原子力発電制御システムの設計データ含むHDDが盗まれる（東芝）

原子力発電制御システムの設計データ含むHDDが盗まれたそうです。
東芝、原子力発電制御システムの設計データ含むHDDが盗まれる　INTERNET Watch　2008年5月22日

事件は東芝の府中事業所で発生し、データサーバーの外付けHDD3台、デスクトップPC内蔵のHDD1台が盗まれたそうです。このディスクには火力、水力、原子力の発電制御システムの設計データが保存されていたということで、内容によっては大規模なテロに悪用される危険性もあるものですよね。怖いです。

デスクトップPCは故障中で、2007年4月27日から施錠管理された部屋に保管されていたが、内蔵のHDDが取り外されていた。

これがよく分かりません。何でこんなの持っていったんでしょうか？これに関しては、外付けHDDの犯人と別かもしれません。まあ、どちらも内部犯行の可能性が高いのではないでしょうか。

＜参考＞
当社事業所におけるハードディスク装置の盗難について　株式会社東芝電力システム社　2008年5月21日
東芝、原子力発電制御システムの設計データ含むHDDが盗まれる　まっちゃだいふくの日記★とれんどふりーく★　2008年5月22日

募金詐欺が増加中

ミャンマーでのサイクロン、中国四川省での大地震と大きな天災が続きましたが、またもやこれらの被害者への募金を語った詐欺が広がっているようです。
募金詐取を狙う地震便乗のさまざまな手口　ITmediaエンタープライズ　2008年5月20日
災害に便乗したとみられるドメイン取得が増加したとの報道　日立システム情報セキュリティブログ　2008年5月22日

毎度のことではありますが、モラルのないことをやる人がいるものです。まあ、そもそも詐欺は犯罪だからだめなんですけどね。

日本銀行松江支店の事件から再考する情報漏洩対策

少し前のニュースになりますが、日本銀行の情報漏えい事件に関する記事がありました。
まじめな彼はなぜ情報を持ち出した？　日銀事件に学ぶこと　ITmediaエンタープライズ　2008年5月2日

この記事は、3月22日に公表された日本銀行松江支店からの情報漏えい事件についてものです。3月22日ってあれですね、日銀総裁が不在なときですね。
日本銀行松江支店における内部情報流出について　日本銀行松江支店　2008年3月22日

この事件に関して、4月15日に日本銀行から内部調査の結果が公表されています。
日本銀行松江支店における内部情報流出に関する内部調査結果について（PDF）　日本銀行　2008年4月15日

この調査結果ですが、調査結果、対応、反省点、再発防止策と他の事件の調査結果報告と比べて内容が充実したものとなっています。今回はこの調査結果報告を元に、有効な情報漏洩対策を再考してみたいと思います。

・事件の概要
まず、今回の事件の経緯を確認しましょう。

【序章】
とある日本銀行松江支店職員は、ほぼ毎営業日、職務関連資料をフロッピーディスクや紙ベースで、自宅に持ち帰っていました。これは仕事が忙しいからではなく、資料の完成度を高めたかったからだそうです。いますよね、そんな仕事熱心な方。しかし、もちろん内部ルール的にはNG行為です。この職員もルールは知っていましたが、知っていただけなのです。そして、持ち帰ったデータ資料は個人のPCに入れておきました。
この個人PCにはCabos、Winny、そしてその亜種がインストールされていました。さらに、このPCにはウイルス対策ソフトが導入されていたのですが、2005年10月にサポート期限切れになっているもので、しかもパターンファイルは2001年11月のものでした。そして、このPCはいつのまにか暴露ウイルスに感染していたのです・・・。

【第1章　事件発覚】
3月21日午前10時頃、日本銀行松江支店にインターネット上に松江支店のものと思われる資料が掲載されている旨の連絡が匿名で入りました。そして、これらの資料が松江支店の職務関連資料であることが確認されたのです。よくあるパターンですね。
結局漏洩が確認されたデータは34ファイルで、容量は約3メガバイトだそうです。フロッピーでこつこつ持ち出したんでしょうね。内容としては金融機関の過去の決算分析に関するものと、日本銀行が金融機関に委嘱している国庫国債事務の事務検査に関するものの2種類だそうです。かなり漏洩してはいけないものな気がしますが・・・。

