piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

福岡暴追センターが被害に遭ったサポート詐欺についてまとめてみた

2023年3月23日、福岡市の福岡県暴力追放運動推進センターは、センターの職員が業務で利用するPCが第三者に一時のっとられ、PC上に保管されていた個人情報を含むデータが外部へ流出した可能性があると公表しました。ここでは関連する情報をまとめます。

業務外サイトの閲覧中にサポート詐欺サイトへ誘導か

  • 被害に遭ったのはセンターで勤務する60代男性職員で福岡県警OB。3月20日12時半頃にPCを操作中、トロイの木馬に感染したなどとして画面上に「ウィンドウズセキュリティサービス」と記載されたセキュリティ更新を知らせる通知(サポート詐欺とみられるサイト)が表示された。*1 男性は当時昼休み中で、業務に関係のないページ(実業団野球の情報)の閲覧などを行っていた。*2
  • 警告画面が閉じようとしても消えない状態となっていたためか、男性は通知に記載されていた電話番号に架電し、電話に出た男の指示に従ってPCの操作(何らかのソフトウエアをダウンロードし、インストール)を行ったところ第三者に遠隔操作される状態となってしまった。更に男からウィルス除去を理由とした金銭2万円の支払い要求が行われた。その後、別の職員が異常に気付き、PCからインターネット接続に使用していたLANケーブルを抜線した。*3 *4
  • 男性のPCには、センターへ暴力団被害などの相談を寄せていた人の氏名、住所、電話番号を含む延べ約3500人分の名簿が保管されていた。別の職員が抜線するまでの約20分にわたって第三者による遠隔操作が可能となっていたことから名簿情報などが外部へ流出した可能性があるが、23日午前時点で当該データを悪用した動きは確認されていないとセンターは説明。また、センターは福岡県警博多署へ詐欺未遂の容疑で22日付で被害届を提出した。
  • センターは今回の被害を受け、再発防止策として、今後外付けハードディスクを利用し、ここへ名簿情報を保管する運用とする方針。

公式発表

続くサポート詐欺による組織への影響

  • 福岡暴追センターの被害以後同様にサポート詐欺の被害にあい業務影響が出た組織は以下の通り。
被害時期 影響を受けた組織 概要
2023年4月27日 東京都青梅市ファミリー・サポート・センター センターの委託先従業員のPC上にセキュリティ警告が表示され架電。指示に従ってUltraViewerという遠隔操作ソフトをインストールしてしまった。PC上には1,695人分の個人情報が保管されていたが、その後詳細な調査を行った結果、ファイルへのアクセス痕跡は確認されなかった。*5
2023年7月12日 鹿児島県日置市 市立学校の教員のPC上にセキュリティ警告が表示され家電。指示に従ってPCを捜査したところ13日にマルウエア感染のメッセージ表示。PCは成績表などを管理する日置市のサーバーと接続されていたため5日間にわたり各学校で使用する共有ネットワークが停止された。この影響により、市内の20の小中学校の一部で7月20日に通知表が渡せない恐れが生じた。*6
2023年8月頃 長野県立高校 学校教諭が使用する業務用PCがサポート詐欺被害にあい、遠隔操作ソフトをインストール。
2023年9月10日 長野県立東晋地区の高等学校 学校教諭が業務用PCでインターネット検索中、警告画面が表示され架電。指示に従いPCの遠隔操作が行われた。その後管理職に報告。専門業者による調査が行われ、PCの操作ログより情報流出の記録は確認されなかったが、流出可能性を完全に否定できるものではないとして公表。2004年から2023年までの生徒、職員に関する情報がPCに保存されていた。*7
2023年9月12日 三重県聴覚障害者支援センター 40代職員が業務用PCで警告画面が表示され架電。オペレーターの指示の通り遠隔ソフトをインストール。10日後に不審なソフトが起動し調査した結果発覚。聴覚障害者や手話通訳者など1212人分の氏名、住所などが流出した可能性。*8
2023年10月29日 京都教育大学附属桃山中学校 学校教諭が教材研究を目的に業務用PCでネット検索を行っていたところ、警告画面が表示され教諭本人の電話から架電。指示に従ったところPCを遠隔操作された。京都教育大学CSIRTによる通信ログ解析の結果よりPCからファイル等流出がないことが確認されたが、流出が起こりえる状況にあったと判明。*9
2023年12月4日 福寿会足立東部病院 病院職員が資料作成のため、インターネット検索中に詐欺広告が表示され架電。遠隔操作ソフトをインストールされPC内を操作。連絡を受けた院内のSEが職員へ連絡しネットワークを遮断するよう指示。PCには電子カルテのID、氏名のみが記載されたExcelファイルが保管されていた。*10
2024年2月20日 特定非営利活動法人美原体育協会 80代職員が業務用PCでウィルス感染の脅威という警告が表示され架電。相手の指示に従ってギフトカード36万円分を購入しシルアル番号を伝達。さらに遠隔操作ソフトをダウンロードしていたが、メール送受信履歴およびソフトのログ上ではファイルの外部送信は確認されず情報流出の可能性は低いと判断。なお施設内の他5台のうち、電源の入っていなかった3台については影響がないことを角煮済み。*11 *12
2024年3月1日 広島県立広島工業高校 職員が自宅で私用PCを使用していたところ、ウィルス感染の脅威という警告が表示され架電。私用PCには所属する高校の情報はなかったものの、過去に勤務していた学校の情報が含まれていた。*13
2024年3月5日 八坂地区むらづくり協議会 職員が施設内PCでインターネットを使用していたところ、画面に警告が表示され架電。指示に従ってPCを操作したところ画面が真っ暗になり使用不能となった。二次被害は確認されていないが、施設内のサーバーに不正アクセスの影響が及び120人の氏名や住所などが流出した可能性がある。*14
2024年3月5日 笛吹市商工会 職員がMicrosoft社員を名乗る第三者を信用した結果、業務用PC2台に遠隔操作ソフトがインストールされ、預金口座からの引き出しを複数回試みられた。(実被害なし)17時半から翌日8時半までファイルサーバーに接続できる状態にあり、約2000人の氏名や生年月日、住所などの情報が流出した可能性。その後の外部の調査を通じて不正プログラムの増値や実行がされた記録は確認されず。*15 *16
個人情報保護委員会による長野県教育委員会への指導等
  • 2024年2月21日、個人情報保護委員会は長野県教育委員会に対し、技術的安全管理措置および組織的安全管理措置の2つにおいて不備が認められたとして個人情報保護法に基づく指導等の行政上の対応を行ったと発表した。*17
    • 技術的安全管理措置の不備:校務用端末においてインストール制御が可能な機能が備わっていたにもかかわらず、その設定を怠っていたこと。
    • 組織的安全管理措置の不備:県教委から個人情報保護委員会に対し報告が挙げられたのが発覚から82日後であり、規定された期間内に報告が行われなかったこと。

