尼崎のUSB紛失事件から私たちが学べることとは?覚えておきたい再発を防止するために重要な3つの要素

Share!

2022年上半期、データセキュリティ関連で大きな話題をさらったニュースといえば、「兵庫県尼崎市のUSB紛失事件」でしょう。全市民の氏名、住所、生年月日や生活保護受給世帯の口座情報が泥酔による荷物紛失という理由で危機にさらされたこと、その後の会見でパスワードの桁数が明かされたことなど、「呆れた」「ヒヤリとした」という感想を抱いた方は多かったのではないでしょうか。

我々にできるのは、この事件を他山の石とすることです。

事件のあらましや問題点、こうしたインシデント発生を防ぐために何をすべきなのかについて見ていきましょう!

振り返るUSB紛失の背景とその原因(6/21-6/22)


2022年6月21日(火)~6月24日(木)の4日間が、USBが失われ、発見に至るまでにかかった期間です。

一日ごとに主な出来事を押さえ、どのような問題があったのか振り返ってみましょう。

まずはUSBが持ち出され、紛失が報告された6月21日(火)、6月22日(水)の2日間です。なお、下記の時刻は見やすさを優先して切り捨てていますが、すべて「~ごろ」と末尾につくとお考え下さい。

6月21日(火)

18:00より尼崎市が住民税非課税世帯等に対する臨時給付金支給事務を‟再々委託”された企業の40代男性社員Aさんが、委託先企業のコールセンターに尼崎市民の個人情報が格納されたパスワードつきUSBメモリを持ち込み、委託先の社員2名、協力会社の社員1名とともにデータを移管します。作業完了後、19:30~22:30まで、4名は大阪府吹田市内の居酒屋で飲食を行いAさんは泥酔、そのまま路上で寝込んでしまい、USBメモリ入りのかばんを紛失してしまいました。

この日だけで、情報セキュリティの教科書で例題に使えそうな問題点がいくつも見られます。

①多重下請け構造によるガバナンスの欠如
②機密情報持ち出しの管理不足(尼崎市は再々委託やデータ運搬の具体的手法について知らなかったと証言)
③機密情報取り扱いルールの不備・手段の間違い(セキュリティ便などが用いられず、作業後データを消去するなどルールも設けられていなかった)
④社員のセキュリティ意識の欠如(USBによるデータ運搬のリスクに対処しておらず、作業後は泥酔)
⑤データ受け渡し用の安全なネットワークの未整備

男性社員、委託先企業、協力会社、尼崎市のそれぞれに落ち度があり、今回のインシデントが起こるべくして起こったことがわかります。

6月22日(水)

3:00、男性はかばん(USB)の紛失に気づいたものの、いったん帰宅。9:00、委託先企業に休みの連絡を入れて1人で現地を捜索します。しかし、見つからず警察署に遺失物届を提出。14:00ごろ、かばんを紛失した旨を報告しました。そこから状況確認が行われ、尼崎市に紛失の報告がなされたのは15:45ごろ
その日は件数調査と尼崎市行政法務部によるヒアリング、かばんの捜索にあてられます。

ここで気になるのはかばんの紛失が発覚してから委託先に報告されるまでのタイムラグです。かばんの紛失に気付いた男性社員Aさんは約20年業務に携わってきたとのことですが、さぞかしパニックに陥ったことでしょう。ここでなるべく早く報告がなされるためには、ルールの周知と心理的安全性の確保が求められます。

なぜパスワードのヒントが明かされてしまったのか?(6/23-6/24)


USB紛失事件がここまで衆目を集めることとなった原因は、その後の記者会見にもありました。
──そう、市職員による「パスワードのヒント流出発言」です。
同発言があった6月23日(水)から、USBが見つかった6月24日(木)、そしてその後の対応までを掘り下げましょう。

6月23日(水)

紛失翌々日の6月23日(木)11:00、尼崎市による記者会見が開かれました。12:00からは委託先企業も同席し、13:30からは尼崎市長による定例会見、質疑応答がなされました。問題の「パスワードのヒント流出発言」があったのは市職員による記者からの質疑応答時。「英数文字も含めた13文字のパスワードが設定されている」と発言がなされました。

