3月の国内インシデントをまとめました。
3月は1月、2月よりも件数が増え心が折れそうになりましたが、なんとかもう1回ぐらいはということでまとめました。
お約束ですが、下記お読みいただくにあたり、次の点(特に最後)にご注意ください。
- 国内の組織で発生したインシデントをpiyokangoが数えたもので、海外等のインシデントは含まれていません。
- 対象インシデントは公式発表か、報道で発表が確認されたものに限定しています。
- 本当に正確な数字なのか?という点についてpiyokangoはこれを保障しません。ご自身で判断ください。参考程度としてみて頂くのが良いと思います。
このデータを計上するにあたり次のサイトを参考にさせて頂きました。
- DLP News 情報漏洩対策ニュース
- SecurityNEXT
- Zone-h
- その他新聞・ネットメディア等のサイト
3月の国内インシデント発生件数
3月は国内で69件の紛失、誤送信等の情報漏えいと9件の不正アクセスの報道、発表が確認されました。また漏えいした個人情報は合計で30万7208(不明分5件除く)人となっています。
この内最も件数が多いのは誤送信等による情報漏えいで31件です。また紛失による情報漏えいも24件ありました。
漏えい件数が最も多かったのはベクターへの不正アクセスで、26万1161件のクレジットカード情報を一部含む情報の漏えいの可能性があった*1ことが発表されています。またこの他にもアフラック株式会社*2、東急ハンズ*3でも2000件以上の外部への漏えいが起きています。
- 2012年3月度漏えい件数 TOP5
No | 会社名 | 種別 | 漏えい件数 |
1 | 株式会社ベクター | 不正アクセス(詳細不明) | 261,161件 |
2 | トラベレックスジャパン株式会社 | 誤送信*4 | 9,523件 |
3 | 富国生命保険相互株式会社 | 誤送信*5 | 5,909件 |
4 | エス・バイ・エル株式会社 | 紛失*6 | 5,762件 |
5 | 京都信用金庫 | 誤送信*7 | 4,999件 |
メールマガジン等の多数の人間に一括送信する際に、本来Bccとして送信すべきところをToにして送信してしまい、受信した側で同報で送信されたのが誰かが漏れてしまうと誤送信による漏えいが後を絶ちません。このような作業ミスを起因とした問題は人によるチェックを増やしてもチェック作業そのものが形骸化してしまったり、チェックも人が行う以上完ぺきではなく漏れが生じる可能性もあります。システムやソフトウェアの設定やテンプレートで宛先タイプの既定値変更が可能であれば最初からBccにしておいたり、また同報送信専用のソフトウェア*8を利用するのも有効だと思います。
また、漏えい媒体は紙による件数が6割と依然として多いですが、これを人数別にみるとメール等の電子媒体による漏えいが5割となり最も多くを占めます。
- 件数別
- 漏えい人数別
今月は医療業種からの漏えいがトップ
- 件数別
- 漏えい人数別
紛失や誤送信等による個人情報の漏えいを業種別にみると自治体が先月に引き続き4割となりました。ただ、これを漏えいした人数別にみると金融系の業種による漏えいが4割と最も多いことが分かりました。
金融系業種で今月漏えいが起きたのは先の総括でも記載したトラベレックスジャパンや京都信用金庫の他、りそな銀行(りそな銀、顧客情報2242件紛失,時事通信,2012/04/14アクセス:魚拓))や鹿児島相互信用金庫*9で発生しています。
内部犯行の発覚が多かった
不正アクセス、サービス妨害等のインシデントは3月は9件が確認されました。内部の人間による漏えい(内部犯行)がその内6件を占めており、大阪市交通局2件*10 *11、東洋商事*12、滋賀県立淡海学園*13、青梅市*14、福智町*15で発生しています。内部犯行は発生から発覚までの期間が大きく開いてしまう傾向にあり、今回の青梅市については2004年2月からと実に8年以上経過しています。また内部犯行によるインシデントはどの組織も自身で詳細について報告するところは少なく、今回もこれら6件全て公式な発表は行われていないのも特徴として挙げられるかと思います。
HPの改ざんは今月は1件、国立感染症研究所で発生しました。同サイトは現在は復旧しており、詳細について報告*16がされています。HPの改ざん事案は復旧中(詳細調査中)は報告ページ等を掲載されるのが一般的ですが、復旧が完了したらそれで終わりとされるのもまたよく見かけます。このように事後報告を詳細にするというのは珍しく、同種の被害を発生させないためにも可能な範囲での詳細報告は広まってほしいです。
また、1月、2月に改ざんを受けた前橋競輪*17や同志社大学のサイトは復旧しています。同志社大学は不正アクセスによる人物を特定する調査を中止したと同大学のプレスで報道されています。*18「技術的」な障壁があったともあるので、ログ等が満足に保存されていなかった可能性もあります。
ベクターの不正アクセスに関する考察
