【セキュリティ情報INDEX】
1. 企業機密は実はクライアントにある
2. 情報侵犯の55%*は企業内部で起こっている
3. Webサーバやデータベースが最も狙われている
4. スパイウェアやハッキングツールによる知られざる脅威
|
| 1. 企業機密は実はクライアントにある |
企業の機密情報はファイルサーバに集中はしていない。様々な機密データがネットワークに点在しているのが実情であり、あらゆるところからその機密が漏えいする可能性が指摘されている。クライアントユーザのPCは普段使用をしているだけで様々な情報を閲覧や印刷をしている。重要なメールを送受信をしていればその機密は普段クライアントユーザが触らない形の情報として存在していることになる。また、LAN内で繋がっているプリンタやコピーの中には複製した画像情報がデジタルデータで蓄積されており、いとも簡単/瞬時に漏えいしてしまう。
ここに例をあげたものは氷山の一角であり、可視/不可視を含めたファイル単位での機密情報管理はクライアントレベルであっても常識かつマナーとなりつつあると言えよう。
|
| ●大手重工業M社名古屋支店で防衛庁関連データの入ったパソコンが盗難(2002/01) |
大手重工業M社名古屋支店で、防衛庁発注物件に関するデータが入ったパソコン1台が盗まれていたことが2002年1月に判明した。防衛庁はこのデータについて「防衛機密にあたるものではない」と機密情報漏えいを否定したが防衛庁は同社に対して厳重なセキュリティ対策を取るよう申し入れた。
同社の調査では盗難は2001年11月16日夜から19日朝にかけて同社内の設計/開発会社で起きたもの。盗難されたパソコンには同社が防衛庁より受注した将来型戦闘機の地上訓練用シュミレーターの開発データが入力されており、同社委託先のM社所有のパソコン内にソフト開発データや処理データが存在していた。
情報ソース:
http://premium.nikkeibp.co.jp/security/special/index03_04_01.shtml
|
| ●大手通信事業N社不動産サイトの顧客データ4000人以上が入ったPCが紛失(2003/12/10) |
大手通信事業N社は10日、同社が運営している不動産情報サイトの顧客情報4312人分が入ったノートパソコンを運用委託先であるN社の社員が紛失したと発表した。
このサイトは2001年11月に運営を開始した毎月60万ものアクセスを誇る不動産情報サイト。紛失したパソコンに入っていた個人情報は01年12月から約2年に渡って不動産の査定サービスを依頼した顧客に関するもので、顧客の氏名、住所、物件の所在地、土地、建物の面積などが必須入力項目である以外に任意で間取りや売却希望価格、顧客の年齢などの情報があった。
原因はN社の社員が11月27日の通勤途中、地下鉄の網棚にパソコン入りのカバンを置き忘れ、カバンは東京駅で発見されたが、パソコンはなくなっていた。
顧客情報は誰でもが見られる状態であったという。
情報ソース: 毎日新聞
http://www.mainichi.co.jp/digital/network/archive/200312/10/1.html
|
| ●大手SIer T社、信販大手A社の会員情報流出で真相究明は難航(2003/09/21) |
信販大手A社の顧客情報漏えい問題で、大手SIer T社社長は徹底した社内調査の号令をかけた。
これは、A社のクレジットカード会員約8万人分の個人情報がDM会社に会員の氏名、住所、住居形態や年収区分といった機密性の高い情報が流出。
A社は事実を公表した8月以降、対象者に対して1000円の商品券とお詫び状を配布した。損害はすでに8000万円を超えている。
T社は、A社のシステム開発にかかわったパソコン180台のハードディスクから消去したデータを復元して調査したところ、協力会社に貸与していたパソコンから本来アクセス不要なはずの顧客情報を閲覧していたことが判明した。このことから、T社は個人情報の取り扱いに関する調査をした結果、プロジェクトによってはプロジェクトと無関係なパソコンから、機密データにアクセスできる環境を発見した。
情報ソース:
http://itpro.nikkeibp.co.jp/free/WAT/NEWS/20030921/2/
|
| ●ノートパソコンの紛失は思ったより多い(2003/06/26) |
どの会社でも社員がノートパソコンを紛失した経験はあるようだ。とあるライターの取材では十数社に取材を申し込んだところ全ての会社「経験あり」と答えている。
小型化するノートパソコンと反比例するように大容量化する記憶メディアやユビキタスといわれるアクセス環境の整備によって、どんな社員でも社外へ機密情報を持ち出すケースが増えている。
自宅で仕事を持ち帰る際にノートパソコンを一緒に持ち帰るのはもはや常識であるが、ノートパソコンは自己管理責任の中で紛失しないようにするのは勿論のこと、窃盗や車上荒らしなどで盗難被害に遭うことで機密情報が漏えいしてしまい、自社の評判を貶めたり他人の迷惑をかけてしまうリスクも重要視しなければならない時代になってきている。
