個人情報漏えいやインターネット犯罪、ウイルス情報等のニュースを掲載しています。テーマは“事故から学ぶ情報セキュリティ”。みなさんの組織の体制や、事件・事故が起こる可能性等を考慮しながらご覧ください。 過去のニュースを見る： 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 2016 2017 2018 2019 2020 2021 2022 2023 2024 　年度 前の20件 ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 2016年12月 日付 タイトル・内容 16日 情報取扱い セキュリティコード含むクレジットカード情報流出／hhstyle.com 【状況】 家具の通販サイト「hhstyle.com」が不正アクセスを受け、クレジットカード含む顧客情報が流出。 サイトを運営するエイチエイチスタイルによれば、10月23日から11月8日までの間に、クレジットカード決済を利用した顧客の個人情報（クレジットカードの名義や番号、有効期限、セキュリティコードのほか、カード会員の住所）のべ99件が流出した可能性があることが判明。 【対応】 11月8日に情報漏洩の疑いが判明したため、原因と見られる不正プログラムを削除。同サイトを停止して、外部事業者へ調査を依頼。 対象となる顧客にメールと電話で謝罪。またカード決済システムについては、カード情報が同社サーバを通過しない方式に変更したうえで再開。 15日 情報取扱い 中学校内で車上荒らし、成績情報が盗難／堺市 【概要】 大阪府堺市立中学校の教員が車上荒らしに遭い、生徒の成績情報を含む教務手帳や記録メディアが盗まれた。 【経緯・原因】 12月11日13時ごろ、校内に駐車していた教員の自家用車が車上荒らしに遭い、車内に置いていた鞄が盗まれた。鞄には、同教員が担当する生徒122人分の氏名と成績を含む教務手帳、および手帳の一部情報を記録したSDメモリカードが入っていた。 【対応】 盗難の判明後、校長に連絡するとともに警察へ被害を届けた。SDメモリカードを公務で使用することは禁止されていたが、教諭が私物を持ち込んでいたという。同市では臨時の校長会を開催し、個人情報の管理徹底を指導する。 14日 情報取扱い 通販サイトで顧客情報をキャッシュ、誤表示する不具合／フェリシモ 【概要】 フェリシモは、通販サイトにおいてアクセスの集中によりサーバ障害が発生し、一部顧客情報が誤って表示されたことを明らかにした。（復旧済） 11月30日11時前から23時過ぎまでの間に、通販サイトを利用した顧客54人の個人情報が、同じ時間帯に利用した関係ない他顧客のページに表示される不具合が生じ、顧客の氏名や住所、会員番号、購入した商品の情報などが誤って表示された。 【経緯・原因】 委託先のサーバで、負荷を軽減するため個人情報を含まないページのみキャッシュ化して表示する運用を行っていたが、障害により個人情報を含むページもキャッシュ化された。 【対応】 障害の原因を調査して、詳細が判明次第公表する予定。 対象となる顧客には、個別に連絡するとしている。 13日 情報取扱い 療養費データ12.7万人分のデータを紛失／大阪府国民健康保険団体連合会 【状況】 大阪府国民健康保険団体連合会が、後期高齢者医療9月分の療養費に関するデータが保存された光磁気ディスクを紛失。 ディスクには、9月分の「柔道整復施術療養費」と「はり・きゅう、あん摩・マッサージなど施術療養費」の支払い済み申請書データあわせて12万7804人分の保険者名、被保険者氏名、被保険者証番号のほか、施術者名や支給金額などが保存されていた。 12月1日に10月分のデータを同ディスクに上書きして作成しようとした際、紛失していることが判明した。すでに処理を終えており、請求の支払いに影響はないとしている。 【対応】 今回の問題を受け、同連合会では外部媒体によるデータの授受を廃止し、専用回線のネットワーク経由によるデータ授受に変更するなど、再発防止策を講じる。 13日 行政機関／公的機関からの情報 機密情報トラブル「あるある」の対策手引書公開／経産省 経済産業省は、企業において競争力を維持する上で喫緊の課題となっている機密情報の漏洩を未然に防ぐため、具体的な事例などを踏まえた対策例を紹介した手引書「秘密情報の保護ハンドブックのてびき」を公開。 機密情報にまつわる身近なトラブルと対策のポイントをわかりやすくまとめているほか、情報漏洩が発生した際に見られる兆候を紹介。 実際に発生した場合の対応方法や相談窓口なども紹介。 手引書は、同省のウェブサイトからPDF形式または電子ブック形式でダウンロード可能 13日 行政機関／公的機関からの情報 「個人データの漏えい等の事案が発生した場合等の対応について」／個人情報保護委員会 個人情報保護委員会は、個人データの漏洩や滅失、そのおそれが生じた際、事業者に求められる対応案を取りまとめ、2017年1月6日まで意見を募集（パブリックコメント） 「個人データの漏えい等の事案が発生した場合等の対応について」は、個人データに関する事件や事故、それらおそれが生じた際に事業者が講じるべき措置について定めたもの。 