piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

NTTドコモで発生した法人ユーザーの情報流出についてまとめてみた

2014年9月9日にNTTドコモが同社の法人向け保守運用サービス「法人モバイル管理サービス」で発生した情報流出について発表しました。ここではその関連情報をまとめます。

概要まとめ

図にまとめると次のような状況(9月10日更新)

1.被害状況

被害詳細
  • 流出が疑われる情報:法人モバイル管理サービスの法人ユーザー 1社 1053名分の社員の個人情報
  • 72社(当該サービス全契約社数)約13万件の情報は閲覧の可能性は否定できないが、流出は確認できていないと報道*1
  • 流出が発生したシステムは個人ユーザー情報が管理されているALADINとは異なるため、個人ユーザーへの影響はない。
流出した可能性のある管理情報詳細
  • 法人名
  • 業務用携帯電話番号
  • 業務用携帯電話の利用者名
  • 会社住所
  • 部署名等
  • さらに流出した可能性のある1社は個人宅住所が含まれていた
    • 電池パックの送付等のために住所を管理するケースがある。*2
    • 個人宅住所が含まれるのはこの1社のみ。
法人モバイル管理サービスとは何か

モバイル管理業務に精通したサービスマネジメントチームが、あらゆるオーダーに対する一元窓口として機能します。
サービスデスクは、あらゆるオーダーの進捗を一元管理するとともに、オーダー種別、傾向、問題点など、日々の運用実績を基にした分析レポートの作成を行います。
マネジメントチームは、サービスデスクの品質管理を行なうとともに、問題発生時は早期解決に向けた迅速な措置を行います。
オーダー種別に応じて、然るべき組織へのエスカレーションを行います。アカウントチームやネットワークオペレーションセンターなどのドコモ社内組織は勿論のこと、携帯電話メーカーやパートナー企業などの社外組織へのエスカレーションにも一元対応いたします。

http://www.docomo.biz/html/service/tsc/mobile.html
  • 当該サービスにおける当時のセキュリティ対策の状況
    • 2013年10月時点で法人ファイル共有システムにアクセスが可能な担当者は299人。
    • 担当者には社員、派遣社員、再委託先が含まれる。
    • 法人ファイル共有システムからUSBメモリを使って情報を持ち出すことは出来ない。
    • メールに添付ファイルが含まれている場合はNTTドコモの社員をCCに必ず入れる必要がある。
    • 法人ファイル共有システムでは詳細なアクセスログは取得していなかった。
      • 履歴が残る仕組みになっていなかったとの報道。*3
    • 作業担当者がサポート業務を行うために顧客管理システムから一時的にリストを抽出していた。
    • 作業の都合上、2,3ヶ月程度リストが保存されたままであることが多かった。
    • 社内のセキュリティポリシーと合致しない運用となっていたことをNTTドコモは認めたと報道。*4

2. 発端

  • NTTドコモが郵便物配送を受けた法人企業から連絡を受けたことによる。
    • 2013年10月から11月にかけ、法人モバイル管理サービスを利用する法人ユーザーの社員宅へ別の社員の情報が記載された郵便物が届いたことによる。
    • その後 2014年8月25日にドコモのヘルプデスクからのDMに似せた郵便物が配送されている。
郵便物に記載されていた情報
  • 社員氏名
    • 1回目は別の社員の情報が記載されていた。
    • 2回目は社員本人の情報が記載されていた。
  • 個人宅住所
  • 業務携帯電話番号
  • 実在するドコモサポートデスク電話番号
郵便物に関する情報
  • NTTドコモのキャンペーンを装ったダイレクトメール。
  • 住所や電話番号や生年月日(2回目)を確認する内容。
    • ドコモサポートデスクへ連絡するよう記載されていた。
    • ドコモサポートデスクは正規の電話番号が記載されていた。
    • そのため当該郵便物により個人情報が盗み取られる可能性は低いとNTTドコモは発表。
  • 2回とも同一の企業に対して配送されていた。
  • NTTドコモはこの郵便物による真意・目的は不明としている。

3. 原因

  • 法人ファイル共有システムにアクセス可能な何者かにより情報が流出した可能性と報道。*5
    • 当該システムへの不正アクセスについては否定をしている。
    • NTTドコモは発表時点で誰が行ったのかまで特定ができていない。

4.対応

  • 法人サービス情報流出について発表
  • 管理情報流出の疑いがある法人ユーザーへお詫びと説明
  • 社内調査を継続
  • 警視庁へ被害相談、被害届提出の準備
  • 再発防止策として以下の対策を実施
再発防止策 詳細
システムのアクセス権限の厳格化 システムにアクセスする社員の業務範囲や権限に制限をかけ、システムでの作業の承認フローや情報の取り扱い範囲を設定
業務の見直し お客様情報を直接取り扱う印刷物や発送業務についても、管理者の指示、チェックを強化し、紙情報の廃棄確認や廃棄処理を徹底
セキュリティ意識の向上 セキュリティ監査の実施体制・回数・チェック項目を見直すとともに、監査実施状況の社員へのフィードバックおよび研修を実施
すぐに発表しなかった理由
  • すぐに発表を行わなかったのは新たな郵便物が確認されなかったこと等による
  • 2014年8月に再度郵便物の配送が確認されたことを受けさらなる発生が予想されることから発表した。
すぐに総務省へ報告しなかった理由
  • 1回目の配送が確認された時点(2013年10月)では特定法人顧客1社と個別対応し、解決できると判断したことによる。*7
  • 2014年9月9日記者会見時点でNTTドコモによれば総務省へ報告済みとのこと。

5. インシデントタイムライン

日時 出来事
2013年10月〜11月 ある企業グループ1社の個人宅へ郵便物14通が配送される。
その後 NTTドコモが当該法人より連絡を受け当該事案が発覚。
その後 NTTドコモが警視庁へ被害相談
その後 追加の郵便物は確認されず、ドコモが社内調査を継続。
その後 NTTドコモがセキュリティ対策を強化
2014年8月25日 昨年と同じある企業グループ1社の個人宅へ郵便物9通が配送される。
その後 NTTドコモが警視庁へ相談。被害届の提出を準備。
2014年9月9日 NTTドコモが記者会見にて法人サービスの情報流出を発表。

更新履歴

  • 2014/09/09 PM 新規作成
  • 2014/09/10 AM 最新情報を反映