情報ソース:
http://itpro.nikkeibp.co.jp/free/ITPro/OPINION/20030626/1/
|
| ●深刻さを増すクライアントPCからの機密漏えい(2002/03/25) |
クライアントPCからのデータ流出は、“見過ごされていた危機”“もう一つのサイバ危機”と称しても決して大袈裟でない深刻な問題となってしまっている。2002年の1四半期だけでもクリティカルな多くの事件が報道されている。例を挙げても、
「米国国税庁(IRS)のコンピュータ2300台が行方不明」
「英国で国防省や他の官公庁でコンピュータが大量に紛失」
「オーストラリアでも省庁のコンピュータ紛失が明らかに」
「福岡県警内部文書データが中古PCショップから流出」
「リサイクルパソコンにレセプトデータ残存」
「役場でノートパソコンが盗難され個人情報流出疑惑」
「メーカーでパソコン盗難、戦闘機開発関連データが流出」
※米国IRSは今回の事件に際して「機密保護ソフトが導入されているため納税者の 情報が漏れる心配はない」とのコメントを出している。
情報ソース:
http://www.tokyo.metro.co.jp/press/02_0325.html
|
▲TOP
|
| 2. 情報侵犯の55%*は企業内部で起こっている |
|
| ●狙われる金融業界と急がれる法整備とその対策 |
| 消費者金融業界では2003年、最大手のA社で顧客情報の社外流出が発覚。業界2位のB社では顧客債務の水増しが判明し、業界3位のC社では名前や住所など322人の顧客情報が社外に流出した。また米大手金融シティグループ傘下のD社でも社員による顧客情報の売却や、顧客債務の水増しが明らかになった。これらの事件により、格付け会社ではA社を1段階格下げとし、C社に対しても格下げを検討している。格下げ理由として「盗聴事件で事業環境が悪化し、社内の改革や資金調達環境の安定化が遅い」としている。
情報ソース:毎日新聞, goo
http://www.mainichi.co.jp/eye/sanmen/200212/13-09.html
http://news.goo.ne.jp/news/topics/index/14467/1.html
* 情報ソース:
2003 CSI/FBI Computer Crime and Security Survey
http://www.gocsi.com/
|
| ●消費者金融の顧客情報の漏えいなどに業務停止処分 |
| 大手消費者金融で相次いだ顧客情報の漏えいなどに対し、金融庁は貸金業規制法(2004年1月1日施行)で、業務停止処分とする改正を決めた。ヤミ金融対策法に基づいて改正された貸金業規制法には、違法業者の貸し付けを封じるため、新たに、不正/不当な手段による貸し付けや取り立てなどを禁じ、違反者は1年以内の業務停止とする規定が盛り込まれた。金融庁は、この規定を顧客情報の漏えいなどにも適用する。
情報ソース:
東京朝刊 2003/12/31
読売オンライン 2003/12/31
金融庁 http://www.fsa.go.jp/ordinary/yamikin/yami_hou/index.html
|
| ●税務署のパソコンが盗難 「内部犯行」の可能性 |
|
情報ソース: 毎日新聞
http://www.mainichi.co.jp/digital/netfile/archive/200110/23-6.html
|
| ●航空券予約サイトから4000人分の顧客アドレス流出 |
|
情報ソース:
http://www.watch.impress.co.jp/internet/www/article/2001/1026/kokunai.htm
|
▲TOP
|
| 3. Webサーバやデータベースが最も狙われている
|
|
| ●ACCSの個人情報流出で京大研究員を逮捕 警視庁(2004/2/6 毎日新聞) |
京大研究員、河合一穂容疑者(40)による不正アクセス事件で、社団法人「コンピュータソフトウェア著作権協会」のサイトへのアクセス方法を河合容疑者がイベントで紹介した直後、同サイトに7件の侵入があったことが分かった。うち3件は侵入経路の調査を困難にさせるために海外のサーバを経由していた。警視庁は、この7件も不正アクセス行為禁止法違反の疑いがあるとみて調べている。
調べでは、河合容疑者が参加したイベントは、昨年11月8日から翌9日午前5時ごろまで東京都渋谷区内で開かれた。直後の午前6〜9時の3時間に7件の侵入があった。3件は米国、リトアニア、ポーランドの海外を経由したものだった。
警視庁は参加者の誰かが侵入したとみて、協会のサーバに残されたアクセス記録を解析している。
|
| ●国土地理院ホームページがら個人情報が流出 (2004/2/5 毎日新聞) |