対象となるデータは、特定個人情報を除き、個人データのほか、匿名加工情報の作成に用いた個人情報から削除した記述や、個人識別符号、加工方法に関する情報なども含まれる。 漏洩などが発生したり、おそれが生じた場合には、事業者内部における報告、原因や事実関係の調査、影響範囲の特定、被害拡大の防止、対象者への連絡、再発防止策の実施や公表などについて、「対応することが望ましい」としている。 【個人データ漏洩、報告は「努力義務」で不要な場合も】 また同案では、同委員会への報告を「努力義務」にとどめており、報告先は、認定個人情報保護団体の対象事業者を除き、原則同委員会としている。 さらに「実質的に外部へ漏洩していない」と判断される場合、報告を不要とした。具体的な例として、「高度な暗号化による秘匿化」「第三者に閲覧されずに回収」「事業者以外で特定個人の識別が難しい場合」「滅失、毀損のため閲覧が合理的に予想されない場合」などを挙げている。 くわえて宛名や送信者名以外の個人データを含まない「ファックス、メールの誤送信」「誤配達」など軽微な事故についても除外するとした。 12日 その他 Bitcoin事業者向けサイバー保険提供／三井住友海上火災保険 三井住友海上火災保険は、「Bitcoin」を取り扱う事業者向けの損害保険の販売を開始した。 被保険者の業務で、Bitcoinなど仮想通貨による顧客資産の消失や盗難が生じ、損害賠償請求が行われた際に保険金を支払う。 不正アクセスをはじめとするサイバー攻撃のほか、設定ミスといった過失、従業員による内部犯行にも対応。海外からの賠償請求も補償対象としており、補償額は最低1000万円から最大10億円まで設定することが可能。 トランザクションの遅延についても、法律上の損害賠償責任が生じた場合は補償の対象となるほか、保管しているBitcoinがブロックチェーン上から消失し、被害を受けたユーザーを特定できない場合であっても、個々の被害者による賠償請求を確認せずに、登録ユーザーの共有財産が損害に遭ったとして保険金の支払い対象とする。 また損害賠償にくわえ、事故対応における見舞金やコンサルティング、原因調査、被害の拡大防止に必要となる費用についても、最大5000万円を限度にカバーする。 年間保険料は、被保険者の事業規模や設定する補償内容によって変化するたが、数十万円から高い場合で数百万円程度の予定。 09日 その他 パーソナルデータの利活用調査−「期待より不安」が過半数 【調査概要】 日立製作所と博報堂が2016年9月15日にビッグデータに関する意識調査を実施した。（全国20代から60代までの男女1030人） パーソナルデータの利活用について、「活用への期待」より「リスクに対する不安」の方が「大きい」と感じる人が過半数にのぼる結果となった。 パーソナルデータの利活用について、 「リスクに対する不安」は「活用への期待」より「大きい」との回答が前回調査から3.6ポイント増となる27.9％。「やや大きい」も24.1％が回答しており、合計すると52％になる。 2014年の48.8％から3.2ポイント上昇し、期待より不安を感じている人が半数を超えた。 性別で見ると、「不安が期待より大きい、やや大きい」の合計は男性が44.6％、女性が59.2％。 パーソナルデータの利活用に不安を覚える理由では、「利活用に対する拒否権がない」が59.3％でもっとも多く、「目的外利用（52.3％）」「説明不足、公表がわかりにくい（51％）」と続く。 また、企業がどのような対策を実施すれば不安が軽減するか聞いたところ、 「本人からの求めがあればいつでも利用を停止できる」 「利用終了後、データを適切に破棄する」 「利用するデータを限定する」 「利用目的を限定、明確化する」 「第三者に提供しないこと、または提供する場合は同意を取得する」 が7割を超えた。 09日 行政機関／公的機関からの情報 「CS経営ガイドライン」の解説書／IPA 情報処理推進機構（IPA）は、「サイバーセキュリティ経営ガイドライン」を普及するべく、同ガイドラインの解説資料を公開した。 今回同機構が補足資料として公開した「サイバーセキュリティ経営ガイドライン解説書」は、2015年12月に経済産業省が公開した「サイバーセキュリティ経営ガイドライン」の実施方法など具体的に取りまとめたもの。 同ガイドラインは、情報システムの専門部署を持ち、ITを活用する企業の経営者を対象としたもので、サイバー攻撃から企業を守るため、経営者が認識すべき「3原則」や、セキュリティを担当する幹部へ指示すべきポイントをまとめた「重要10項目」などが含まれる。 基本的な考え方を示したガイドラインに対し、今回の解説書では、ガイドラインの内容を実践するにあたり、対策の実施手順や検討のポイントなどを解説。実施時の具体的なイメージを捉えられるよう仮想企業を用いた事例のほか、近年発生したサイバー攻撃による被害の事例一覧などを用意している。 09日 情報取扱い 小学校で全児童の個人情報含むUSBメモリが所在不明／神奈川県 【状況】 神奈川県平塚市の小学校で、全児童の個人情報が保存されたUSBメモリが所在不明になっている。 