3月の国内インシデント発生件数

3月は国内で69件の紛失、誤送信等の情報漏えいと9件の不正アクセスの報道、発表が確認されました。また漏えいした個人情報は合計で30万7208(不明分5件除く)人となっています。

この内最も件数が多いのは誤送信等による情報漏えいで31件です。また紛失による情報漏えいも24件ありました。
漏えい件数が最も多かったのはベクターへの不正アクセスで、26万1161件のクレジットカード情報を一部含む情報の漏えいの可能性があった*1ことが発表されています。またこの他にもアフラック株式会社*2、東急ハンズ*3でも2000件以上の外部への漏えいが起きています。

• 2012年3月度漏えい件数 TOP5

メールマガジン等の多数の人間に一括送信する際に、本来Bccとして送信すべきところをToにして送信してしまい、受信した側で同報で送信されたのが誰かが漏れてしまうと誤送信による漏えいが後を絶ちません。このような作業ミスを起因とした問題は人によるチェックを増やしてもチェック作業そのものが形骸化してしまったり、チェックも人が行う以上完ぺきではなく漏れが生じる可能性もあります。システムやソフトウェアの設定やテンプレートで宛先タイプの既定値変更が可能であれば最初からBccにしておいたり、また同報送信専用のソフトウェア*8を利用するのも有効だと思います。

また、漏えい媒体は紙による件数が6割と依然として多いですが、これを人数別にみるとメール等の電子媒体による漏えいが5割となり最も多くを占めます。

• 件数別

• 漏えい人数別

今月は医療業種からの漏えいがトップ

• 件数別

• 漏えい人数別

紛失や誤送信等による個人情報の漏えいを業種別にみると自治体が先月に引き続き4割となりました。ただ、これを漏えいした人数別にみると金融系の業種による漏えいが4割と最も多いことが分かりました。

金融系業種で今月漏えいが起きたのは先の総括でも記載したトラベレックスジャパンや京都信用金庫の他、りそな銀行(りそな銀、顧客情報２２４２件紛失,時事通信,2012/04/14アクセス:魚拓))や鹿児島相互信用金庫*9で発生しています。

内部犯行の発覚が多かった

不正アクセス、サービス妨害等のインシデントは3月は9件が確認されました。内部の人間による漏えい（内部犯行）がその内6件を占めており、大阪市交通局2件*10 *11、東洋商事*12、滋賀県立淡海学園*13、青梅市*14、福智町*15で発生しています。内部犯行は発生から発覚までの期間が大きく開いてしまう傾向にあり、今回の青梅市については2004年2月からと実に8年以上経過しています。また内部犯行によるインシデントはどの組織も自身で詳細について報告するところは少なく、今回もこれら6件全て公式な発表は行われていないのも特徴として挙げられるかと思います。

HPの改ざんは今月は1件、国立感染症研究所で発生しました。同サイトは現在は復旧しており、詳細について報告*16がされています。HPの改ざん事案は復旧中(詳細調査中)は報告ページ等を掲載されるのが一般的ですが、復旧が完了したらそれで終わりとされるのもまたよく見かけます。このように事後報告を詳細にするというのは珍しく、同種の被害を発生させないためにも可能な範囲での詳細報告は広まってほしいです。
また、1月、2月に改ざんを受けた前橋競輪*17や同志社大学のサイトは復旧しています。同志社大学は不正アクセスによる人物を特定する調査を中止したと同大学のプレスで報道されています。*18「技術的」な障壁があったともあるので、ログ等が満足に保存されていなかった可能性もあります。

ベクターの不正アクセスに関する考察

3/22にベクターが不正アクセスを受け26万人の情報漏えいが起きた可能性を発表しましたが、一連の発表では具体的な不正アクセスの手口について報告は行われていません。今回件数が多かったことから当初はSQLインジェクションによるものかとも考えていましたが、経緯を見ていくとどうもそうではないように思いました。

ベクターの発表を見ると、不正アクセスの発覚から対応にまで要した時間が短いという特徴があります。経緯の欄を見ると、システム担当者が3/21の午前2時半にサーバーに異常があったことに気づき、同日5時10分に対応を完了したと報告しています。この間、わずか2時間半程度です。仮にSQLインジェクションであった場合、アプリケーションの脆弱性に気が付き、改修するのは容易ではありません。緊急回避策としてWAFを入れたとしても、WAF自体の手配(朝2時と営業時間外で起きている)や脆弱なサービスを再稼働させるにあたってのそれが問題ないことの検証、チューニングといった作業を行うには2時間半では足りません。また、実施済みの対応策を見ると、ログインパスワードの変更やサーバー間アクセスの制限等は記載されていますが、Webアプリケーションに関する記述はありません。さらに搾取された可能性のある個人情報を削除したとも記述があります。つまり元から無くても業務にはさして影響の出ない箇所であったことが分かります。

恐らく外部にFTPやSSH等のサービスが公開されており、辞書攻撃等のアクセス試行を通じて認証が突破され、そのサーバー、ないしはそこからさらに他のサーバーに入られたのではないかと考えます。サーバーのいずれかに個人情報を格納したファイルがバックアップ等の目的で保存されていたのではないでしょうか。

話はそれますが、3月のMSの月例パッチではRDPの脆弱性(MS12-020)の公開後にすぐにPoCが出回り、RDPを公開しているマシンに対して容易にDoS攻撃が出来る状態となってしまいました。リモートアクセスを可能とするようなサービスは便利でもあり、つい公開をしたくなりますが、せめて不用心な設定とならないよう注意したいところです。

ANA、国際協力銀行の詐称メール事案

3月は国際協力銀行がウィルス感染、及び詐称メールの確認をしたと発表しています。またANAを詐称したメールが送付されたという発表もされています。
国際協力銀行についてはここでもまとめているのでそちらを参照ください。*19
ANAについてはサイバーディフェンス研究所の福森さんが添付ファイルについてまとめたレポートを公開されています。*20 気がかりなのはNHKの報道でもありましたが『メールには利用者の本名が正確に記され』という点です。これが本当なのであれば、メールアドレスと名前のセットはどこから漏れたのでしょうか。

4月に続く。