福岡暴追センターが被害に遭ったサポート詐欺についてまとめてみた

2023年3月23日、福岡市の福岡県暴力追放運動推進センターは、センターの職員が業務で利用するPCが第三者に一時のっとられ、PC上に保管されていた個人情報を含むデータが外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。

業務外サイトの閲覧中にサポート詐欺サイトへ誘導か

被害に遭ったのはセンターで勤務する60代男性職員で福岡県警OB。3月20日12時半頃にPCを操作中、トロイの木馬に感染したなどとして画面上に「ウィンドウズセキュリティサービス」と記載されたセキュリティ更新を知らせる通知（サポート詐欺とみられるサイト）が表示された。*1 男性は当時昼休み中で、業務に関係のないページ（実業団野球の情報）の閲覧などを行っていた。*2
警告画面が閉じようとしても消えない状態となっていたためか、男性は通知に記載されていた電話番号に架電し、電話に出た男の指示に従ってPCの操作（何らかのソフトウエアをダウンロードし、インストール）を行ったところ第三者に遠隔操作される状態となってしまった。更に男からウィルス除去を理由とした金銭2万円の支払い要求が行われた。その後、別の職員が異常に気付き、PCからインターネット接続に使用していたLANケーブルを抜線した。*3 *4
男性のPCには、センターへ暴力団被害などの相談を寄せていた人の氏名、住所、電話番号を含む延べ約3500人分の名簿が保管されていた。別の職員が抜線するまでの約20分にわたって第三者による遠隔操作が可能となっていたことから名簿情報などが外部へ流出した可能性があるが、23日午前時点で当該データを悪用した動きは確認されていないとセンターは説明。また、センターは福岡県警博多署へ詐欺未遂の容疑で22日付で被害届を提出した。
センターは今回の被害を受け、再発防止策として、今後外付けハードディスクを利用し、ここへ名簿情報を保管する運用とする方針。

公式発表

2023年3月23日 [PDF] お知らせとお詫び

続くサポート詐欺による組織への影響

福岡暴追センターの被害以後同様にサポート詐欺の被害にあい業務影響が出た組織は以下の通り。

被害時期	影響を受けた組織	概要
2023年4月27日	東京都青梅市ファミリー・サポート・センター	センターの委託先従業員のPC上にセキュリティ警告が表示され架電。指示に従ってUltraViewerという遠隔操作ソフトをインストールしてしまった。PC上には1,695人分の個人情報が保管されていたが、その後詳細な調査を行った結果、ファイルへのアクセス痕跡は確認されなかった。*5
2023年7月12日	鹿児島県日置市	市立学校の教員のPC上にセキュリティ警告が表示され家電。指示に従ってPCを捜査したところ13日にマルウエア感染のメッセージ表示。PCは成績表などを管理する日置市のサーバーと接続されていたため5日間にわたり各学校で使用する共有ネットワークが停止された。この影響により、市内の20の小中学校の一部で7月20日に通知表が渡せない恐れが生じた。*6
2023年8月頃	長野県立高校	学校教諭が使用する業務用PCがサポート詐欺被害にあい、遠隔操作ソフトをインストール。
2023年9月10日	長野県立東晋地区の高等学校	学校教諭が業務用PCでインターネット検索中、警告画面が表示され架電。指示に従いPCの遠隔操作が行われた。その後管理職に報告。専門業者による調査が行われ、PCの操作ログより情報流出の記録は確認されなかったが、流出可能性を完全に否定できるものではないとして公表。2004年から2023年までの生徒、職員に関する情報がPCに保存されていた。*7
2023年9月12日	三重県聴覚障害者支援センター	40代職員が業務用PCで警告画面が表示され架電。オペレーターの指示の通り遠隔ソフトをインストール。10日後に不審なソフトが起動し調査した結果発覚。聴覚障害者や手話通訳者など1212人分の氏名、住所などが流出した可能性。*8
2023年10月29日	京都教育大学附属桃山中学校	学校教諭が教材研究を目的に業務用PCでネット検索を行っていたところ、警告画面が表示され教諭本人の電話から架電。指示に従ったところPCを遠隔操作された。京都教育大学CSIRTによる通信ログ解析の結果よりPCからファイル等流出がないことが確認されたが、流出が起こりえる状況にあったと判明。*9
2023年12月4日	福寿会足立東部病院	病院職員が資料作成のため、インターネット検索中に詐欺広告が表示され架電。遠隔操作ソフトをインストールされPC内を操作。連絡を受けた院内のSEが職員へ連絡しネットワークを遮断するよう指示。PCには電子カルテのID、氏名のみが記載されたExcelファイルが保管されていた。*10
2024年2月20日	特定非営利活動法人美原体育協会	80代職員が業務用PCでウィルス感染の脅威という警告が表示され架電。相手の指示に従ってギフトカード36万円分を購入しシルアル番号を伝達。さらに遠隔操作ソフトをダウンロードしていたが、メール送受信履歴およびソフトのログ上ではファイルの外部送信は確認されず情報流出の可能性は低いと判断。なお施設内の他5台のうち、電源の入っていなかった3台については影響がないことを角煮済み。11 12
2024年3月1日	広島県立広島工業高校	職員が自宅で私用PCを使用していたところ、ウィルス感染の脅威という警告が表示され架電。私用PCには所属する高校の情報はなかったものの、過去に勤務していた学校の情報が含まれていた。*13
2024年3月5日	八坂地区むらづくり協議会	職員が施設内PCでインターネットを使用していたところ、画面に警告が表示され架電。指示に従ってPCを操作したところ画面が真っ暗になり使用不能となった。二次被害は確認されていないが、施設内のサーバーに不正アクセスの影響が及び120人の氏名や住所などが流出した可能性がある。*14
2024年3月5日	笛吹市商工会	職員がMicrosoft社員を名乗る第三者を信用した結果、業務用PC2台に遠隔操作ソフトがインストールされ、預金口座からの引き出しを複数回試みられた。（実被害なし）17時半から翌日8時半までファイルサーバーに接続できる状態にあり、約2000人の氏名や生年月日、住所などの情報が流出した可能性。その後の外部の調査を通じて不正プログラムの増値や実行がされた記録は確認されず。15 16

個人情報保護委員会による長野県教育委員会への指導等

2024年2月21日、個人情報保護委員会は長野県教育委員会に対し、技術的安全管理措置および組織的安全管理措置の2つにおいて不備が認められたとして個人情報保護法に基づく指導等の行政上の対応を行ったと発表した。*17
- 技術的安全管理措置の不備：校務用端末においてインストール制御が可能な機能が備わっていたにもかかわらず、その設定を怠っていたこと。
- 組織的安全管理措置の不備：県教委から個人情報保護委員会に対し報告が挙げられたのが発覚から82日後であり、規定された期間内に報告が行われなかったこと。