国土地理院のホームページで、電子基準点データの提供サービスを申し込んだ3505件の利用者の氏名、住所などの個人情報が、昨年9月下旬から4カ月間、外部から見られる状態になっていたことが分かった。インターネットなどへの流出は確認されていないという。
国土地理院によると、電子基準点は、GPS(全地球測位システム)を使って測量の正確な基準点や、地殻変動などの情報を観測するシステムで、全国に1200カ所ある。インターネットで氏名、住所、電話番号、メールアドレスなどを記入し申し込むと、無料でデータ提供を受けられる。
流出したのは、昨年5〜10月の利用者の個人情報。同9月にシステムの調整をした際に不備があり、外部からも見られる状態になっていたという。1月26日に利用者からの指摘があり判明した。
国土地理院は「外部からファイルを閲覧できない状態にした。今後、該当ユーザーに謝罪し、氏名などの個人情報を求めないなどの対策を考えたい」としている。
|
| ●エステティックA社のホームページ上でデータが流出 (2002/05) |
エスティックサロン大手のA社のWebサイトで約3万件の個人情報が閲覧可能な状態になっていたことが分かった。同社は現在Webサイトを閉鎖、「サーバの深部へのアクセスがあった」として不正アクセスの可能性も指摘ある。
|
| ●B社サイトで個人情報45000件が流出 (2002/05) |
建材製造販売会社、B社のサイトで、同社のアンケートに回答した約45000件の個人情報が流出した。情報流出が判明したのは午前3時。同日の15時には外部からのアクセスを遮断し、該当データを他のサーバに移管した。同社では、個人情報流出について「不正アクセスによるもの」だとしている。
|
▲TOP
|
| 4. スパイウェアやハッキングツールによる知られざる脅威 |
|
| ●スパイウエアの潜在的脅威(2003/10/12) |
米国ではスパイウェアによってネットワークに参加しているユーザーのパソコン操作が見張られているという社会問題が大きく取り上げられている。ここでは19歳のマサチューセッツ州に住む学生がスパイウェアを利用して証券詐欺を働き、FBIに検挙されるというショッキングな事件を取り上げてみたい。
(The Washington Postの記事,The New York Timesの記事)
この学生は自作の株価予想ソフトに「Beast」とというスパイウェアを仕掛けておき、インターネットの掲示板からおびき寄せた投資家のキーストローク情報を盗み取っていた。その投資家は所有していたオンラインの株式取引口座のIDとパスワードを学生に詐取され、学生はその投資家になりすまして多大な損害を与えたものであり、スパイウェアの潜在的脅威を社会に知らしめた。
情報ソース:
日経BP IT Pro 2003/10/12
|
| ●スパイウェアはさらに悪質に進化する(2003/05/10) |
パソコンを使用していると突然、意味不明の広告や操作した覚えのない画面が表示されるなど、フリーウェアをインストールしたり海外のWebサイトにアクセスしたときにいつの間にか仕込まれてしまうスパイウェアは今までも迷惑な存在として嫌われていた。昨今のスパイウェアはただ迷惑なだけではなく、実際に大きな被害を生むツールへと“進化”をしてきており、たかがスパイウェアとは言えないようだ。
最近の例では、見たくもない広告を1時間ごとに表示をするという迷惑行為のみならず、パソコンの中の情報を定期的に外部に漏らしているというものも存在している。
スパイウェアはひっそりとユーザーの大事な情報を漏えいさせる悪質なもの。“自分のパソコンは大丈夫”という概念を捨てて、一度ディスクの中を精密検査してみたらいかがだろうか。人間の身体と同じで、意外なところから“癌”が見つかるかもしれない。
情報ソース:
http://www.jikenbo.net/jikenbo/docs/20030510-001.shtml
|
| ●情報漏えいを促すスパイウェアの危機(2003/12/01) |
イギリスのとあるクレジットカード信販会社の複数の従業員の元に「結婚式へのご招待」と題されたE-Mailが届いたのは2003年7月の下旬だった。このメールには企業機密情報をインターネット経由でユーザーの知らないうちに送信してしまう“スパイウェア”が仕込まれていた。
このメールは一見してスパムまたはワームといった、不特定に送信される良くあるものと考えられがちであったがセキュリティ企業Clearswiftのコンサルタントの分析は意図的にクレジットカード会社の機密情報を盗み出すために仕込まれたものという確信を持っていた。
ツールとしてのスパイウェアは愉快犯的な不特定多数への迷惑をかけるためだけのものではなく、高度な手口で金銭を得るための悪質なものへと劇的に変貌を遂げており、潜在的な世界的被害は計り知れない。
情報ソース:
http://japan.cnet.com/special/story/0,2000050158,20062294,00.htm
|
| ▲TOP |
