送信される恐怖

スマホのバッテリーの減り方が異常に早かったり、ある日を境に迷惑メールが急に増えたり――そうした経験がある人は、知らない間に個人情報が抜き取られている可能性がある。インストールしたアプリが勝手に立ち上がり、バックグラウンドで情報を外部に送信する。そうした動作がスマホのバッテリーを消耗させているのだ。

セキュリティ対策のソフトを開発・販売するマカフィーは、自動インストールを勝手に行うアプリの存在を今年3月に発表。「無料でエロ動画を視聴できる」とうたったアプリをインストールすると、関係のない他のアプリまで次々にダウンロードし、起動する事例が報告されている。

 現状では、他のアプリをダウンロードして起動する以外の動作を行っておらず、不審なダウンロードもなかった。だが、それがもし有害なマルウェアアプリだったとしたら、スマホ内の情報は簡単に抜き取られてしまう。

■ソニーへのサイバー攻撃、約4万7000人の情報が流出か

映画製作大手ソニー・ピクチャーズ エンタテインメント(Sony Pictures Entertainment)が受けたサイバー攻撃によって盗み出され、個人情報は、著名人を含む約4万7000人分に上るとみられることが、セキュリティー研究者らによって5日、明らかになった。

 セキュリティー会社、アイデンティティー・ファインダー(Identity Finder)が行った分析の結果、「なりすまし犯罪もくろむ者たちに犯行を許す」ことにつながる氏名、社会保障番号、誕生日、自宅住所などといった情報の流出が確認された。

同社のトッド・ファインマン(Todd Feinman)社長は、「分析の結果、最も懸念されるのは、(盗み出された)ファイルに含まれていた社会保障番号のコピーが非常に多いことだ」と話している。これらの番号の中には400以上の場所で見つかったものもあり、「ハッカーたちに、大混乱を引き起こし得るより多くの機会を与えてしまった」という。

 ファインマン氏は、こうした情報を含むスプレッドシートやワードなど合わせて601のファイルの流出を確認している。ファイルには、ソニー・ピクチャーズの現在と過去の従業員、合わせて1万5000人以上の社会保障番号などが保存されていた。

 ソニー・ピクチャーズはサイバー攻撃を受けたことを今週に入って公表していた。

■個人情報4万件、シュレッダーで粉砕 三重銀行、誤廃棄

三重銀行(三重県四日市市)は4日、個人情報が記載された小切手や税金の納付書などの画像データ約4万件を保存した記録媒体を誤って廃棄したと発表した。シュレッダーで粉砕しており、外部への流出はないとしている。

 同行によると、本店が昨年10月~今年9月末に扱った小切手や納付書のデータを記録したディスク3枚で、本来「保管依頼書」を添付するところを、誤って「廃棄依頼書」を付けてしまったという。10月下旬に利用客から問い合わせがあり、分かった。

 バックアップはなく、利用状況の問い合わせに応じることはできないが、利用者に経済的な被害はないという。

■8300万件の情報流出 米金融大手JPモルガン、サイバー攻撃捜査

米金融大手JPモルガン・チェースは2日、8月に表面化したサイバー攻撃で、一般世帯と小規模事業者を合わせた計約8300万件の顧客情報が流出したと発表した。

 盗まれたのは氏名や住所、電話番号、電子メールアドレスと、顧客に関連するJPモルガンの内部情報という。一方、口座番号やパスワード、ユーザーID、生年月日、社会保障番号については「流出は確認されていない」としている。

 米メディアによると、米連邦捜査局(FBI)などがサイバー攻撃について調べており、ロシアまたは東欧のハッカー集団が関与した可能性が指摘されている。JPモルガンは「米政府機関の調査に全面的に協力している」とコメントした。

■ドコモ不正ログイン6千件 ネットID入手か

NTTドコモは30日、動画や音楽など自社のネットサービスの利用に必要な「docomo ID」を使った約6千件の不正ログインを確認したと発表した。管理サーバーが外部から侵入された形跡は見つかっておらず、何者かが利用者のIDとパスワードを入手したとみている。

ドコモによると、発覚したのは29日。調査の結果、27~29日に約225万件の不正ログインが試みられ、実際に6072件のIDで被害が確認された。このうち、一部の利用者の氏名や住所、契約内容といった情報が盗み見られた恐れがあるという。

 ドコモは、パスワードを変更しないと利用できないように対応した。

■個人情報盗まれる? iOS 8に指摘

iOS 8.0.1のバグなど踏んだり蹴ったりのiOSですが、泣きっ面に蜂と言わんばかりにまた悪いニュースが浮上してきそうです。Twitterificの開発者の1人であるCraig Hockenberry氏によると、アプリ内ブラウザはキーボード入力を監視できるようなのです。

iOSのアプリ内ブラウザでキーボード入力すると、たとえセキュアなパスワードの入力欄であっても、アプリ側は入力した文字を抽出できてしまうそうです。というのも、アップルのアプリ開発ガイドラインに従うため、アプリ内ブラウザはSafariのOAuth認証を使わないからなのです。