3/22にベクターが不正アクセスを受け26万人の情報漏えいが起きた可能性を発表しましたが、一連の発表では具体的な不正アクセスの手口について報告は行われていません。今回件数が多かったことから当初はSQLインジェクションによるものかとも考えていましたが、経緯を見ていくとどうもそうではないように思いました。
ベクターの発表を見ると、不正アクセスの発覚から対応にまで要した時間が短いという特徴があります。経緯の欄を見ると、システム担当者が3/21の午前2時半にサーバーに異常があったことに気づき、同日5時10分に対応を完了したと報告しています。この間、わずか2時間半程度です。仮にSQLインジェクションであった場合、アプリケーションの脆弱性に気が付き、改修するのは容易ではありません。緊急回避策としてWAFを入れたとしても、WAF自体の手配(朝2時と営業時間外で起きている)や脆弱なサービスを再稼働させるにあたってのそれが問題ないことの検証、チューニングといった作業を行うには2時間半では足りません。また、実施済みの対応策を見ると、ログインパスワードの変更やサーバー間アクセスの制限等は記載されていますが、Webアプリケーションに関する記述はありません。さらに搾取された可能性のある個人情報を削除したとも記述があります。つまり元から無くても業務にはさして影響の出ない箇所であったことが分かります。
恐らく外部にFTPやSSH等のサービスが公開されており、辞書攻撃等のアクセス試行を通じて認証が突破され、そのサーバー、ないしはそこからさらに他のサーバーに入られたのではないかと考えます。サーバーのいずれかに個人情報を格納したファイルがバックアップ等の目的で保存されていたのではないでしょうか。
話はそれますが、3月のMSの月例パッチではRDPの脆弱性(MS12-020)の公開後にすぐにPoCが出回り、RDPを公開しているマシンに対して容易にDoS攻撃が出来る状態となってしまいました。リモートアクセスを可能とするようなサービスは便利でもあり、つい公開をしたくなりますが、せめて不用心な設定とならないよう注意したいところです。
ANA、国際協力銀行の詐称メール事案
3月は国際協力銀行がウィルス感染、及び詐称メールの確認をしたと発表しています。またANAを詐称したメールが送付されたという発表もされています。
国際協力銀行についてはここでもまとめているのでそちらを参照ください。*19
ANAについてはサイバーディフェンス研究所の福森さんが添付ファイルについてまとめたレポートを公開されています。*20 気がかりなのはNHKの報道でもありましたが『メールには利用者の本名が正確に記され』という点です。これが本当なのであれば、メールアドレスと名前のセットはどこから漏れたのでしょうか。
4月に続く。
*1:不正アクセスによるお客様情報流出の可能性に関するお詫びとご報告,ベクター,2012/04/14アクセス:魚拓
*2:お客様情報の流出について(PDF),アフラック,2012/04/14アクセス
*3:【メール誤送信に関するお詫びとお知らせ】,東急ハンズ,2012/04/14アクセス:魚拓
*4:キャッシュパスポートに関するお客様情報の誤送信について(PDF),トラベレックスジャパン,2012/04/14アクセス
*5:お客さま情報の紛失について(PDF),富国生命保険相互会社,2012/04/14アクセス
*6:お客様情報紛失についてのお詫びとお知らせ(PDF),エス・バイ・エル株式会社,2012/04/14アクセス
*7:個人情報の流出についてのお詫びとお知らせ,京都信用金庫,2012/04/14アクセス:魚拓
*8:ソフトライブラリ 同報メール,窓の杜,2012/04/14アクセス
*9:お客様情報の紛失について,鹿児島相互信用金庫,2012/04/14アクセス:魚拓
*10:大阪市交通局、幹部職員が人事異動候補者情報を漏洩,DLP News 情報漏洩対策ニュース,2012/04/14アクセス
*11:大阪市市交通局、局職員の一覧リストが作成され外部に流出,DLP News 情報漏洩対策ニュース,2012/04/14アクセス
*12:わいせつ画像サイト、運営者逮捕=350人の個人情報も掲載−京都府警,時事通信,2012/04/14アクセス:魚拓
*13:採用試験漏えい:淡海学園の園長を懲戒免職処分−−県 /滋賀,毎日新聞,2012/04/14アクセス:魚拓
*14:青梅市:個人情報、業務外閲覧の疑い 飛弾市議指摘「市職員が10件」 /東京,毎日新聞,2012/04/14アクセス:魚拓
*15:福智町議の水道料情報流出、町臨時職員が辞職,読売新聞,2012/04/14アクセス:魚拓
*16:平成24年3月25日の不正アクセスとページ改ざんについて,国立感染症研究所,2012/04/14アクセス:魚拓
*17:前橋競輪ホームページのリニューアルについて,前橋競輪,2012/04/14アクセス:魚拓
*18:【本紙4月号掲載】不正アクセス 追跡断念,同志社大学PRESS,2012/04/14アクセス:魚拓
*19:国際協力銀行のウィルス感染事案をまとめてみた。,piyolog,2012/04/14アクセス
*20:標的型攻撃メールの手口と対策,エフセキュアブログ,2012/04/14アクセス