【第2章　その後】
こうなりました。（以下抜粋）

（行為者）
松江支店 担当者 停職1ヶ月、自主退職
（管理・監督者）
松江支店長 戒告、給与自主返上10％（1ヶ月）
前松江支店長 戒告、給与自主返上10％（1ヶ月）
松江支店次長 戒告
前松江支店次長 戒告
松江支店総務課長 戒告
松江支店業務課長 戒告

・問題点と対策
この調査報告書の中にも反省点、再発防止策についての記載があります。（以下抜粋）

３．反省すべき点
（１）職員の規範意識が十分ではなかった点
（２）情報流出を生じさせないための執務環境の
（３）上司が部下の内部ルール違反を認識してい
４．再発防止策
（１）情報の厳格な取扱いの再徹底
（２）情報流出を生じさせない執務環境の整備
（３）内部におけるチェック体制の強化

さて、ここからが私の考えです。

1.教育を徹底しよう！について
4の（1）は職員への教育を強化しましょうという話なのですが、今回の事件を犯した職員もルールは知っている上でそれを破っているわけです。気の知れた数人のグループなら別ですが、大きな組織になればなるほど色々な人がいます。これまで教育を全くしていない場合を除いて、教育というのは情報漏洩の有効な対策にはなりえないと私は考えます。

2.持ち出さなくても良い環境にしよう！について
3の（2）に持ち出さなくても良い環境とありますが、今回事件を起こした職員は残業するほど忙しくなかったけれど、持ち出したわけです。つまり、人は情報を持ち出す必要がなくても持ち出すものです。少なくともそういう人はいます。したがって、今回はこの対策はあまり意味がないと思われます。ただし、この対策は忙しくて仕事を持ち帰らすを得ない環境では、有効な対策かもしれません。ただ、この場合は情報漏洩とは別の問題な気もしますが。

3.システム的に持ち出せなくしよう！について
3の（2）と4の（2）に記載がありますが、システム的に持ち出せなくすることは非常に有効だと思います。ファイルを暗号化して持ち出すと読めないようにしたり、外部記憶媒体を使えなくしてしまう、操作ログを取って違反行為に対して通知を行う（通知を行うことが重要です）等の対策は教育と組み合わせると非常に有効です。あとメール対策も必要ですね。添付ファイルを送ると上司にメールが行くとかが良いのではないでしょうか。
日本人の場合は操作ログを取っておき、違反行為をした場合に警告を出したりすると、もう違反行為をやらなくなるそうです。だからガチガチにシステムで固めなくても、ある程度のシステム的な情報漏洩対策を行えばよいのではないでしょうか。しかし、中国人の場合は抜け道がないか色々と試すので困る、とどこかで聞いたか読んだかしたことがあります。国民性でしょうか？まあ、人によりますよね。私の知り合いはそんな感じではないですし。

4.管理職に管理させよう！について
3の（3）と4の（3）に管理職の職員の管理を徹底という話が出てきますが、私はこれは無理だと思います。まあ、管理業務専任の管理職が職員3人に付き1人ぐらいいるのであれば別ですが（もしかしたら日銀はそうなのかもしれませんが）、普通管理職は職員が業務時間中に何をしているのかを全て把握してるなんてことはないと思います。

5.個人PCの定期点検について
これもどこまでやる意味があるのかな？と思います。結局これも自己申告に過ぎないわけですから。日銀は違いますが、家で仕事するのは認める（もしくは致し方ない）、ただし、仕事に利用するPCはウイルス対策ソフトを導入し、ファイル交換ソフトも使うな、という企業があるようです。確かに、ウイルス対策ソフトの導入は家庭でも必要ですし、ファイル交換ソフトも利用しないほうが賢明だと思います。しかし、このようなルール作るのであれば、家で仕事用の企業で管理するPCを用意すべきではないか、と思ったりします。

