事故から学ぶ

京セラで個人情報漏えい 最大で約1万4千件

事故概要

業種 製造業
発生時期 2020/10/16
漏えい人数 14000
事故概要

京セラは2020年10月16日、従業員のパソコンがマルウエア(悪意のあるソフト)に感染し、最大で約1万4千件の個人情報が漏洩した可能性があると発表した。従業員を装った不審なメールが社内外に約3万通送信されたことを確認した。これらのメールには、マルウエアに感染させるためのファイルが添付されていた。実際に被害があるかどうか調査中という。
京セラによると、従業員のパソコンには住宅用太陽光パネルを購入した顧客や住宅メーカーの担当者の名前や住所、電話番号など約1万4千件の個人情報がメールなどに残っていた。
このパソコンからは、従業員が過去に送信したメールの文面が転用され、従業員を装って多数に送信されていた。
従業員は在宅勤務中で社内システムへの接続に使われる「VPN(仮想私設網)」を使用。9月に取引先から受信したメールの添付ファイルをダウンロードし、感染した可能性があるという。

引用元 共同

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-3(第20条)安全管理措置 パソコン設定 携帯電話設定(インターネット利用 不正ログイン防止)

チェックリストにある要求ルール:

利用中のウェブサービス・インターネットサービス(インターネットバンキング、ソーシャルネットワーキングサービス(SNS)、ウェブメール、カレンダーなどインターネット経由で利用するサービスの総称)、クラウドサービス(サーバ等のレンタルや運用サービス、決済サービス等)や製品メーカーが発信するセキュリティ注意喚起を確認し、社内共有して社内での対策を確実に実施していますか?
自分が理解できないセキュリティー設定に関しては、勝手な解釈や判断を行わず、専門家や専任者の意見を踏まえた防御策を構築と監視をしていますか?
パスワードは数字だけのものを避けて、記号を含むなどの複雑なものにしていますか?
2段階認証、2要素認証が可能な場合は設定していますか?
安全性を確認せずにサイトからファイルをダウンロードしていませんか?
感染した、情報が洩れているからすぐに対応しろ、など閲覧しているサイトからの指示に惑わされ、システム管理者の許可を得ず勝手にファイルをダウロードしていませんか?
セキュリティー対策としてOSやアプリケーションは常に最新バージョンにアップデートしていますか?
携帯電話のOSやアプリケーションもも常に最新バージョンにアップデートしていますか?

■ 推奨対策

対策:

外部からの不正アクセスによりプログラムが書き換えられ、表示に不具合が生じたということである。
個人情報は抜き取られていないのか?という疑問が生じるが発表には何も記されていない。
残念だが被害調査、報道姿勢などに疑問が残る対応である。

具体例:

このような事案での報道発表に必要なのは、利用者への不安払しょくとその根拠を伝えることである。
ログイン機能があれば、ログイン情報(会員情報)は洩れなかったのか、DBのログ検査は行ったのか。不正アクセスはどのような不正アクセスであったのか、それは単にPWを変えるだけでよいのか?などの疑問に答えていないと思える。発表が控えめにしたのかまでは分からないが、だいぶ稚拙な対応に見えてしまう。残念であり不安の残る対応である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。