兵庫・尼崎市民約46万人余の個人情報USBメモリを紛失・発見した事故から心得て欲しいことを書きます。
・パスワードは解析できるか興味がある方
・個人情報漏洩により起こりえることを知りたい方
・仕事で個人情報と取り扱う機会がある方
兵庫・尼崎市民約46万人余の個人情報USBメモリを紛失、翌日に発見
兵庫県尼崎市は、全住民46万人分の住民基本台帳の情報が入っているUSBメモリを紛失したと発表しました。個人情報には名前、住所、生年月日などが含まれいたとのこと。その翌日USBメモリが発見されました。
経緯は以下の通り。
- BIPROGY(旧 日本ユニシス)の協力会社の社員が尼崎市市民の個人情報を許可なく持ち出し
- 作業後データ消去せず居酒屋で泥酔後、路上で寝てしまい鞄ごとUSBメモリを紛失
- 翌日に紛失について届け出
- 記者会見でパスワード桁数を公表
- 記者会見の翌日、大阪府吹田市のマンション敷地内でUSBメモリが入った鞄を発見
- BIPROGYが尼崎市の許可なしに業務再委託。USBメモリを紛失させたのは再々委託先社員だった
BIPROGYが一番悪いが尼崎市も悪い
尼崎市さん、情報セキュリティ管理基準って知ってる?
報道当初、尼崎市側にて、コールセンターを設けました。今の所、漏洩による影響は出ていません。(キリッ)で言い切っていますが、それ以前に「情報セキュリティ管理基準」って知ってますか?と問いかけたいです。
経済産業省の情報セキュリティ管理基準の一部にはこう書かれています。
14.2.7 組織は、外部委託したシステム開発活動を監督し、監視する。
14.2.7.9 システム開発を外部委託する場合には、組織の外部のサプライチェーン全体にわたり、開発のプロセス及び管理策を監査するための契約上の権利を契約に含める。
何が言いたいかというと、ちゃんと「監査していたか?」ということです。
ぼぶたろう的には、許可なくUSBメモリにコピーする行為を尼崎市が監査していなかったため、不正を見抜けなかったのでは?と思います。
不正のトライアングル(機会・動機・正当化)が発生する環境であったと察します。以下は想定ですが、
- 機会:尼崎市側が何も監査しないから平気やねん
- 動機:USBメモリに個人情報をコピーできたで
- 正当化:万一、本番環境で個人情報が消えても大丈夫なようにバックアップとったで
で行ったのではと推測します。こういう事が起きない、いや起こさせないために、監査が必要なのです。
さらに、BIPROGYが尼崎市の許可なしに業務再委託したことが発覚。
尼崎市が「契約に反する行為だ。初めて再委託の件を知った」というのは当然です。
でも尼崎市さん、ちゃんと監査しました?監査調書はしっかりとったか?監査の形骸化してなかったか?
と私が仮に尼崎市市民なら、住民監査請求して確認すると思います。
USBメモリが見つかって盗難被害は無かったが情報漏洩は?
記者会見の翌日、大阪府吹田市のマンションの敷地内でUSBメモリが入った鞄が発見されました。
これにより「盗難被害」は無かったことになります。
但し、「情報漏洩」もなかったとは言い切れないです。
なぜなら、マスコミ発表によると6月24日朝から捜索を開始したとのことなので、1日以上、放置されていたということになります。
その一日の間、USBメモリから個人情報を、第三者によってコピーされた可能性は0ではないと思います。
万一、データが第三者によってコピーされた場合、記者会見で発表してしまった通り、データには、13文字長のパスワードが掛かっています。
辞書攻撃(例えばamagasaki)と総当たり攻撃(2021,2022等)で、パスワードは見破られます。
たとえば、amagasaki2022やamagasaki0622など色々と文字を組み合わせたパスワードを用いて解除を試行します。
このケース場合、時間さえあればパスワードを解析することは可能です。
パスワード解析後に起こりえること
パスワードを解析されたあと、どうなるか。
簡単に表現すると、最悪、ハッカーたちが利用する闇のネットワーク(Tor ダークウェブ)で、個人情報が売買される可能性があります。
最悪、個人情報を悪用されるケースが考えられます。
例えば、情報漏洩の被害に遭われた方宛に、ほとぼりが冷めた頃(例えば、2年や3年など)に突然、個人情報を悪用した被害を受ける可能性があります。
具体的には、売買された情報が電話番号であれば、最終的に勧誘や、最悪、詐欺の電話がかかってきたりします。(生年月日から年齢も分かりますからね。)
銀行口座であれば、不正出金などが挙げられます。
仕事で個人情報と取り扱う機会がある方に言いたいこと
仕事で個人情報を取り扱う機会はあると思います。
今回、個人情報をUSBメモリにデータを暗号化の上、持ち歩いていたとのことですが、
「USBメモリを職場に持ち込んだ時点で疑われる」
と思った方が良いでしょう。プライベートのUSBメモリともいえど、絶対に職場には持ち込まない方が良いです。
セキュリティ対策をしっかりしている職場であれば、情報漏洩を危惧して
- パソコンのUSBポートを物理的に塞ぐ(キーボード、マウスの部分は塞げないですが・・)
- パソコン管理システムでUSBポートに対してデータ送受信できないようにする
など、物理的、技術的なセキュリティ対策はありますが、今回の尼崎市は上記の2つの事項について、セキュリティ対策をしていないことが分かります。
いずれにせよ、USBメモリやSDカードといった記憶メディアは持ち込まない方が良いです。
また、個人情報は電子ファイルだけではありません。紙媒体もあります。
使用後はシュレッダーにかけるなどちゃんと処置をしないとこちらも情報漏洩につながります。
「個人情報を外部へ持ち出さない」
が原則です。これはあなた自身を守るためにもやってほしいことです。
リモートワークで使用するパソコンも同様に、個人情報は使用しているパソコン内の個人情報は、残さず完全削除をしてください。(ゴミ箱に残してもダメです!)
まとめ
今回は、尼崎市で起きた顧客個人情報漏洩について思ったことを書きました。
- 尼崎市は、外部業者に対して、運用まで監査してください
- 個人情報を外部に持ち出さないでください
ということをどうしても言いたくて記事にしました。
最後まで読んでいただき、誠にありがとうございました。
