piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

誕生日から生成した初期パスワードを悪用した内部不正事案についてまとめてみた

2022年7月6日、福岡県警は不正アクセス禁止法違反等の容疑で福岡県小竹町に勤める職員を逮捕したと発表しました。ここでは関連する情報をまとめます。

不正アクセスで取得した年次休暇情報を削除

  • 不正アクセス禁止法違反、公電磁的記録不正作出・同供用の容疑で逮捕されたのは福島県小竹町職員の税務住民課主任主事の女。*1
  • 報じられている容疑は次の2つ。*2
    • 2020年5月20日から2022年3月31日までの間、人事担当者など4人のID、パスワードを使って、自分に割り当てられたPCを使用して、人事、給与管理システムに161回にわたり不正アクセスし、2021年6月から2022年3月にかけ取得した3日分の年次休暇情報を削除した疑い。
    • 2020年7月29日から2022年4月11日に職員20名のIDとパスワードを使って、職員のメール・スケジュール管理システムに476回にわたり不正にアクセスした疑い。
  • 女は「複数回に渡り不正アクセスしたのは間違いはない」として概ね容疑を認める供述をしている。また「ほかの職員がどのような仕事や職員間のやり取りをしているか気になった」とも話している。
  • 町は町民のデータはシステム上アクセス出来ないとして、情報漏えいの恐れはないと説明している。

無断密会を発端とした内部調査で不正アクセス発覚

  • 2022年3月、女は公務中に労働組合の鍵付き個室を無断で使用し、男性職員と密会を行っていたことが発覚した。町はこの行為が地方公務員法上の職務専念義務違反にあたるとし内部調査を進めていたところ今回の不正アクセスの疑いが浮上し、2022年4月に県警へ被害相談を行っていた。*3
  • 内部調査で、女が異動前の2022年3月までに所属していた総務課で使用していたPCを調べていたところ、本来は見られないはずの庁内情報の閲覧履歴が残っていた。また他の職員がメールに添付をしていた人事評価関連のファイルを女のPCにダウンロードを行っていた形跡も確認された。
  • 女の操作履歴を解析したところ、容疑にもある通り職員24名のIDとパスワードを使い、職員の給与明細や人事評価など4,430件のデータを不正に閲覧していた。また職員のメールの閲覧行為も判明した。

初期パスワードは誕生日から生成

  • 町は初期パスワードを生成するにあたって職員の誕生日を使用しており、女はパスワードを初期のものから変更していない職員のアカウントを不正に使用していた。町によれば従前から初期パスワードからの変更を職員に勧めていたと説明している。*4
  • 今回の事案を受け、町はパスワードの変更を行っていない職員全員に対して変更させる等の再発防止を行うとしている。

小竹町の公式発表

更新履歴

  • 2022年7月7日 AM 新規作成