・まとめ
非常に長くなってしまいましたが、今回のポイントは1つだけです。情報漏洩対策は教育やルールの策定といった人的なものだけでは限界があります。もちろん、システム的に～だけでもあまり有効ではありません。人＋システムの2つの対策を組み合わせることにより、有効な情報漏洩対策を行うことができるのではないでしょうか。まあ、情報セキュリティ対策はバランス良くということは、よく言われていることではありますけどね。

日立製作所が相次いで情報漏えい ファイル交換ソフトが原因

日立製作所が情報漏えいを2件立て続けに起こしています。まず1件目のニュースリリース。
ファイル交換ソフトを介した情報流出について　 株式会社日立製作所　 2008年2月14日

これは、発電所の試運転に関する報告書がファイル交換ネットワークに流出してしまったという事件です。ニュースリリースより引用します。

ファイル交換ソフトを介した情報流出について

株式会社日立製作所(執行役社長：古川一夫)が受注した東京電力株式会社姉崎火力発電所3号機ならびに中部電力株式会社碧南火力発電所2号機の試運転に関する報告書類が、日立から作業を委託されたバブコック日立株式会社(取締役社長：伊佐均)の作業者の私有PCから、ファイル交換ネットワーク上に流出していたことが、2008年2月12日までに判明しました。
本情報の内容を確認・検証した結果、発電所の安全に影響を及ぼすような情報は含まれておりません。

日立グループでは、社員に対し、情報漏えい防止に関する教育の徹底を図る等、各種情報セキュリティ対策を講じて参りましたが、このような事態を招き、お客様をはじめ皆さまに多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。
当社では、今回の事態を重く受け止め、継続的な各種情報セキュリティ対策を講じるなど、再発防止に全力で取り組む所存です。

以上

そして、再発防止に全力で取り組むまもなく次の事件が発生しました。いや、正確にいうと日立製作所内では、2月12日の時点で両情報漏えいを把握していたようですね。
ファイル交換ソフトを介した情報流出について　 株式会社日立製作所　 2008年2月19日

タイトルをそろえてきました。また、本文を引用します。

ファイル交換ソフトを介した情報流出について

株式会社日立製作所(執行役社長：古川一夫)が受託したお客様の従業員に関する情報を含む業務関連情報等が、当社社員の私有のPCから、ファイル交換ネットワーク上に流出していたことが、2008年2月12日に判明しました。

流出した情報は、旧三共株式会社（現在の第一三共株式会社）の端末機器設定作業の際に使用した各種リスト、計画書、手順書等と2003年12月時点で旧三共株式会社に在籍していた役員、　嘱託を含む従業員約6,000人分の氏名および現在は使用されていない社員コード、所属コード、　部署、役職、電子メールアドレス、FAX番号を記載した社員リストです。

当社は、社員に対し、情報漏えい防止に関する教育の徹底を図る等、各種の情報セキュリティ　対策を講じて参りましたが、このような事態を招き、お客様に多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。今回の事態を重く受け止め、継続的な各種情報セキュリティ対策を講じるなど、再発防止を図り、信頼回復に全力で取り組む所存です。

以上

一段落目に経緯と日付、二段落目に流出した情報について、三段落目にお詫び、これが日立のフォーマットなんですね。シンプルで良いと思います。気になったので、昔のニュースリリースを調べてみました。以下は2006年5月2日に出た、WinnyでＰＡＳＭＯシステムの情報を漏えいさせた際のニュースリリースです。

2006年5月2日

当社社員PCからのウィニー（Winny）を介した情報流出について

株式会社日立製作所(執行役社長：古川 一夫) 社員の私有ＰＣから、ウィルス感染によりウィニー(Winny)ネットワーク上に情報が流出していたことが2006年4月25日に判明しました。流出した情報は、当社が株式会社パスモ(代表取締役社長：佐藤 守)から受託したＰＡＳＭＯシステムに関連する作成途中の駅サーバシミュレータ仕様書および当社社内研修用資料等です。
本情報の内容を確認・検証した結果、お客様等の個人情報や当該システムの開発・運用に影響を及ぼすような情報は含まれておりません。
当社では、機密情報漏洩防止３原則を制定し、社員等への徹底を図るなど、各種情報セキュリティ対策を講じて参りましたが、このような事態を招き、お客様をはじめ皆さまに多大なるご迷惑をお掛けしたことを深くお詫び申し上げます。
当社では、今回の事態を重く受け止め、こうした事態が二度と起こらないように、継続的な各種情報セキュリティ対策を講じるなど、再発防止に全力で取り組む所存です。