この問題は他の致命的な欠陥に比べると小さいものにも見えますが、見過ごすのは危険です。例えばツイッターのアプリからリンクされたアマゾンの商品ページに移動し、その商品を購入しようとします。すると、メールアドレス、アマゾンのパスワード、住所、そしてクレジットカードの番号など、個人情報泥棒が必要なすべての情報をそのアプリ内ブラウザで入力することになるのです。もしそれを監視されていたら…。考えるだけでゾッとしますね。

■会員向けHPに不正ログイン=情報1万件漏えいか―ヤマト運輸-

ヤマト運輸は26日、個人向け会員サービス「クロネコメンバーズ」のホームページ(HP)が不正ログイン被害に遭い、利用者1万589人分の氏名や住所、電話番号などが第三者に閲覧された可能性があると発表した。これまでに悪用された報告はないという。

 同社によると、25日午後3時ごろからHPに大量のアクセスが始まり、26日午後5時までに約19万件に上った。同サービス以外のIDやパスワードの入力が多く、他社のネットサービスから漏れたIDなどが悪用された可能性がある。

 同社は不正に使われたIDを使用停止にし、顧客に他社のサービスと同じパスワードを使わないよう呼び掛けている。

■不正アクセス、75万人の個人情報流出?…日航

日本航空は24日、顧客情報を管理するシステムに不正アクセスがあり、顧客の氏名や住所、勤務先などの個人情報が最大75万人分、流出した可能性があると発表した。

同社は流出した情報の詳細を調べると共に、警視庁にも被害について相談している。

同社によると、マイレージ会員約2800万人の個人情報を管理するシステムの動作が今月19日から極端に遅くなったことから調査したところ、7月30日以降、繰り返し不正アクセスがあったことが判明。東京都品川区の本社にあるパソコン22台と、福岡市にある同社コールセンターの1台からウイルスが発見され、8月18日以降に香港のサーバーに何らかのデータが送信されていた。

 送られたデータ量は11万~75万人分の個人情報に相当するが、どの顧客の情報が流出したかは調査中という。クレジットカードの番号などは、このシステムで管理しておらず、流出していないとしている。

■ベネッセの情報漏えいはなぜ起きた? 調査報告で問題詳細が明らかに

ベネッセホールティングスは9月25日、ベネッセコーポレーションで発生した顧客情報の漏えいに関する調査委員会(委員長・小林英明弁護士)の最終報告について概要を公表した。調査期間は7月22日から9月12日までで、委員会ではのべ63人に事情聴取などを行い、発生時のセキュリティ対策や犯行の手口、再発防止策などを取りまとめた。

今回の漏えい事件における主な経過と調査結果の概要は以下の通りとなっている。

・6月27日:顧客の問い合わせで情報漏えいの可能性を認識、社内調査を開始
・7月7日:情報漏えいの事実を確認、危機管理委員会を発足、緊急対策を講じる
・7月9日:情報漏えいの事実を公表
・7月15日:警視庁に刑事告訴。ベネッセホールディングスが調査委員会の発足を決定
・7月17日:警視庁が情報システム子会社シンフォームの業務委託先の元社員を不正競争防止法違反容疑で逮捕
・7月21日:漏えいした情報の規模や内容などを追加発表
・7月22日:調査委員会メンバーを選出、調査開始
・8月4日:顧客対応のための「お客様本部」を設置
・9月10日:調査委員会の調査報告と再発防止策、顧客対応などを発表
・9月12日:調査委員会の最終報告を原田泳幸代表取締役会長兼社長が受

被疑者はシンフォームでデータベース内に保管されていた顧客などの個人情報を抽出し、業務で使用していたPCに保存して、不正行為を準備。PCに保存した個人情報をUSBケーブルで自身のスマートフォンに転送、内蔵メモリに保存するなどして不正に領得した。その後、領得した情報を名簿業者に売却していた。

 システムの問題点では(1)アラート、(2)データの書き出し制御、(3)アクセス制限、(4)データベースでの情報管理――の4点が挙げられている。

(1)シンフォームでは業務担当者のPCから個人情報を保有するサーバへのアクセスで、自動的にアクセスログと通信ログを記録し、通信量が一定のしきい値を超えると、データベース管理者であるシンフォームの各担当部門の部長に対して、メールでアラートが送信される仕組みになっていた。だが、アラートシステムの対象範囲が明確に設定されておらず、被疑者が不正行為に対してシステムが機能しなかった。

