事故から学ぶ

当社が管理するメール中継システムによる外部メール不正中継について(第二報)

事故概要

業種 民間企業
発生時期 2022/3/23
漏えい人数 0
事故概要

SBテクノロジーは、当社が構築及び管理を行う自治体情報セキュリティクラウドのメール中継システムにおいて、障害対応メンテナンス時の設定変更不備により不正中継(オープンリレー)可能な状態になり、悪意のある第三者のメール送信に利用されたことを確認し、本事象において引き続き調査を進めております。
2022年3月21日にお知らせしました通り、悪意のある第三者により912,299件の不正なメールが送信されました。これまで調査を行った結果、不正メールの送信元に詐称された5県8市のメール送信の総数(国内ドメイン(.jp)宛て、それ以外)と、不正中継により送信された15種類のメールの件名について、ご報告できることとなりましたので、お知らせいたします。
本事象において、お客様をはじめ多くの関係者の皆様に多大なるご心配とご迷惑おかけしておりますことを、深くお詫び申し上げます。
2022年3月18日に下記件名に該当する不審なメールを受信された方は、本文中にリンクや添付ファイルがあった場合、リンクをクリックしたり、添付ファイルを開封したりせず、メールごと削除していただくようお願いいたします。また、本件に該当すると想定される事案がございましたら、誠に恐れ入りますが当社までご連絡いただきますようお願い申し上げます。
詳細は以下のURL参照
https://www.softbanktech.co.jp/news/topics/info/2022/007/

引用元 SBテクノロジー株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

(第20条)安全管理措置 作業ルールの徹底(システム管理、社内限り公開の確認)

チェックリストにある要求ルール:

社内で使用するシステムが正常に作動しているか、毎日確認をし不審な動きがあればすぐに対応できる体制を整えていますか?
不審な動作に対し警告出る仕組みを導入していますか?
新しいパッチを適用したり、システムの改修を行ったときは、セキュリティー対策面からのテストと確認を実施していますか
システム改修後に再投入したデータに誤りが無いことを確認しましたか?
不要なデータが表示されることが無いか、全ページでテストを行いましたか?
ホームページの不正改ざんに備え、監視強化やセキュリティパッチの更新を実施していますか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?アプリケーションやホームページの公開を正しく設定していますか。社内のPCからは公開、一般非公開の区別なく情報が見えてしまいます。必ず社外のPCから確認してください。

■ 推奨対策

対策:

作業ファイルを社内共有するシステムとWeb等に外部公開するシステムがあると発生させてしまう事故である。
・設定を誤り社内ファイルを外部公開して個人情報を漏えいさせた。
・社内限りファイル名と公開ファイル名が似ており、誤って社内限りファイルを外部公開し個人情報を漏えいさせた。
・公開期日前に社外公開ファイルをアップロードしてしまった。(混乱を招いた)
考えるだけだとありがちなミスだととらえらるが、ありがちな事故をいかに防ぐかが個人情報保護に求められる漏えい防止策である。今後は注意します、というはなしではない。
ウェブサイトを構築した際、あらかじめ想定していた機能が動くかどうかテストを行うことは一般的であるが、このような予期しない不具合の有無を確かめるため、脆弱性の検査、あえてユースケースとは異なる使い方がされた場合を想定するミスユースケーステストなどを行い、品質を確認する必要がある。
さらに、もともと閲覧権限が与えられている社内にあるPCで確認を続けている限り、システム異常は見つけにくい。システムテストの工夫が必要である。。

具体例:

誰かに二重チェックを受ける、というのも有効な対策であるが、多忙な中で人の手を借りるのは気が引ける。それゆえセルフチェックが重要になる。セルフチェックとは自分自身のコミットである。自分のやった作業に対し自分がコミットする、という自覚をもってセルフチェックを実施していただきたい。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。