以上

当社社員PCからのウィニー（Winny）を介した情報流出について　株式会社日立製作所　2006年5月2日

2006年のも基本的に変わっていませんね。ただ、2006年5月2日と2008年2月14日が「再発防止に取り組む」だけなのに、2008年2月19日のものは「再発防止を図り、信頼回復に全力で取り組む」と取り組むものが増えています。

さて、ここまでどうでも良いことを書いてきましたが、最後にまじめな話を１つ。今回立て続けに発生した2件の情報漏えい事件は、両方ともファイル交換ソフトが入った私用パソコンを業務で利用したこと、これがそもそもの原因です。日立と言えば多くのセキュリティ製品を開発、販売している会社です。もちろん、情報漏えい対策の製品もたくさん扱っています。きっと、これらの製品を自社内でも利用しているでしょう。つまり私はここで、日立はかなりレベルの高いセキュリティ対策が行われている企業である（きっと）と言いたいのです。そして、そのような企業でさえ、私用のパソコンを業務で利用してはいけないという、セキュリティ対策の基本ができておらず、それが原因で情報漏えいが発生していることに驚きと落胆を感じています。やっぱり情報漏えい対策と言うのは、難しいですね。改めてそう思わせられた事件です。

＜参考＞
発電所情報の情報漏えいについて
日立、子会社社員のPCから火力発電所の情報がWinnyネットワークに流出　INTERNET Watch　2008年2月15日
業務委託先からの姉崎火力発電所に関する情報流出について　東京電力株式会社　2008年２月14日
当社火力発電設備に関する情報流出について　中部電力株式会社　2008年2月14日
旧三共データの情報漏えいについて
日立の社員パソコンから情報流出、顧客の旧三共の従業員データなど　IT Pro　2008年2月19日
日立製作所、製薬会社の従業員約6,000人分の情報など流出　INTERNET Watch　2008年2月19日
業務委託先からの情報流出について（PDF）　第一三共株式会社　2008年2月19日
その他
【情報漏洩】破棄したはずのHDDが中古店に流出　このブログ

オンラインゲームポータルに不正アクセス、個人情報が1万4000件が流出

シーアンドシーメディアが運営するオンラインゲームポータルサイト「MK-STYLE」が不正アクセスに遭い、個人情報14,362件（1月27日現在）が流出したそうです。
不正アクセス発生に関する調査報告と個人情報流出のお詫び　株式会社シーアンドシーメディア　2008年1月28日

今回の事件は、どうやら「Perfect World -完美世界-」のアカウントハック被害から発覚したようですね。流出した情報はアカウントID、パスワード、メールアドレス、年齢で、クレジットカード情報などはないそうです。不正アクセス元はどうやら中国らしく（4Gamerの記事より）、サーバにはトロイの木馬も仕掛けられていたようです。

今回の不正アクセスを受け、シーアンドシーメディアは以下のセキュリティ対策の強化を発表しています。

第1段階
　・セキュリティ対策室の設置 (実施済)
　・情報セキュリティ専門会社による不正アクセスの監視 (1月24日機器導入済)

第2段階
　・認証システム強化 (1月26日実施済)

第3段階 (1月中に実施予定)
　・サーバーシステムの改修によるセキュリティ強化
　・ハッキング防止対策強化
　・BOT対策強化

第1段階ぐらいははじめからやっていても良いんじゃないかな、と思ったりしてしまいますけどね。

ちなみに今回の個人情報流出を受け、補償も発表されています。
不正アクセスによる一部個人情報流出に関する補償方針について　MK-STYLEカスタマーセンター　2008年2月6日
＜不正アクセスに伴い、ご迷惑をお掛けしたお客様への補償内容＞　「Perfect World -完美世界-」インフォメーション