(2)社内規程上では業務上の必要性が明確であり、その他方法がない場合で情報の部門責任者の許可、各部管理責任者の外部メディアの使用許可を得た場合ではない限り、データを外部メディアへ書き出すことを禁止していた。この行為を制御するシステムも採用し、バージョンアップ時に、制御設定の見直しを行っていた。しかしバージョンアップ時に、特定の新機種のスマートフォンを含む一部の外部メディアへの書き出しについては、機能しない状態にあった。

 (3)業務担当者のPCから当該データベースへのアクセスでは業務担当者が、管理者の承認を得てアクセスの付与を申請し、作業に必要であれば申請受付部門が承認して、アクセス権限を付与していた。シンフォームでは付与されたアクセス権限の見直しが定期的に行われていない状況も多く見受けられた。

(4)シンフォームは、当該データベース内の個人情報を細分化もしくは階層化し、グルーピングした上での異なるアクセス権限を設定するなどの対策は講じていなかった。当該データベースは、主にマーケティング分析で使用されていたが、その目的に応じて必要かつ十分な程度までの個人情報の抽象化、属性化は行われていなかった。

■JAL、最大75万件の顧客情報が漏えい – 管理PCがマルウェアに感染

日本航空(JAL)は9月24日、同社の顧客情報システムにアクセスできるPCがマルウェアに感染し、JALマイレージバンク(JMB)会員の個人情報が漏えいした可能性があると発表した。

同社が事態を把握したのは22日。2800万件の顧客情報を管理する顧客情報システムにアクセスできるPCの一部にマルウェアが仕掛けられており、外部にシステムのデータを送信していたことがわかった。

送信データを解析したところ、データ量から見て、通常であれば11万件、データを圧縮して送信していた場合には最大で75万件の情報が外部に送信されていたことが判明した。残りの2700万件強の個人情報については「漏えいしていない」(広報部)としている。

同社では、ただちにデータを送信していたIPアドレスへの通信を遮断する対策を講じており、同システムにアクセスできる全てのPCの外部接続も遮断しているという。詳細な原因については、現在も調査を行なっており、追ってお知らせするとしている。

なお、漏えいした情報は

・会員番号(お得意様番号)・入会年月日・名前・誕生日・性別・自宅の郵便番号、住所、電話番号、FAX番号・勤務先の会社名、郵便番号、住所、電話番号(内線)、所属部門名、役職・メールアドレス(PC、携帯)

これらの情報は暗号化処理などを行なっておらず、平文で保存していた。一方で、同社によるとパスワードとクレジットカード番号については漏えいしていない。

JALでは2月に不正ログイン被害を受けており、「Amazonギフト券への特典交換サービス」の受付を停止していた。9月24日からサービス再開を予定していたが、今回の情報漏えいを受け「セキュリティ上の対応を進める必要が生じた」ため、再開を延期するとしている。

■情報流出か…法務省サーバーなどに不正アクセス

法務省は22日、同省と全国の法務局を結ぶ事務処理用ネットワークのサーバーと複数の同省職員のパソコンに対し、外部から不正なアクセスがあったと発表した。

 登記業務や人権相談に関連する個人情報が流出した可能性があるといい、同省は警視庁に相談するとともに、流出情報の有無や原因を調べている。

 発表によると、今月5日の点検で、職員のパソコンが外部と不審な通信をしている痕跡が見つかった。調査の結果、パソコンやサーバーに不正アクセスがあったことが判明。同省は、法務局と結ぶネットワークのインターネット接続を遮断した。

法務局では、不動産や成年後見の登記業務のほか、いじめ被害や外国人差別などの人権相談業務を行っている。ネットワークは、登記情報などが蓄積されたシステムとは分離されているが、登記や人権相談業務に関し、職員同士がメールや掲示板などでやり取りした個人情報が、流出した可能性があるという。同省民事局は「現時点では確認されていないが、流出の可能性があることは大変遺憾だ」としている。

■1万社以上が回答、営業秘密を漏えいした企業の3割は対策せず――帝国データバンク調べ

ベネッセグループから推定で約3000万件もの大量の個人情報が漏えいしたばかりだが、企業の多くはこうした営業上の秘密の重要性を認識しながら、漏えい対策に取り組んでいないことが分かった。実際に漏えいを起こした企業の3割が対策をしていなかった。

帝国データバンクが8月下旬に実施した「営業秘密に関する企業の意識調査」では1万1023社が回答、9月11日にその結果が発表された。

 それによると、営業秘密を重要であるとした企業は82.3%、大企業では87.6%だが、小規模企業では74.3%にとどまる。「重要ではない」と回答する企業も12.3%あった。

 過去5年間における営業秘密の漏えいの有無では「なし」とした企業が75.8%、「あり」「疑われる事例あり」とする企業が9.5%だった。「分からない」は14.7%に上る。

