HOME コラム一覧 知って得するセキュリティのはなし その123

知って得するセキュリティのはなし その123

post_visual

個人情報等の不正持ち出し事案相次いで報告…フィッシングによる流出も

1.このニュースをザックリ言うと

- 8月4日(日本時間)、岡山大学病院より、同院患者のべ269人分の個人情報がフィッシング詐欺によって流出したと発表されました。
- 個人情報は、同院医師によって(大学の規定に反して)持ち出され、個人利用のクラウドサーバーに保存されていましたが、医師がフィッシング詐欺によってアカウント情報を奪取され、個人情報が攻撃者から閲覧可能な状態になったとのことです(発表時点で情報の悪用および病院内システムへの不正アクセスは確認されていないとのことです)。
- 8月5日には、村田製作所より、会計システムの更新業務を日本IBMから再委託されていたIBM中国法人の社員が、業務用パソコンにダウンロードした個人情報等72,460件を個人利用のクラウドサービスに保存していたことが発表されています。
- 持ち出されていた情報は取引先情報30,555件(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)および従業員の関連情報41,905件(従業員番号・会社名・氏名・メールアドレス・銀行口座)を含むプロジェクト管理データで、後日クラウド上のデータは削除され、こちらは第三者からの不正アクセスは確認されていないとのことです。

2.執筆者からの所感等

- 前者の事案は、別の大学病院でも「個人利用のクラウドにデータを同期」「フィッシング詐欺による流出」と似通ったケースで発生しており(AUS便り 2021/05/17号参照)、また今回もデータの匿名化を行っていなかったとみられ、それが被害の深刻化につながっている一面もあると推察されます。
- 後者の事案では、村田製作所は前述の通り「第三者がコピー・ダウンロードした事実のないことが確認されたと報告を受け」たものの、データ対象範囲の広さと、取引先情報および個人情報が含まれていることから、発表に至ったとしています。
- また、再委託先において社内監視システムのセキュリティアラートが検知されたことから発覚したことが明らかになっており、クラウド上にデータのアップロードを行った際にアラートが発動したとみられますが、このような外部へ機密データを持ち出そうとする動きを検知さらには遮断するソリューションの採用は、内部関係者のみならず、PCに感染したマルウェアの行動を阻止、もしくはそれが叶わなかったとしても流出の可能性を早期に把握する一助となり、社員への教育・啓発との両輪で実施することを念頭に置くべきでしょう。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンサービスドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、の運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

この記事のカテゴリ

この記事のシリーズ

知って得するセキュリティのはなし

記事の一覧を見る

関連リンク

知って得するセキュリティのはなし その122

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら


コラム
/column/2021/img/thumbnail/img_36_s.jpg
- 8月4日(日本時間)、岡山大学病院より、同院患者のべ269人分の個人情報がフィッシング詐欺によって流出したと発表されました。- 個人情報は、同院医師によって(大学の規定に反して)持ち出され、個人利用のクラウドサーバーに保存されていましたが、医師がフィッシング詐欺によってアカウント情報を奪取され、個人情報が攻撃者から閲覧可能な状態になったとのことです(発表時点で情報の悪用および病院内システムへの不正アクセスは確認されていないとのことです)。- 8月5日には、村田製作所より、会計システムの更新業務を日本IBMから再委託されていたIBM中国法人の社員が、業務用パソコンにダウンロードした個人情報等72,460件を個人利用のクラウドサービスに保存していたことが発表されています。- 持ち出されていた情報は取引先情報30,555件(会社名・住所・氏名・電話番号・メールアドレス・銀行口座)および従業員の関連情報41,905件(従業員番号・会社名・氏名・メールアドレス・銀行口座)を含むプロジェクト管理データで、後日クラウド上のデータは削除され、こちらは第三者からの不正アクセスは確認されていないとのことです。
2021.08.18 16:19:17