さすがオンラインゲーム、情報漏洩の保障もゲーム内のポイントで支払われるようです。仕組みが良く分からないので、GAME Watchの記事を引用します。

　発表された補償内容は、まず、1月26日13時までに「パーフェクトワールド」に会員登録している全てのユーザーに対して、MKポイント「500ポ イント」を2月14日の定期メンテナンス後に配布。所持していた有料アイテムとワールドチケット (WT) は同額のWT (端数は切り上げ) にて補償される。

　そして盗難されたゲーム内アイテムは、アイテムのカテゴリーおよびアイテムの精錬値に応じて、仮想通貨 (Coin) にて補償される。なお、EXカテゴリーのアイテムおよびEXランクの精錬アイテムは、アイテム価値を協議した上で補償額を決定する。

C&Cメディア、MMORPG「パーフェクト ワールド -完美世界-」個人情報流出に関する補償方針を発表　GAME Watch　2008年2月6日

私はやらないのであまり詳しくないのですが、最近のオンラインゲームはかなり現金が動くそうです。お金の集まるところには犯罪者たちも集まってきます。オンラインゲームの運営会社も、犯罪のプロたちを相手にしているんだという心構えでセキュリティ対策を行って欲しいですね。

＜参考＞
「Perfect World -完美世界-」でのアカウントハックの原因判明，海外からのサーバー侵入を確認　4Gamer　2008年1月28日
ゲームポータル「MK-STYLE」から個人情報1万4000件流出　ITmedia News　2008年1月29日

【情報漏洩】破棄したはずのHDDが中古店に流出

少し前の事件ですが、消防庁の個人情報が入ったHDDがは破棄されずに中古店で売られていたという事件がありました。そこまで大きな報道はなかったと思いますが、個人的には久しぶりに大きな情報漏洩だと思ったので、取り上げておきます。

事件の詳細は以下の通りです。
1.消防庁とパソコンの賃貸契約を結んでいた日立製作所が、修理・交換を依頼されたパソコンのHDDを回収
2.HDDの修理を委託された子会社が「動作不能」と判断し、金属材料のリサイクルのためリサイクル業者に売却
3.リサイクル業者はHDDの粉砕処理を行なうはずが、ここでなぜかHDDが外部へ流出
4.群馬県内の中古品量販店でHDDの一部を購入した一般の方から消防庁へメール→情報漏洩が発覚

この一般の方が購入したHDDは、もともと武蔵野消防署境出張所の職員が使用していたパソコンに内蔵されていたもので、同署で防火診断した２５００人分の氏名や住所、連絡先のほか、同消防署員の経歴や火災時の出動状況などの情報が入っていたそうです。結構な個人情報ですよね。

事件発覚後に日立製作所が調査したところ、同様のHDDが群馬県内に出回っていたことが分かったそうです。リサイクル業者から中古量販店へ持ち出された経緯は現在調査中とのことですが、公表されている情報だけを見ても今回たまたま流出してしまったという訳ではないような気がします。

今回の事件の教訓、それは重要な情報は自分たちの手の中にとどめておく必要があるということでしょう。今回の場合だと、重要な情報が入ったHDDに関しては修理などで外部に出す場合でも、物理的に破壊するなり、データ消去ツールを利用するなりし、情報が自分たちの手の届かないところへ出て行かないようにする必要があるということです。もちろん、ディスク暗号化ツールを利用しても良いと思います。

情報漏えいは時として業務委託先によって引き起こされます。しかし、この情報漏洩の責任を問われ、社会的信用を失うのは委託元です。（もちろん情報漏洩を起こしたところもですが。）委託先に渡す情報をなるべく少なくするという工夫も、情報漏洩対策として非常に重要ではないでしょうか。

＜参考＞
廃棄処理過程におけるハードディスクドライブの流出について　日立製作所　2008年1月18日
日立製作所、廃棄したHDDが中古品量販店に流出　INTERNET Watch　2008年1月1月21日
日立が「廃棄したはず」の個人情報入りHDD、中古店に流出　ITmedia News　2008年1月18日
東京消防庁の廃棄パソコンから情報流出、業者ＨＤ粉砕せず　じゃぱんOWNERS　2008年1月19日
廃棄したHDDから情報漏洩　セキュリティ＆コンサドーレ札幌　2008年1月27日