更新履歴

  • 2023年3月29日 AM 新規作成
  • 2023年10月16日 PM 福岡暴追センター以外でサポート詐欺の影響を受けた組織を記載。
  • 2023年11月30日 AM 事例追記
  • 2024年2月21日 AM 事例追記
  • 2024年2月27日 PM 事例追記
  • 2024年3月2日 AM 事例追記
  • 2024年3月6日 AM 事例追記

*1:福岡県暴追センター 相談者ら3500人分個人情報流出か,読売新聞,2023年3月23日

*2:福岡県暴追センター 相談者3500人分の個人情報流出か 職員のパソコンに“架空請求”,FNN,2023年3月23日

*3:福岡暴追センター、3500人の個人情報流出か PC乗っ取られ,毎日新聞,2023年3月23日

*4:警察OBもだまされる PCサポート詐欺の手口 全国で被害5億円超,西日本新聞,2023年3月26日

*5:【令和5年6月20日公表】不正アクセスによる個人情報の漏えいのおそれのある事故の調査結果および今後の対策について,青梅市,2023年6月20日

*6:日置市の一部の学校 通知表を予定どおり渡せないおそれも,NHK,2023年7月18日

*7:公用パソコンからの個人情報流出の可能性について,長野県,2023年9月13日

*8:聴覚障害者支援センターでパソコン不正アクセス個人情報流出か,NHK,2023年9月29日

*9:サポート詐欺による公用パソコン遠隔操作被害について,京都教育大学付属桃山中学校,2023年11月29日

*10:令和 5 年 12 月 4 日に発生いたしました不正アクセスにつきまして,福寿会足立東部病院,2024年2月22日

*11:[PDF] 不正アクセスによる個人情報の流出の可能性がある事案の発生について(お詫び),美原体育協会,2024年2月20日

*12:ウェブ広告誤ってクリック…体育館設置のPCに不正アクセス 個人情報約1万4000件流出の可能性 画面に「ウイルス感染の脅威」と表示 堺市,MBS,2024年2月20日

*13:[PDF] 県立高等学校職員の私用パソコンからの個人情報流出の可能性について,広島県教育委員会,2024年3月1日

*14:やまぐちサッカー交流広場における個人情報漏えいの可能性のある事案の発生について,山口市,2024年3月5日

*15:不正アクセスによる個人情報漏えいのおそれのある事案の発生について,笛吹市商工会,2024年3月5日

*16:サポート詐欺による不正アクセスに関する調査報告と再発防止策について,笛吹市商工会,2024年4月15日

*17:[PDF] 長野県教育委員会に対する個人情報の保護に関する法律に基づく行政上の対応について,個人情報保護委員会,2024年2月21日