更新:2023/10/10
平素より予防法務協会をご利用いただきありがとうございます。
直近に発生したサイバーリスク関連の「インシデント・脆弱性情報」「政策・立法関連情報」等をまとめて皆様に月1回、配信させていただいております。
企業経営者・従業員が把握しておくべき、サイバーリスクに関する最近のインシデント、政策、社会的動向等を紹介します。
新聞等で取り上げられないものも含め、世の中でどのようなサイバーインシデントが発生しているのかを把握するのにお役立ていただければと存じます。
┌―――目次――――――――――――――┐
1:インシデント・脆弱性情報等
2:政策・立法関連
3:対策
4:その他
└―――――――――――――――――――┘
1.インシデント・脆弱性情報等
◇2023/8/10 某鉄道会社の子会社のパソコンへ不正アクセス 従業員情報が漏えいか
某鉄道会社は8月10日、子会社の業務用パソコンが不正アクセスを受け、従業員の個人情報が漏えいした可能性があることを公表した。
従業員が業務用パソコンの異変に気づいて調査した結果、2つの店舗の業務用パソコンに不正なプログラムがインストールされていることが判明したという。
漏えいした可能性のある情報は、最大298名分の氏名・生年月日・年齢・住所・電話番号・採用日・勤務情報・給与情報とのこと。
漏えいが発覚した2店舗以外の店舗や、顧客情報については漏えいの可能性はないとしている。
同社は不正なプログラムがインストールされた原因や、情報漏えいの発生について確認しているという。
当該端末は原因究明と対策の決定までインターネットから切り離し、使用を停止しているとのこと。
同社は今後、再発防止策を徹底し個人情報の厳重な管理を図るとしている。
◇2023/8/14 教育用ネットワークシステム内で設定不備 児童生徒が個人情報へアクセス可能に
兵庫県宝塚市は8月14日、教育用ネットワーク内におけるアクセス権限の設定不備について公表した。
5月18日から7月26日の期間で、教職員のみがアクセス可能なファイルの一部にアクセス権限の設定不備があり、児童生徒が教育用タブレット端末からアクセス可能になっていたという。
本事象の原因は5月18日、当該システムの受託業者がクラウドサービスの移行作業時に、児童生徒がアクセス可能な設定に変更したことによるものとしている。
7月26日、匿名メールでの情報提供があり、教育委員会がアクセス履歴を調査したことで発覚したという。
7月27日、教育委員会はファイルをダウンロードした児童生徒の端末を遠隔操作により起動できないように制限を設け、代替機と交換したとのこと。
全回収端末を解析したところ、ダウンロードファイルが端末外に持ち出された形跡はなく、アクセスされた個人情報の不正利用は公表時点で確認していないという。
また、当該ファイルへのアクセスは市立小中学校の児童生徒と教職員に限定されているため、外部へのファイル漏えいはないという。
アクセスされた個人情報の主な内容は、一部児童生徒の指導資料・名簿等と一部教職員の学歴等とし、アクセスされたファイル数は122件、閲覧した児童生徒は7名、ダウンロードした児童生徒数は3名とのこと。同市は再発防止策として、職員を含めて複数人での確認を周知徹底するように努めるとしている。
◇2023/8/21 某飲食事業会社の顧客管理システムへ不正アクセス 顧客情報約9.7万人分が漏えいか
某飲食事業会社は8月21日、同社が運用管理する顧客管理システムが不正アクセスを受け、一部の顧客情報が漏えいした可能性があることを公表した。
漏えいした可能性のある情報は、2021年6月15日から2022年9月19日の期間に同顧客管理システムに登録した顧客96,938名分の氏名・電話番号・メールアドレス・生年月日・性別・予約履歴・ポイント履歴とし、クレジットカード情報は含まれていないとしている。
同社によると、8月6日に同システムのサーバに障害が発生し原因を調査したところ、第三者による不正アクセスの痕跡を確認したという。
翌日、対策本部を立ち上げ不正アクセスを受けたサーバの調査ならびに復旧の検討を開始したとのこと。
調査の結果、サーバへの不正侵入と一部の顧客情報を含むデータが削除されていることを確認したという。
原因は開発中のECサイトから連携する同システムのサーバへのアクセス情報の一部が窃取されたこととしている。
公表時点で個人情報の不正利用等は確認していないものの、顧客情報が外部へ持ち出された可能性について完全に否定することは困難であり、引き続き調査を継続するとしている。
