1月2日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。
東京都渋谷区、アノニマスを名乗るハッカー集団からサイバー攻撃
東京都渋谷区がアノニマスを名乗るハッカー集団によるサイバー攻撃を受けた。これにより、渋谷区の公式Webサイトが閲覧できない状態となった。
サイバー攻撃は1月3日17時ごろに発生。断続的な分散型サービス妨害攻撃を受け、渋谷区公式Webサイトに接続しにくい状況が続いた。渋谷区は、原因の調査と行政サービス復旧に向け、警察とも相談しながら24時間態勢で対応を続けている。
アノニマスを名乗る集団は、1月3日にサイバー攻撃を示唆する内容をツイッターに投稿していた。渋谷区の美竹公園の閉鎖に伴う路上生活者への対応に関するもので、これに反発しサイバー攻撃を行った模様だ。
早稲田大学、設定ミスで異文化交流センター開催イベント情報が閲覧できる状態に
早稲田大学のスチューデントダイバーシティセンター 異文化交流センターが開催した各種イベントの参加当選者の情報が、別の当選者からも閲覧可能な状態だった。
原因は、各種イベントの当選者に参加意思を確認するために使用したフォームの設定ミスによるもの。フォームの設定で「結果の概要を表示する」のスイッチがオンになっており、通知したリンクから回答した人が回答結果後に「前の回答を表示」をクリックすると、自分以外のイベント参加当選者の回答も閲覧できる状態だった。
また、公開前の設定のチェック漏れ、過去の誤った設定のフォーム流用、誤った設定のフォームを繰り返し使っていたことなども重なった、問題のあるフォームについては、2022年11月18日14時ごろまでに個人情報が閲覧できる状態を解消している。
2022年11月18日時点で閲覧できる状態だったのは合計34フォーム。期間は2021年10月~2022年11月、対象件数は1,053名分(延べ1,370名)。情報の詳細は、フォームへ入力済みの氏名、学籍番号、参加意思有無、その他(当日使用したい名前、日本滞在有無、参加日、録画録音可否、写真撮影可否、当日集合場所、遵守事項の同意有無、病歴、身体障がいに関する情報、その他参加当選者コメントなど)。
早稲田大学は再発防止策として、各職員に対して個人情報保護の重要性などについての教育を徹底していくとし、フォーム作成については複層的なチェックを行うなどの実効的な措置を講じるとしている。
佐川急便、従業員が顧客の個人情報を私的に利用
佐川急便は、同社の従業員が顧客から預かった個人情報を用いて、複数の顧客に電話をかけていたことを明らかにした。
利用した個人情報は、顧客の住所、名前、電話番号。預かった個人情報は、本来運送業務に必要な範囲においてのみ取り扱うべきもので、私的な理由で利用できるものではない。今後は個人情報の管理強化に努め、研修・教育なども徹底していくとしている。当該従業員に対しては、社内規程に則り厳正に対応。従業員から第三者への情報流出はないとしている。
大阪府守口市、アンケートフォームで個人情報漏えい
大阪府守口市の「謎解き宝探し in 守口市」のプレゼントアンケートフォームにて、個人情報が漏えいがあった。
「謎解き宝探し in 守口市」は、守口市が東武トップツアーズに業務を委託した参加型イベント。東武トップツアーズが作成したアンケートフォームに不具合が存在していた。アンケートに回答した参加者が応募できるプレゼントアンケートフォームで回答を送信した後に、「前の回答を表示」をクリックするとほかの人が入力した個人情報を表示できる状態だった(2022年12月20日から2022年12月26日11時までの期間)。
個人情報の漏えいが発覚したのは2022年12月26日。内容はアンケート参加者の61名分。詳細は、氏名(漢字)、フリガナ、郵便番号、住所、電話番号、メールアドレスを含む応募内容となる。20220年12月26日10時ごろに事実確認を行い、該当アンケートフォームを停止。今のところ漏えいした個人情報を用いた被害はないとしている。
メディウェル、不正アクセスにより個人情報流出
メディウェルが運営する「病院事務職転職ドットコム」が外部からの不正アクセスを受け、保有していた顧客の個人情報の一部が流出している。2022年12月5日に「病院事務職転職ドットコム」の保守管理を担当している業務委託先から連絡を受け、不正アクセスが発覚。2022年12月3日~2022年12月4日にかけて、大量の不正アクセスがあったという。
12月5日~12月7日にかけて調査したところ、「病院事務職転職ドットコム」の脆弱性を入口として、顧客情報を保管していたデータベースが不正アクセスを受けていた。
12月7日~12月21日の期間に再調査を行ったところ、2022年8月29日~2022年9月2日に7名分、2022年9月2日~2022年9月8日に384名分、2022年12月3日~2022年12月4日に2,934名分の情報流出を確認した。不正アクセスはすべて異なる海外のIPアドレスを経由しており、同一人物の犯行によるものなのかはわかっていない。
流出したのは、「医師転職ドットコム」「医師バイトドットコム」でマイページを利用している人の情報と、「メディウェルログ」「クラヴィス」のいずれかのサービスに登録した人の一部の顧客情報。
対策として、2022年12月7日に脆弱性を修正。サイトの一時閉鎖、個人情報保護委員会への報告、所轄警察署への通報などを行っている。2022年12月23日には同サイトにおけるWAF(Webアプリケーション保護)を導入し、今後はセキュリティ体制の調査および改善、第三者機関の調査結果に基づいた再発防止策も実施していく。
関西電力送配電管理の顧客情報が閲覧可能な状態、情報の利用も
関西電力は、関西電力送配電が管理していた小売電気事業者の顧客情報を閲覧、利用していたことを明らかにした。関西電力の社員が小売電気事業者の顧客情報を閲覧できることに気付き、2022年12月13日に関西電力送配電に照会して判明。記録を調査したところ、2022年12月6日~12月12日の顧客情報アクセス記録から、329名の同社社員および委託先社員が1,327件の顧客情報にアクセスしていたことを確認した。
現時点で判明している閲覧目的の大部分は、顧客からの契約切替の申し出に対する契約状況の確認や問い合わせに対応するものとのこと。詳細は調査中。関西電力は今回の事態を重く受け止めるとし、社外弁護士などで構成するコンプライアンス委員会による調査と原因究明を図り、再発防止に全力を尽くすとしている。
OCNを騙るフィッシングメール
1月4日以降、OCNを騙るフィッシングメールが拡散している。送られてくるメール件名の一例は「【重要】OCNサービス料金請求のお知らせ」など。
メールでは、請求額が確定したので「OCNご利用額確定のお知らせ」を送ったといった内容を記載。「OCNマイページ」から確認するよう、リンクを用意し誘導する。誘導先は「OCNメール」を模したフィッシングサイトで、ログインIDやパスワード、PayPayのログインIDなどの入力欄がある。自分の情報を確認する場合は、公式アプリや公式サイトからアクセスするようにしたい。