事故から学ぶ

マルウェア検査サイトを通じた個人情報ファイルの外部流出、そのまさかの原因が話題に

事故概要

業種 検査会社
発生時期 2021/2/2
漏えい人数 未発表
事故概要

マルウェア検査サイト「VirusTotal」を通じたファイル流出が、一部で話題になっている。
「VirusTotal」はGoogleが運営するマルウェア検査サイトで、ウェブサイトやファイルを指定するとマルウェアが含まれないか検査して教えてくれるのだが、今回話題になっているのは同サイトが提供している別の機能。それはユーザーから提供されたデータを会員企業や研究者の間で検体として共有する機能で、これらを知らずに手持ちのファイルを検査目的でアップすると、意図せず外部に漏れてしまう危険があるのだ。誤ったファイルをアップロードした時のための削除申請フォームが用意されていることから分かるように、あくまでも仕様であって不具合ではないのだが、ブラウザ拡張機能を使うとネットからダウンロードしたファイルを自動的にVirusTotalに送信する設定も可能とのことで、先月末に北陸先端科学技術大学院大学で発生した個人情報の流出は、同サイトまたはそれに類する検査サイトがきっかけだったと見られている。無料で使える検査サイトとして広く知られるVirusTotalだが、こうした機能があることは知っておいたほうがよさそうだ。

引用元 impress

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置
(第22条)委託先の監督 社内規則の整備(自社運用・外部サービス利用)

チェックリストにある要求ルール:

クラウドサービスなど外部システムサービスを利用する時は利用規約やセキュリティ対策を確認するなど、サービスの安全・信頼性を把握して選定していますか?
サーバの安全管理措置徹底を頻繁に確認し、徹底していますか。特に外部委託している場合は、まかせっきりにせず自らの目でも確認していますか?
委託先に保管管理依頼している情報機器の盗難、紛失防止の点検と棚卸を実施していますか?
情報機器の処分時は、事業者自らデータ消去を確認してから業者に引き渡していますか?

■ 推奨対策

対策:

マルウェア検査サイトを経由した個人情報漏えい事故が報告されている。マルウェア検査をしただけのつもりが、個人情報漏えいにつながってしまった。
本件で対象となっているマルウェア検査サイトは、そもそもの仕様として検査したファイルを検体として共有する機能を持っていた。
個人情報を含んだファイルを検査したことでそのファイルが会員企業などに共有され、漏えいとなってしまった。
利用するサービスの性質を理解した上で活用していかなくてはならない。

具体例:

委託先管理に含まれるのがクラウドサービスである。
クラウトサービス利用時に注意書きを最後まできちんと読むことなく利用を開始したため、想定外の情報共有や公開の設定をしてしまうことがある。
不慣れで引き起こした漏えい事故でも個人情報漏えいに変わりはない。利用前に口コミサイトなどで先人のミスや注意を他山の石として取り込むことである。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。