対象となる顧客へは8月10日にメールにて連絡をしたとしており、今後についても準備が整い次第個別に連絡をするとしている。
二次被害やそのおそれについては外部専門家への相談も含めて調査中であるとのこと。
同社は再発防止に向け、個人情報管理体制の一層の強化を図るとしている。
◇2023/8/22 某大学院に不正アクセス 不正プログラム設置から7年間後に発覚
某大学院は8月22日、公開ウェブサーバに対する不正アクセスについて調査報告書を公表した。
2022年8月29日、同学システム担当職員が学内サーバのメンテナンス中に不審なログを発見したという。
サーバを調査したところ、公開ウェブサーバが外部から不正操作されている可能性が発覚し、ウェブサーバを停止したという。
その後、セキュリティオペレーションセンター経由で不審アクセス検知の報告を受け、9月3日に同学のインターネット接続をファイアウォールにて遮断したという。
セキュリティ専門会社による調査の結果、2015年4月13日に攻撃者が同学情報システムにリモートから不正操作を行うための悪性プログラム(ウェブシェル)を設置し、2022年8月23日までに複数のIPアドレスから同ウェブシェルへのアクセスが行われていたという。
2022年8月28日、攻撃者はウェブシェルにアクセスし同学ネットワーク構成と全ユーザID・パスワードのスキャンを実施し、複数のサーバや端末に攻撃を行ったという。
当該ファイルサーバには、個人情報や機密性の高い情報は格納されていないため、漏えいの可能性はないとしている。
本事象の原因は、情報システム担当者の不足、システム運用やセキュリティ運用を行う仕組みの欠如、システムにおける脆弱性管理やセキュリティ機器の活用不足としている。
同学は再発防止策として、組織的・技術的な対策に努めるとしている。
◇2023/8/23 某化学メーカーのサーバへ不正アクセス 個人情報の一部が漏えいか
某化学メーカーは8月23日、同社及び同社グループ会社が利用するサーバが不正アクセスを受け、個人情報の一部が漏えいした可能性があることを公表した。
同社によると、8月16日に外部からの攻撃を検知し、直ちにサーバの保守ベンダと連絡を取った上でネットワークからの切り離し等の対策を実施したという。
その後、セキュリティ専門ベンダの調査にて、同社のアカウント管理システムが不正アクセスを受け、個人情報の一部が外部に漏えいした可能性があることが判明したという。
漏えいした可能性がある個人情報は、同社が管理するグループアドレスに登録されている顧客の情報8,236件と、同社及び同社グループ会社の社員及び協力会社社員等のアカウント情報5,198件とのこと。
同社は漏えいした可能性のある情報を悪用したメールが送付される可能性があるとし、慎重な対応を呼び掛けている。
対象者へは個別にメールで通知するとしており、個人情報保護委員会に対しては8月22日に報告を行ったとしている。
同社は再発防止のため、原因究明を進めるとともに、今まで以上に厳重な情報セキュリティ体制構築と強化の徹底を図るとしている。
◇2023/8/24 県立高校のパソコンから生徒に関する情報等が漏えいか
長野県は8月24日、県立高校の公用パソコン1台から生徒等に関する個人情報を含むデータが漏えいした可能性について公表した。
漏えいした可能性のある個人情報は2016年度から2023年度における、生徒に関する情報(名簿・成績・進路指導・生徒指導・部活動に関する資料)、職員に関する情報(氏名・電話番号・生年月日)、外部指導者に関する情報(氏名・住所・電話番号・職業)とのこと。
県によると、8月20日に県立高校の教諭が電話番号を公用パソコンで検索したところ、ウイルスへの感染を示す警告画面と連絡先が表示されたという。
その連絡先に電話をして指示に従ったところ、パソコンが遠隔操作されたとのこと。翌日21日に専門業者による操作ログの調査を開始し、8月23日に調査結果を確認したという。
操作ログの調査によると情報漏えいの記録はなく、公表時点で漏えいの事実は確認していない一方、漏えいした可能性を完全には否定できないとしている。
今後の対応として、引き続き関係者への事情説明と謝罪を行うとし、再発防止策として情報管理に関するマニュアル等の再点検と見直し、情報の適正な管理の徹底を行うとしている。
◇2023/8/25 某電気設備工事会社がランサムウェア感染 一部情報がダークウェブ上に公開
