piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

国立国会図書館で発生した保守・運用委託会社による内部情報の不正取得についてまとめてみた

インシデントまとめ

国立国会図書館の館内ネットワークで発生した保守・運用委託である日立製作所社員(技師)による内部情報の不正取得についてここではまとめます。

(1) 概要

2014年5月15日、国立国会図書館日立製作所はそれぞれ図書館の内部情報の不正取得に関するお知らせを公開しました。日立製作所国立国会図書館の保守・運用業務を請け負っていましたが、同社の社員が保守運用業務のために割当てられた管理権限を悪用し行ったことが明らかになりました。

(2) 被害

  • 国立国会図書館 館内ネットワークの情報資産の一部が不正に持ち出された。
  • 不正に取得した情報を元にシステム開発に関する入札に参加された。*1
    • ただし、日立製作所は落札は出来なかった模様。*2
    • 2014年4月4日とは別の入札。
  • 次の被害は確認されていない。
    • 図書館利用者や書籍に関する情報漏えい
    • 不正に取得した情報の日立製作所以外への拡散
  • 日立製作所技師は不正に取得した入札情報等を少なくとも次の4人にメールで共有していた。
    • 技師の上司である主任技師
    • 国立国会図書館の営業担当者
    • 営業担当者の上司である営業部長代理
    • 営業担当者の同僚である営業主任
不正取得された情報資産

確認(報道)されている不正取得された具体的な情報は次の通り。

  • 2014年4月4日に応札された次期ネットワークシステムに関する情報
    • 他社提案書
    • 参考見積

(3) 発端

  • 日立製作所技師と一緒に貸与PCの画面を見ていた国会図書館職員が閲覧ファイル履歴の不審な点に気づいたことによる。*3
    • 技師が見てはならない管理業務と関係ない入札に関る資料のファイル名であったため。
    • その後の調査から職員専用フォルダにアクセスしていたことが明らかとなった。

(4) 原因

  • 保守・運用を請け負っていた日立製作所技師が運用管理に利用するアクセス権限を悪用し不正に取得(PCへ保存、メールにて外部へ送信)したため。
    • 技師は2011年から国立国会図書館に常駐し館内ネットワークの保守・運用を行っていた。
    • 管理のために割り当てられたアクセス権を用いて行われた。
    • 技師が当該行為を働いた動機については「受注活動を有利にしたかった」と日立製作所の調査において明らかにしている。*4

(5) 対応・対策

国立国会図書館

対応
対策
  • 日立製作所へ当該事案に関する徹底した事実解明、是正措置を要求
  • 日立製作所に対して以下の厳正な措置を検討
    • 契約解除
    • 指名停止
    • 損害賠償請求
  • 国立国会図書館内における情報セキュリティ対策の一層の強化
  • 国立国会図書館内の運用管理者の不正行為を抑止する再発防止策を早急に講じる

日立製作所

対応
  • 不正取得に関する情報の公開
  • 2014年4月4日の国立国会図書館案件の入札辞退
  • 国立国会図書館への謝罪*5
  • 当該事案に関する継続調査
  • 不正取得に関った社員5人を国立国会図書館と関係ない部署へ異動
    • 技師と営業担当者は2014年5月15日時点で自宅謹慎中
対策
  • 情報管理ルールの見直し
  • 情報セキュリティに関する教育の再徹底
  • 全社での取り組みとして不適切行為を牽制できる仕組みの再構築
  • コンプライアンスのさらなる強化等による再発防止の徹底
  • 当該事案の関係者5人の処分

国立国会図書館刑事告発・指名停止措置

刑事告発

国立国会図書館は次の通り日立製作所社員2名を刑事告発

  • 告発時期 2014年6月16日
  • 告発対象行為 委託権限を利用して内部情報を不正取得し入札活動に利用しようとした行為
  • 告発理由 日立製作所の社内調査結果を受けて不十分かつ調査に限界があると国立国会図書館が判断したためと報じられている*6
  • 刑法第96条の6第1項 公契約関係競売等妨害罪に該当すると思料されたため
    • 偽計又は威力を用いて、公の競売又は入札で契約を締結するためのものの公正を害すべき行為をした者
    • 3年以下の懲役若しくは250万円以下の罰金 又はこれを併科
    • 警視庁捜査2課へ告発*7
  • 刑事告訴された日立社員2名
    • 1人は当初から判明していた社員(技師?)
    • もう1人は日立製作所の内部調査で別の人間が不正情報入手を行っていたことが判明したことによる。
    • 営業担当へ電子メールで入札に利用しようと連絡を取っていた。*8
指名停止措置

国立国会図書館日立製作所及び関連子会社に対して、以下の通り指名停止措置。

対象 指名停止期間
株式会社日立製作所 6か月間
日立キャピタル株式会社
株式会社日立ソリューションズ
株式会社日立システムズ
株式会社日立情報通信エンジニアリング
株式会社日立産業制御ソリューションズ		 3か月間

日立製作所側の処分

  • 複数の社員を懲戒解雇
  • 5人に対して処分を行った
  • 役員処分については6月20日の取締役会で決める予定。

インシデント関連情報

インシデントタイムライン

更新履歴

  • 2014/05/15 PM 新規作成
  • 2014/05/16 AM 最新情報の反映
  • 2014/06/16 PM 国会図書館 刑事告発の件を反映
  • 2014/06/18 AM 最新報道情報を反映

*1:日立社員が国会図書館の入札情報などを不正取得、管理者権限を悪用,ITpro,2014/05/15アクセス:魚拓

*2:入札情報:日立社員 保守中の国会図書館から不正入手,毎日新聞,2014/05/15アクセス:魚拓

*3:図書館から他社見積もり不正取得 日立の担当技師,共同通信,2014/05/15アクセス:魚拓

*4:日立社員 国会図書館入札情報を不正入手,NHK,2014/05/15アクセス:魚拓

*5:権限悪用し内部情報取得=国会図書館ネットワークで−他社の提案書も・日立製作所,時事通信,2014/05/15アクセス

*6:日立社員による入札情報不正入手事件 国会図書館側の対策は十分だったのか,J-CASTニュース,2014/06/18アクセス:魚拓

*7:日立製作所社員2人を告発=競売妨害容疑―6カ月の入札指名停止・国立国会図書館,時事通信,2014/06/16アクセス:魚拓

*8:国会図書館の情報不正入手か 日立社員を告発,NHK,2014/06/16アクセス:魚拓

*9:国会図書館が日立社員2人を刑事告発、内部情報を不正取得し入札妨害,ITpro,2014/06/16アクセス:魚拓

*10:日立社員、国会図書館の入札情報を不正取得,読売新聞,2014/05/16アクセス:魚拓

*11:日立社員、国会図書館の内部情報入手 LANを不正利用,朝日新聞,2014/05/15アクセス:魚拓