情報セキュリティ コンサルタント

このページは、費用負担0円で、すぐに実施できる社内の情報セキュリティ対策について、解説しています。

発注側は、果たして提案を検証できていたのか?

Webサイトを狙ったハッキング事例

尼崎市情報流出事件

情報漏洩事件の概要

尼崎市が運営していた健康診断(特定検診)の予約が出来るWebサイトから、
1万人以上のメールアドレス及び、
3000人以上の住所、氏名(会員名)、医療保険種別を含むデータが流出。

健診すずめ通信のWEBサイトへの不正アクセスに関するご報告
健診すずめ通信のWEBサイトへの不正アクセスに関するご報告

情報漏洩事件発覚の経緯

2018年2月、
兵庫県警のサイバー課がネット巡回中に、 尼崎市から流出したと思われる個人情報がダークウェブで売買されているのを発見。
個人情報流出の可能性が在ることを尼崎市に指摘した。

※ダークウェブとは?
インターネットとは違う手法でアクセスできる匿名性が担保された情報交換サイト。
覚せい剤や児童ポルノの売買、盗難仮想通貨の洗浄、など犯罪の温床となっている。

Webサイトを狙ったハッキングの手口

SQLインジェクションと呼ばれる手法が用いられています。

SQL(エスキューエル)はデータベースの規格のことで有り、インジェクションは、英語のInjection(注入する)という意味です。
コマンドを入力フォームに挿入し、Webサイトのバックグラウンドに有るデータベースシステムを不正に操作します。
SQLインジェクションは、データの盗難だけではなく、データの破壊や改竄(書き換え)も可能です。

この攻撃方法は特殊なものではなく、ハッキングの手法としては、常套手段で有り、公知のものです。

なぜ、ハッキングされたのか?

Webサイトの開発と保守を尼崎市から請け負っていたのが、(株)電通西日本(電通の子会社)です。
情報流出が起きた原因について、下記のように説明しています。

どうすれば情報流出を防げたか?

このうちの1つでも行っていれば、SQLインジェクションによる被害が起きる可能性は大幅に下がります。

まとめ

この事例の一番の問題は、個人情報の漏洩に長期間(4年間)気づかず、 流出が起きた後に、外部(兵庫県警)からの指摘によって、発覚していることです。

尼崎市は(株)電通西日本に対して、損害賠償請求を起こすとしています。

第三者の視点で、こういった事例を考察する際は、要件定義書の中の責任範囲についての項目を参考にします。
発注する側がセキュリティ要件を指定していなかった場合は、瑕疵担保による賠償する責任もシステムを無償で直す責任も開発側には、ありません。

情報流出事件は双方の認識不足により発生します。

情報セキュリティ対策

すぐに出来て、もっとも効果が上がる情報セキュリティ対策は、社内の意識改革です。

ほとんどの情報セキュリティの被害は、脆弱性(弱い箇所)によって生じますが、 脆弱性は、基本的なことの積み重ねで、小さくすることができます。

1. セキュリティポリシーを作る
国や専門機関が勧める正しい知識を元に、 セキュリティポリシーを作り、情報セキュリティに関する自社の方針を明確化しましょう。

IPA(情報処理推進機構)
中小企業の情報セキュリティ対策ガイドライン

経済産業省
サイバーセキュリティ経営ガイドライン

総務省
国民のための情報セキュリティ

2.社員教育を行う
作成した 自社のセキュリティポリシーを社員教育を通じて周知させ、 情報セキュリティに対する意識を向上させましょう。
バイトやパートのような短期間労働者にも、ルールとして、余すことなく、教えるこむことが重要です。

3.システム部門を統括する
自社の情報システム部門や担当者には、特に、念入りに、社の方針としてのセキュリティポリシーを伝えましょう。
上記の事例のような情報流出事件は、内部統制が出来ていれば起きない、もしくは、早期に発見が出来ていました。
専門分野だからと任せてしまうと、システム部門スタッフの独自の判断や基準がまかり通ってしまいます。

また、スキル不足が疑われた場合は、資格取得や外部の講習会の参加を推奨することも必要です。


利用規約 |  プライバシーポリシー Copyright https://tantei-list.net All Rights Reserved

ページの他のコンテンツ
会社がらみの犯罪調査
中小企業にお勧め

他のコンテンツ

会社がらみの犯罪調査

中小企業にお勧め

サイバー探偵