某電気設備工事会社は8月25日、同社のパソコンとサーバがランサムウェアによる不正アクセスを受け、一部の情報が漏えいしたことを公表した。
同社によると、不正アクセスを受けた端末はパソコン27台とサーバ3台であり、保管されていた情報の一部が暗号化や削除され、ダークウェブ上にファイル名が公開されたとのこと。
公表時点では公開されたファイル名を起因とする損害や被害の連絡はないとしている。
8月9日に不正アクセスを確認した後、対象端末をネットワークから切り離した上で復旧作業をしており、それ以降の不正アクセスの発生はないとのこと。
8月17日に神奈川県警サイバーセキュリティ対策関係者から、同社から情報を抜き出したことがダークウェブ上に公開されていると連絡を受けたという。
同社は窃取されたデータの一部がダークウェブ上に掲載されていることを確認しており、関係する取引先を特定し次第連絡をするとのこと。
同社は再発防止のための対策を徹底するとしている。
◇2023/9/1 某施設管理運営会社 HP改ざんと関係者への偽メール配信
某施設管理運営会社は9月1日、ホームページの改ざんと関係者への偽メール配信について公表した。
同社が運営するホームページには「近年の経済不況による業績悪化のため〇〇は2023年8月31日付けで破産手続きを開始しました。」という事実と異なる内容と、無関係の弁護士事務所の連絡先が掲載されていたという。
出資元である神奈川県によると、同内容の電子メールが関係者に送信されたことで、ホームページ改ざんと偽メール配信が発覚したという。
公表時点で、個人情報の流出などの詳細は、確認中とのこと。
なお、同社以外に複数の企業においても、同様の事象が発生しているという。
◇2023/9/4 民間団体HPに不正アクセス 個人情報約500件漏えい可能性
神奈川県は9月4日、民間事業者のホームページが不正アクセスを受け、個人情報漏えいの可能性について公表した。
県の研修事業の委託先である民間団体が運営する「かながわ生活応援サイト」が不正アクセスを受け、県の所属メールアドレスと職員の業務用個人メールアドレスに複数の不審メールが送付されたという。
漏えいした可能性のある個人情報は、県の委託事業により収集している研修参加者約500名分の所属・氏名・メールアドレスとしており、詳細は公表時点で委託事業者に確認中とのこと。
漏えいした可能性のあるデータはバックアップをしておらず、当該団体からアクセスできない状況のため抜き出された可能性も含め詳細は不明としている。公表時点で、データの復旧は難しい状況だという。
◇2023/9/15 某自動車メーカーのサーバに不正アクセス 約10万件の個人情報漏えいか
某自動車メーカーは9月15日、同社サーバが不正アクセスを受け、個人情報漏えいの可能性について公表した。
7月24日にサーバを経由した不正な通信を検知したことで発覚したという。
第三者機関による調査の結果、同社システムのアカウント情報等を管理するシステムへの不正アクセスの形跡が確認され、個人情報の一部が漏えいした可能性が判明したという。
漏えいした可能性のある個人情報は、同社及びグループ会社の社員、協力会社社員、取引先担当者のユーザID・パスワード・氏名・メールアドレス・会社名・部署・役職名・電話番号とし、顧客の個人情報は含まれていないとしている。
本事象の原因は、アプリケーションサーバの脆弱性が悪用されたことによるものだという。
同社は本事象の認知後に、不正アクセスに用いられたIDを無効化し、当該サーバをシャットダウンした上で外部セキュリティ専門家の調査を実施し、警察や個人情報保護委員会に報告したという。
同社は、影響範囲の確定に時間を要したことで、公表が遅れたことを詫びた上で、セキュリティ対策の改善と監視体制強化により再発防止に努めるとしている。
2.政策・立法関連
◇2023/8/31 警察庁が令和6年度予算概算要求の概要を公表
警察庁は8月31日、令和6年度予算概算要求の概要を公表した。
同庁は、サイバー犯罪の検挙件数が過去最多を記録するなどサイバー空間の脅威は極めて深刻な情勢にあるとし、新たな脅威に先制的かつ能動的に対処するため警察組織の総合力を発揮した効果的な対策を推進するとしている。
令和6年度予算概算要求において、サイバー空間の脅威への対処については全体で約5.5億円を要求しており、中でも対処能力の向上については昨年度予算が約2.9億円であったのに対し、令和6年度は約4.3億円と多くの予算を要求している。
