事例で検証「企業や行政の不正アクセス被害と対策」

すぐに実施できる社内の情報セキュリティ対策について解説しています。

発注側は、果たして提案を検証できていたのか？

Webサイトを狙ったハッキング事例

尼崎市情報流出事件

情報漏洩事件の概要

尼崎市が運営していた健康診断（特定検診）の予約が出来るWebサイトから、
1万人以上のメールアドレス及び、
3000人以上の住所、氏名（会員名）、医療保険種別を含むデータが流出。

情報漏洩事件発覚の経緯

2018年2月、
兵庫県警のサイバー課がネット巡回中に、 尼崎市から流出したと思われる個人情報がダークウェブで売買されているのを発見。
個人情報流出の可能性が在ることを尼崎市に指摘した。

Webサイトを狙ったハッキングの手口

SQLインジェクションと呼ばれる手法が用いられています。

SQL（エスキューエル）はデータベースの規格のことで有り、インジェクションは、英語のInjection（注入する）という意味です。
コマンドを入力フォームに挿入し、Webサイトのバックグラウンドに有るデータベースシステムを不正に操作します。
SQLインジェクションは、データの盗難だけではなく、データの破壊や改竄（書き換え）も可能です。

この攻撃方法は特殊なものではなく、ハッキングの手法としては、常套手段で有り、公知のものです。

なぜ、ハッキングされたのか？

Webサイトの開発と保守を尼崎市から請け負っていたのが、（株）電通西日本（電通の子会社）です。
情報流出が起きた原因について、下記のように説明しています。

• 対策をしていなかった。
• 対策をしていないことを、十分なテストを行っていなかったことで、発見できなかった。

どうすれば情報流出を防げたか？

• コマンドに使われる文字列に対してエスケープと呼ばれる置き換え処理を施す
• Webアプリケーションに与える権限の制限する
• バインド変数を使用する
• データベースに接続しなくても稼働するようにシステムを設計する
• 監査ログの設定による不正操作の自動検知を行う

このうちの1つでも行っていれば、SQLインジェクションによる被害が起きる可能性は大幅に下がります。

まとめ

この事例の一番の問題は、個人情報の漏洩に長期間（4年間）気づかず、 流出が起きた後に、外部（兵庫県警）からの指摘によって、発覚していることです。

尼崎市は（株）電通西日本に対して、損害賠償請求を起こすとしています。

第三者の視点で、こういった事例を考察する際は、要件定義書の中の責任範囲についての項目を参考にします。
発注する側がセキュリティ要件を指定していなかった場合は、瑕疵担保による賠償する責任もシステムを無償で直す責任も開発側には、ありません。

情報流出事件は双方の認識不足により発生します。

情報セキュリティ対策

すぐに出来て、もっとも効果が上がる情報セキュリティ対策は、社内の意識改革です。

ほとんどの情報セキュリティの被害は、脆弱性（弱い箇所）によって生じますが、 脆弱性は、基本的なことの積み重ねで、小さくすることができます。

1. セキュリティポリシーを作る
国や専門機関が勧める正しい知識を元に、 セキュリティポリシーを作り、情報セキュリティに関する自社の方針を明確化しましょう。

IPA（情報処理推進機構）
中小企業の情報セキュリティ対策ガイドライン

経済産業省
サイバーセキュリティ経営ガイドライン

総務省
国民のための情報セキュリティ

2.社員教育を行う
作成した 自社のセキュリティポリシーを社員教育を通じて周知させ、 情報セキュリティに対する意識を向上させましょう。
バイトやパートのような短期間労働者にも、ルールとして、余すことなく、教えるこむことが重要です。

3.システム部門を統括する
自社の情報システム部門や担当者には、特に、念入りに、社の方針としてのセキュリティポリシーを伝えましょう。
上記の事例のような情報流出事件は、内部統制が出来ていれば起きない、もしくは、早期に発見が出来ていました。
専門分野だからと任せてしまうと、システム部門スタッフの独自の判断や基準がまかり通ってしまいます。

また、スキル不足が疑われた場合は、資格取得や外部の講習会の参加を推奨することも必要です。