事故から学ぶ

小松島市 同市立図書館がテスト用に作成したメールアドレスが不正アクセスの被害

事故概要

業種 小松島市
発生時期 未発表
漏えい人数 未発表
事故概要

小松島市は、同市立図書館がテスト用に作成したメールアドレスが不正アクセスの被害にあったと発表した。
詳細な状況は明らかになっていないが、メールサーバーに対する攻撃、メールアカウントに対する攻撃は数多く発生しているが、システム会社が作成しテストのみでしようしているアカウントへの不正アクセスがあった模様である。

引用元 小松島市

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

チェックリストコード:
22-24 (第22条)委託先の監督 “社内規則の整備(外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?

■ 推奨対策

対策:

管理者を示すアカウント名の「admin」「webmaster」などや、今回のようなテスト用のアカウント名は、推測されやすく攻撃されることも考えられる。 管理者やテスト用のアドレスについても、個人のアドレスと同様、強固なパスワード設定や、不要なアカウントの定期的な削除などを実施しなければならない。

具体例:

システム会社がテスト時に設定するアカウントは、SEの利便性を鑑み、技術者に広く知れ渡った名称が用いられることが多い。外部公開される前のシステムテストでは効率的だが、公開時にそのまま残しておくのは不正アクセスの温床となる。
システム会社はこの点について慣れもあり鈍感であるため、ユーザサイドから厳しく要望しておく必要がある。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。