同発言はすぐさま拡散され、Twitter等SNSでは“パスワードを特定”しようとする一般ユーザーの動きなども見られました。もちろん、総当たり攻撃(ブルートフォースアタック)の手がかりともなりかねない発言でした。

市職員は、「パスワードのヒント流出発言」に続けて「自分は(ITについて)詳しくないがかなり解読は難しいと思う」と述べています。ITに詳しくないと自覚のある人物を矢面に立たせること自体がうかつなことでした。インシデント発生時を見越して情報開示も含めたルールづくりを事前にしておくことが求められるでしょう。

6月24日(木)

盗難届を提出したうえで、警察署員と同行して朝から紛失付近の捜索が行われます。一緒に紛失したスマートフォンの位置情報を携帯会社に照会した結果、正午前に居酒屋から少し離れたマンションの敷地内でUSBの入ったかばんが発見されました。委託先の調べによると、パスワードの変更や暗証番号の解除が行われた形跡はなかったということです。

その後は委託先、尼崎市のそれぞれが第三者委員会の設置を行い、事態の調査や再発防止策の審議につとめました。同騒動を受けて宮城県名取市にて「外部に個人情報データを持ち出す際のGPS付きケース使用」が発表されるなど、他自治体にも波紋は広がっています。

セキュリティインシデント防止で重要な3要素

ここまで、詳細に時系列をおいつつ、USB紛失事件とその後のパスワードのヒント流出の背景にある問題点をあぶりだしてまいりました。

数多くの問題点を指摘してきましたが、まとめると、同様の事態を防ぐためには以下の3要素が必要という話に尽きるでしょう。

1.セキュリティルール・ガイドラインやツール・環境の整備
2.ステークホルダー全てを対象としたセキュリティ・ガバナンスの徹底
3.最低限の情報セキュリティリテラシーとモラルに関する従業員教育

今回の事件をきっかけに「わが社のITセキュリティ状況を見直そう」と気を引き締めた企業、実際に調査・対策に乗り出した企業も多かったのではないかと思います。
しかし、人は喉元過ぎれば熱さを忘れるもの。

タレスDISジャパンが2022年7月5日に発表した調査結果によると、近年増加しているランサムウェア(※)への対応計画があり、それに従うまたは従う予定があると回答した企業は過半数に達していません(47%)

リモートワークの普及もあり、ITセキュリティリスクが高まる中で、恒常的な対策に本腰を入れて取り組むことが求められます。

※……不正に操作したファイルの復元や悪用をちらつかせ、ランサム(Ransom:身代金)を要求するサイバー攻撃の一種。

終わりに


2022年前半のITセキュリティに関する印象的な事件を題材として取り上げ、どのような問題があったのか、これを他山の石としていかに対策に取り組むべきかについて考えてまいりました。

本文中で述べた通り、USBを紛失した男性社員は決して新人ではありません。誰にでも同じ事態が起こりえると考え、オフラインに対しても「ゼロトラスト」の姿勢でセキュリティ対策やガバナンスを徹底しましょう!

【参考資料】
・個人情報を含むUSBメモリーの紛失事案について┃尼崎市
・尼崎市「46万人個人情報USB紛失」見落としがちな問題と教訓にすべきネットリテラシー┃日刊ゲンダイDidital
・USB紛失事件 尼崎市「再委託を知らなかった」はウソ 業者側から反論証言┃週刊文春オンライン
・ランサムウェアの身代金を支払う日本企業は22%─タレス調査┃IT Leaders
・【ノーカット版】USB紛失発見 委託業者と尼崎市長が会見 尼崎市┃読売テレビニュース
・住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失について┃BIPROGY 株式会社
・【尼崎USB紛失】市の全住民「個人情報」酒飲んで紛失 会見でパスワード“桁数”も…┃日テレNEWS
・兵庫・尼崎 紛失USB発見、情報流出の有無調査へ┃日本經濟新聞
・自治体が個人情報データの持ち出しにGPS付きケース導入、ネットでは評価が分かれる┃マイナビニュース
・2022 年タレス データ脅威レポート - インフォグラフィック┃THALES

宮田文机

関連記事

人気のカテゴリ