6月20日週にかけて発生したセキュリティに関する出来事や、サイバー事件をダイジェストでお届け。先週は何といっても尼崎市のUSBメモリ紛失が注目を集めた。

尼崎市、個人情報を保存したUSBメモリを紛失

兵庫県尼崎市は6月23日、個人情報を含んだUSBメモリを紛失したと発表した。紛失が発覚したのは6月21日。吹田市のコールセンターにおけるデータ移管作業のため、必要なデータを記録したUSBメモリを市政情報センターから持ち出したことが発端。当初、データを持ち出したのは受託者である「BIPROGY」関西支社の協力会社の社員としていたが、後に協力会社の委託先の社員ということが分かった。

データ移管作業については問題なく完了したものの、担当者が飲食店で食事をし、帰宅時に当該USBメモリを入れておいたカバンがないことに気が付いた。6月22日に当該社員などが可能性のある場所を捜索するものの発見はできなかった。このUSBメモリにはパスワードがかけられており、データも暗号化処理済み。そのため、現時点での情報漏洩はないとしている。保存していたデータは以下の通り

■全市民の住民基本台帳の情報:46万517人分
統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日など

■住民税に係る税情報:36万573件
統一コード、住民税の均等割額

■非課税世帯等臨時特別給付金の対象世帯情報:令和3年度分74,767世帯分、令和4年度分7,949世帯分
世帯主の統一コード、申請書番号、申請受付日、申請書不達理由、振込済処理日時など

■生活保護受給世帯と児童手当受給世帯の口座情報:生命保険16,765件、児童手当69,261件
統一コード、金融機関コード、支店コード、口座区分、口座番号、口座名義

尼崎市は紛失の原因として、受託者個人が電子記録媒体で個人情報データを運搬するという手法について許可を得ていなかったこと、受託者がデータを持ち出すとき市に許可を得るべき旨を徹底していなかったことなどを挙げている。

ほかにも、個人情報を保存した電子記録媒体を、運送会社のセキュリティ便などを使わず個人で持ち出したこと、データ移管作業終了後にその場でUSBメモリ内のデータ消去しなかったこと、当該USBメモリを所持したまま飲食店に立ち寄ったことなども要因として挙げている。

これらを踏まえ、今後はUSBメモリなど電子記録媒体を事業所外へ持ち出す場合、具体的な運搬方法を含めて必ず市に許可を得た上で、暗号化など情報セキュリティ対策を行い、複数人での配送や運送会社のセキュリティ便を使用するなどセキュリティマネジメントを徹底するように改善するとのこと。また、個人情報保護の重要性を改めて周知徹底し、職員の危機意識を高めていく。

なお、紛失したUSBメモリについては、カバンともども6月24日に発見している。この一件では、記者会見にて尼崎市の担当者がパスワードの桁数を明かしてしまったり、偽物と思われる尼崎市USBメモリがフリーマーケットサイトに出品されたりと、多くの教訓を残した。

ブックウォーカー、外部流出アカウント情報による不正アクセス

ブックウォーカーが運営するKADOKAWA直営電子書籍サイト「BOOK☆WALKER」において、第三者が不正に取得したメールアドレスとパスワードを用いた不正ログインがあった。

同社は、別のサービスで共通のメールアドレスとパスワードを利用している場合、パスワードを変更するよう強く推奨。また、身に覚えのない購入を確認した場合は、速やかに「お問い合わせフォーム」から連絡するよう呼びかけている。

今回の不正アクセスを受け、対応策のひとつとしてログイン通知メールを導入。登録したメールアドレスでログインした際、ログインした日時とIPアドレスを通知するものだ。ギフト購入機能の一時停止も実施していたが、こちらは6月15日13時30分で一部機能を解除した。同社はパスワードをハッシュ化して保存しており、現在のところ個人情報の流出やシステム障害などの被害はないとしている。

honto、不正入手したメールアドレスとパスワードによる不正ログイン被害

大日本印刷などが運営する総合オンライン書店「honto」が不正ログインを受けた。不正ログインは、外部から入手したと思われるメールアドレスとパスワードを用いたものと推測している。

同社は現在、従来以上のセキュリティ対策を実施中。顧客に対してはさらなる不正ログインを防止するため、別のサービスでhontoと同一のパスワードを使っている場合、パスワードを変更するよう呼びかけている。また、大日本印刷やhontoからのメールでパスワードやクレジットカード情報などを聞くことはないので、不審なメール、記載のURL、添付ファイルの開封はしないよう注意を促している。

夏ギフトのダイレクトメール誤郵送で個人情報流出

バローホールディングスが夏ギフトのダイレクトメールを配信した際、一部顧客の個人情報流出があった。2022年6月6日に夏ギフトのダイレクトメールを郵送で送付した際に発生。ダイレクトメールの送り先は、一部店舗(恵那店、ルビットタウン中津川店、高山店、掛川店、清水高橋店)で2021年にギフト注文をした顧客。送付後に顧客からの連絡があり確認したところ、同姓同名の注文者に誤った届け先の情報を郵送していたことが判明した。

今回の誤郵送の原因は、夏ギフトを管理するシステム移行時のデータ照合認識、検証不足、管理監督者の作業確認不足など。流出件数は79名分で、流出したした個人情報は郵便番号、住所、氏名、電話番号となる。

同社は、誤って郵送した顧客に電話連絡を行い郵便物の回収を実施。今後は再発防止に努め、今まで以上に個人情報の保護、情報管理の徹底に努めるとしている。

Google、脆弱性30件を修正したChrome最新バージョン「103.0.5060.53」

Googleは6月21日、Chromeの最新バージョン「103.0.5060.53」を公開した。Windows、mac OS、Linuxに向けて、数日から数週間かけてアップデートを配信する。

今回のアップデートでは、「クリティカル」1件、「高」2件を含む14件の脆弱性を修正。「クリティカル」の脆弱性は解放後のメモリ使用、「高」の脆弱性は解放後のメモリ使用および特権昇格。Chromeユーザーは早めにアップデートしておくこと。

Evernoteを騙るフィッシング

6月22日の時点で、Evernoteを騙るフィッシングメールが拡散している。メール件名の一例は以下の通り。

  • 【重要】Evernoteアカウントの自動退会処理について。

メールでは、2022年5月30日にサービスをリニューアルしたので、2年以上の利用がない場合は自動的に退会処理を行うと記載。今後も利用する場合は、6月25日までにログインするようにと記載URLへ誘導する。リンク先はEvernoteのロゴマークを使ったフィッシングサイトで、個人情報やクレジットカード情報の入力欄があり情報を窃取しようとする。

6月22日の時点でフィッシングサイトは稼働中なので注意のこと。このほかにも、三井住友、三越伊勢丹、JCBやイオンカードなどのクレジットカードの利用確認を装うフィッシングメールも拡散しているので注意が必要だ。