情報セキュリティニュースレター 2009.07.25 株式会社春日〒630-8126 奈良県奈良市三条栄町9-18 TEL 0742-35-7222 http://www.kasugap.jp 日々、情報漏洩事件がメディアを賑わし、他人事として見過ごすことはできなくなってきました。あなたの委託先のセキュリティは大丈夫ですか？印刷会社が印刷物を紛失? 【Security NEXT 1月〜3月分の記事から】 ●●電力は、印刷会社が未使用の電気料金請求書4万枚を紛失したと発表した。同社によれば、紛失した請求書は、口座振替で電気料金を支払う顧客向けに利用しているものでダンボール20箱分に上るという。未使用のため個人情報などは記載されていない。倉庫に保管していた印刷会社は、管理状況などから誤廃棄した可能性が高いと説明しているが、●●電力では外部へ持ち出された可能性もあり、悪用されるおそれもあることから公表した。同社では今回紛失した請求書では訪問や集金は行っていないと説明。同社の従業員や集金員、調査員などが訪問した際は身分証明書を確認し、不審な訪問や集金を受けた場合は同社まで問い合わせてほしいと注意を呼びかけている。印刷会社は印刷物の保管も大事な仕事であるということを改めて感じた事件でした。車上荒らしは防ぎようがない… 大事なのは重要データの保管体制です。【Security NEXT 4月〜6月分の記事から】パチンコ店駐車場で車上荒らし、医療費助成の受給者データが盗難- 神奈川県神奈川県は、職員が自宅作業のため持ち帰った業務データを車上荒らしにより盗まれたと発表した。同県保健福祉部子ども家庭課の職員が4月22日、業務データをフロッピーへ保存して持ち帰ったが、帰宅途中に立ち寄った横浜市内のパチンコ店駐車場において、20時から22時20分ごろまでの間に車上荒らしに遭い、何者かに鞄ごと持ち去られたという。盗まれたのはフロッピーディスク11枚に保存された医療費助成に関する受給者データ。障害者自立支援医療や未熟児等養育医療、小児慢性特定疾患医療など、2008年3月から2009年1月までの各制度における受給者データ1万6772件にのぼる。総医療費、公費負担額、自己負担額など約3200人分の個人情報が含まれるが、氏名や住所など個人を特定できる情報は含まれていないと同県では説明している。同職員は、警察に被害を届けたが発見されていないという。同県では、関係医療機関などに事態を通知し、注意喚起を実施している。生徒の個人情報含むPCが車上荒らしで盗難- 岐阜の県立高校岐阜県の県立高校教諭が車上荒らし被害に遭い、生徒の個人情報が保存されたパソコンが盗まれたことがわかった。被害に遭ったのは、3年生275人分の名簿が保存されていた私用パソコン。氏名やクラス、出席番号などが含まれる。5月19日22時ごろ、愛知県丹羽郡の飲食店駐車場に車を駐車して食事し、30分後戻ったところ窓ガラスが割られ鞄ごと持ち去られていたという。パソコンには起動時に指紋認証を必要とするなどセキュリティ対策を実施しており、情報の外部流出など二次被害は確認されていない。同校では、対象となる生徒および保護者に文書で説明と謝罪を行う。また教育委員会では処分を検討するとともに、再発防止を求める通知文を送付するとしている。あちこちでネットやメールでの情報漏洩、改ざん… 「我が社は関係ない」ではすみません。【Security NEXT 5月〜7月分の記事から】メルマガ誤送信で登録者のアドレスを流出 - 岐阜県岐阜県は、労働雇用課においてメールマガジンの誤配信が発生し、読者83人のアドレスが表示された状態で送られたと発表した。誤送信が発生したのは、労働雇用課が発行しているメールマガジン「ふれあい GIFUろうどう」。6月26日17時過ぎに配信を行った際、読者登録している181人のうち83人分のメールアドレスが表示された状態で送られたという。