また、組織改正の要求項目としてサイバー特別捜査部(仮称)を挙げており、同部に企画分析課及び特別捜査課を設置するとしている。
そのほか、サイバー事案抑止対策室(仮称)も要求事項となっている。
3.対策
◇2023/8/21 個人情報保護委員会 生成AIサービスの利用に関する注意喚起を掲載
個人情報保護委員会は8月21日、生成AIサービスの利用に関する注意喚起を個人情報保護関係の広報資料として掲載した。
同委員会は、生成AIサービスの普及により利用者が急増していることを受け、意図せず個人情報保護法に違反する可能性があることについて注意喚起しているという。
具体的には、生成AIサービスに個人情報を含むプロンプトを入力する場合には利用者に応じて規律が課されるという。
個人情報取扱事業者が個人データを第三者(生成AIサービス提供者を含む)に提供する場合は原則、あらかじめ本人の同意を得なければならない(個人情報保護法第27条、第28条)、また、行政機関等が保有個人情報を利用・提供する場合は原則、特定された利用目的のために利用・提供しなければならない(個人情報保護法第69条)ことに注意が必要という。
生成AIサービスの利用に関する注意喚起 -個人情報保護委員会
◇2023/8/23 総務省が「eシールに係る検討会」の開催へ
総務省は8月23日、「eシールに係る検討会」を開催することを公表した。
組織が発行する電子データの発行元を確認する仕組みであるeシールに係る制度について検討するとのこと。
総務省は今後、オンライン取引や手続き等において、発行元に関する証明のニーズが高まることが予想されるため、eシールの民間サービスの信頼性を評価する基準の策定及び適合性の評価の実現にも取り組む必要があるとしている。
検討会の第1回会合は9月6日に開催し、以降、順次開催予定とのこと。
4.その他
◇2023/8/30 総務省 某インターネット会社に対する行政指導
総務省は8月30日、某インターネット会社に対して検索関連データの提供に関する利用者周知及び安全管理措置の実施について行政指導を文書で行った。
同社は5月18日から7月26日の期間で、韓国のインターネット会社に検索関連データの提供を試験的に行っていたという。
その際、利用者に事前の十分な周知を行うことなく、提供情報のコピーが可能な状態で位置情報等を提供し利用させていたという。
総務省は同社に対して、利用者周知と安全管理措置の実施について行政指導を行ったという。
また、電気通信事業法に定める特定利用者情報規律に係る対応についても指導を行ったという。
◇2023/9/7 重要インフラ専門調査会が第34回会合を開催
重要インフラ専門調査会は9月7日、第34回会合を開催した。
同会の提出資料によると、2023年度の分野横断的演習については、12月7日に集合会場とオンラインのハイブリッド形式で開催されるとのこと。
参加者は内閣サイバーセキュリティセンター(NISC)をはじめ、重要インフラ所轄省庁である金融庁・総務省・厚労省・経産省・国交省や、14分野の重要インフラ事業者、14分野の20セプター、IPAやJPCERT/CCのサイバーセキュリティ関係機関等で構成される。
2022年度は754組織5,719名が参加したとのこと。
また、四半期ごとの重要インフラを取り巻く情勢分析と情報提供されたインシデント分析結果から得られた知見として、いくつかの対策が共有されている。
ランサムウェア対策においては、特に委託先のランサムウェア感染により影響を受けた事例が複数あったとし、ネットワーク接続にかかる資産・脆弱性管理及び不正侵入を前提とした多層防御が必要としている。
また、いわゆるサポート詐欺の事例が複数あったとし、ユーザのリテラシー向上に加えブラウザにおける閲覧ページの制限等の対策が必要だとしている。
__________________________________________________________________________________
▼内容についてのご相談・ご確認は 白根(support@prev-legal.com)までご連絡ください。
▼本サービスの内容の全部又は一部については、お客様社内での利用に限ります。
二次利用、引用、転載、複写、商業目的での利用等を行うことはできません。
__________________________________________________________________________________