 「あり」「疑われる事例あり」では企業規模別に大きな違いはみられなかった。大企業では技術的な対策や教育などの取り組みが進んでいても、事業規模も大きいだけに発生頻度は高い。一方、小規模な企業では対策などが追い付いていないとみられる。

営業秘密の漏えい対策について、「取り組んでいる」とした企業は51.6%、「取り組んでいない」という企業は35.2%だった。過去5年間で営業秘密の漏えいが「あり」「疑われる事例あり」とした企業で、対策に「取り組んでいない」とした企業は31.5%に上った。調査ではこうした企業から、退職者が再就職先に情報を持ち出すのは防げない、対策が分からないといった声が挙げられている。

 営業秘密の漏えい対策方法については、現在取り組んでいるものでは「秘密保持契約の締結」(53.1%)や「情報の管理方針などの整備」(50.2%)、「データなどの持ち出し制限の実施」(46.7%)が上位を占めた。今後取り組む対策では「情報の管理方針などの整備」(25.2%)、「営業秘密とそれ以外の情報の区分」(20.9%)、「データなどの持ち出し制限の実施」(20.1%)などが挙げられた。

 ここでは「最後は個人の問題に行き着く」との指摘も多くなされ、社内での円滑な人間関係の構築などで漏えいを防ぐことが重要だという。

■NTTドコモ、法人顧客1社1053人分の個人情報流出

NTTドコモは、法人の顧客に保守運用サービスを提供するために預かっていた1社1053人分の社員の個人宅住所を含む管理情報が流出した疑いがあると発表した。

流出したのは法人名、業務用携帯電話番号、業務用携帯電話の利用者名、住所などを含む1053人分の社員の個人情報。保守運用サービス「法人モバイル管理サービス」を提供するためにNTTドコモが管理していた情報の一部とみられる。この管理情報は主に勤務先の情報だが、当該1社については個人宅住所を含む情報が含まれていた。

原因については、現時点では外部からの不正アクセスによる管理情報の流出ではないと確認しているという。現在、全容解明に向け社内調査を進めており、捜査機関への相談の上被害届提出の準備も行っているとしている。

■写真流出で米アップルが声明、「システムに欠陥なし」

インターネット上に米オスカー女優のジェニファー・ローレンス(Jennifer Lawrence)さんら多数の芸能人のヌード写真が流出した問題で、米アップル(Apple)は2日、声明を発表し、一連の流出は特定の芸能人のパスワードやユーザーネームを狙った攻撃が原因であり、自社のクラウドサービス「iCloud」のシステムの不具合によるものはなかったと発表した。

アップルは声明で「40時間以上にわたる調査の結果、ユーザーネームやパスワード、セキュリティー質問を狙った攻撃によって、特定の著名人のアカウントが不正にアクセスされたことが分かりました。これは、インターネット上では非常に一般的になっている行為です」と発表。「当社が調査した事例はいずれも、『iCloud』や『iPhoneを探す』を含むアップルのシステムの欠陥が原因ではありませんでした。当社は、この問題に関与した犯罪者を特定するため、法執行機関との協力を継続していきます」と述べている。

 アップルは、簡単に推測できるパスワードや、アップルを装って個人情報をだまし取る「フィッシング」と呼ばれる手口により、芸能人らのアカウントが不正にアクセスされた可能性があると示唆している。

■南日本放送、2万828人分のメール会員情報を流出

鹿児島県を放送地域とする南日本放送(TBS、JRN、NRN系)は29日、不正アクセスによりメール配信サービス「ふるぷりネット」の個人情報が流出していたと発表した。

 流出したのは、気象情報や桜島の噴火情報などをメールで配信する「ぷるぷりネット」の会員のうち、2012年10月31日まで使用していたデータベースに登録されていた2万828人分の個人情報。流出した個人情報は、メールアドレス、パスワード、郵便番号、電話番号、生年月日、だという。

同社は謝罪するとともに、利用者にパスワードを変更するよう呼びかけている。また、不審なメールや心当たりのないメールが届いた場合には開かないようにするようにも呼びかけている。

 同社では、「ふるぷりネット」のメール配信はしばらく休止するとしている。

■ワイモバイル、1321人分の利用者情報紛失

携帯電話会社のワイモバイルは2014年8月15日、1321人分の個人情報が含まれたパソコン(PC)を紛失したと発表した。

発表によると、旧イー・モバイルが13年1月28日から14年1月24日まで提供していたコミュニティーサイト「つながるマップ」の運営を委託している企業の社員が、業務で使用しているPC1台を紛失したことが14年8月2日未明に判明したという。PCには、13年3月3日までに「つながるマップ」に登録したユーザーの住所、氏名、生年月日、メールアドレスなどが含まれていた。8月15日時点でPCは発見されていないが、パスワードが設定されていることもあり、利用者情報が悪用された事実は確認されていないとしている。

  • このエントリーをはてなブックマークに追加