同県では対象者に謝罪し、誤送信メールの削除を依頼した。顧客情報が約1年にわたってネット上で閲覧可能に - 兵庫の楽器店兵庫県で楽器店などを運営する●●は、●●楽器のウェブサイトにおいて、顧客の個人情報が約1年にわたってインターネット上で閲覧可能な状態だったことを明らかにした。情報漏洩したのは、2008年7月4日から2009年6月7日までの間に、サイトから問い合わせフォームに入力された148件の顧客情報。氏名、住所、電話番号、メールアドレス、生年月日、問い合わせ内容などが含まれる。 2008年7月4日にサーバを移行した際、問い合わせフォームのプログラムに設定ミスがあり、そのまま公開したことから、2009年6月9日に外部から指摘されるまでの間、約1年にわたってネット上で閲覧できる状態だった。同社は、運用の委託業者へ連絡し、同日10時半ごろに問題のデータを削除。ウェブサイトを一時閉鎖し、各検索エンジンにキャッシュの削除を依頼した。また関連顧客に対しては、メールで説明や謝罪を行っている。国内サイトの改ざんは400件以上、「go.jp」にも - セキュアブレイン調査ウェブサイトの改ざんが多発している。セキュアブレインが今週9日に実施した調査では、改ざんにより不正なJavaScriptが埋め込まれたサイトは400件以上にのぼっている。 4月前半くらいから閲覧者へウイルスを感染させることを目的としたウェブサイトの改ざんが多発。4月後半には、感染者からFTPアカウントを盗み出し、さらに感染者が管理するウェブサイトを改ざんするなど、より巧妙な攻撃をする亜種が発生し、被害が拡大している。こうしたウイルスについて一部では「GENOウイルス」などと呼ばれているが、今回同社では亜種も含め、改ざん被害に遭っているウェブサイトについて調べた。同社によれば、6月9日に実施した数時間の調査で、不正なJavaScriptを埋め込まれた国内サイトを400件以上観測したという。 1クリックで大惨事に！ Web上での情報取り扱いは万全のセキュリティを！印刷ミスで顧客情報を流出？【Security NEXT 4月分の記事から】 ●●信金、委託先による領収はがきの印刷ミスで顧客情報を流出 ●●大学は、職員が車上荒らしに遭い、入試結果や卒業生の就職先など個人情報約1200件が含まれた資料が盗まれたと発表した。被害にあったのは入試広報用の資料。6月1日に職員がホテル駐車場に自家用車を駐車して宿泊したが、翌2日に車の窓ガラスが割られ車内に置いてあった鞄ごと盗まれた。 2009年度の受験生の氏名、受験した学部、合否結果などのほか、卒業生の氏名と就職先などが記載されており、被害届を提出した。同大では対象となる学生に謝罪、現時点で二次被害の報告はないという。 ●●信用金庫は、委託先が領収証書を作成した際、一部に印刷のずれが発生し、本来印刷されるべきでない他顧客の個人情報が印刷された状態で受領証を郵送したと発表した。流出したのは、4月20日に「申告所得税」を自動振替で納付した顧客3487名のうち428名のカナ氏名と住所。送付したそれぞれの領収証に他の顧客1名の情報が記載された状態で送付したという。顧客の指摘により5月1日に判明したもので、委託先である●●の印刷ミスが原因だった。委託先では事故当時、テスト印刷の際にチェックを行っておらず、用紙のセット方法を誤ったまま印刷したという。同金庫では、流出の対象となった顧客を個別に訪問して事実説明と謝罪をするとともに、領収証書の交換を行った。また、委託先に対しチェックの強化を要請したとしている。あなたが委託した印刷会社は大事な情報資産を漏洩、改ざん、破壊などから守ってくれますか？まさかこんな形で情報漏洩！委託先の品質は大丈夫ですか？入試結果など個人情報含む資料が車上荒らし被害に- ●●大 information security news 第2巻第2号