図書室で利用するUSBメモリが、収納している箱にないことが12月5日に判明。内部には2016年度の全児童729人分の氏名とクラスが保存されていた。 【対応】 同USBメモリは、同校の図書室のパソコン以外では使用できないよう対策してある。 同校では今回の問題を受けて、児童や保護者に対し、事情を説明、謝罪を行っている。 07日 情報取扱い 不正アクセスでクレジットカード情報流出の可能性／自重堂 【状況】 作業着の通販サイト「自重堂オンラインショップ」が不正アクセスを受けていたことがわかった。顧客のクレジットカード情報が流出した可能性 ウェブアプリケーションの脆弱性を突く不正アクセスを受けたもので、2014年5月1日から2016年3月31日までに、同サイトにおいてクレジットカード決済を利用した顧客のクレジットカード情報などが流出した可能性がある 【経緯】 4月1日に、クレジットカード会社から決済代行会社を通じて情報漏洩の可能性について指摘を受け、問題が発覚。同社ではサイトを一時停止して、調査会社に調査を依頼 5月に調査結果について報告を受けていた 【対応】 対象となる顧客に報告と謝罪のメールを送信 利用者に対して不審な取り引きが行われていないか注意喚起 06日 情報取扱い 中学校で誤って作製した成績資料を紛失／宇治市 【状況】 京都府宇治市の市立中学校で、誤って作製した生徒の成績評価が記載された書類を、教諭が紛失した。 12月1日夜に教諭が誤って作成したB4サイズ2枚の成績資料を手で8枚に破ってポケットに入れたが、その後紛失した。 翌2日朝に別の職員が校庭の防球ネットに引っかかっている一部を発見。7枚を回収したが残り1枚が見つかっていない。 【対応】 紛失した資料には、3年生50人分の氏名と社会科の成績が記載されており、対象生徒の家庭訪問を行い謝罪。また、保護者を対象とした説明会を開催する。 05日 ネット犯罪 Androidアナライザー（スマホ監視アプリ）で盗聴 【概要】 問題とされる「Androidアナライザー」は、スマートフォン端末内の個人情報やGPS情報などを外部のパソコンから収集できる遠隔操作ソフトAndroid向けマルウェアツールキット「AndroRAT」をもとに開発 「盗難、紛失対策アプリ」などと説明、販売していたが、端末にアプリの「ユーザー補助機能」にある「画面読み上げ機能」を悪用し、端末利用者に権限許可を求めることなく、サンドボックスを回避して画面情報を取得、SMS、LINEのメッセージを取得したり、通話を盗聴する機能などを備えていた 【経緯・結果】 神奈川県警や京都府警など5府県警からなる合同捜査本部は、スマートフォンの遠隔操作ソフト「Androidアナライザー」を開発したインターナルの関係者4人を不正指令電磁的記録作成罪で逮捕。また逮捕されたなかの3人は、オンラインゲーム「パズル＆ドラゴンズ（パズドラ）」のチートツールを製作、販売したとして、11月10日に組織犯罪処罰法違反容疑で神奈川県警によりすでに逮捕されていた 05日 情報取扱い 委託先が求人情報メールを誤送信／埼玉県 【状況】 埼玉県が委託先からのメール誤送信でメールアドレスが流出したことを公表 2016年11月29日埼玉県女性キャリアセンターの運営を委託している日本マンパワーからメールの誤送信が発生 同センターの利用者69人に求人情報メールを送った際、誤って受信者間で氏名とメールアドレスが閲覧できる状態となった 【対応】 委託先では同日中に電話とメールで謝罪 誤送信したメールの削除を依頼 02日 情報取扱い クレジットカード情報5.6万件含む個人情報42万件が流出／イプサ 【状況】 資生堂子会社のイプサ（化粧品の開発、販売）のウェブサーバが不正アクセスを受け、のオンラインショップへ登録している顧客の個人情報42万1313件およびクレジットカード情報5万6121件が外部へ流出 流出情報には、顧客の氏名や住所、配送先住所、電話番号、性別、生年月日、職業、メールアドレス、ログインパスワード、購入履歴など。また2011年12月14日から2016年11月4日にかけてクレジットカード決裁を利用した顧客については、クレジットカードの会員名、番号、住所、有効期限についても流出した可能性 2016年11月にクレジットカード決済代行事業者から情報漏洩の可能性について指摘があり、問題が発覚 【対応】 顧客に対しての事情説明・謝罪メールを送信。 流出したログインパスワードが、パスワードリスト攻撃などへ悪用される可能性もあるとして、パスワードの使い回しなどについても注意を呼びかけ 再発防止に向けて、1月末を目処に調査を進め、調査結果を公表 【行政の対応】 経済産業省は、個人情報保護法に基づき報告を求め、詳細な事実関係のほか、不正アクセス発覚前に講じてきた安全管理措置、発覚以降の対応、現在の安全管理の状況、今後の再発防止策について報告するよう同社へ要請。12月16日までに書面で提出するよう求めている 01日 ウイルス情報 Android端末からGoogleアカウント奪うマルウェア「Gooligan」被害 【状況】 Android端末へ不正アプリ「Gooligan」を感染させ、Googleアカウントが100万件以上奪取される被害が発生。 脆弱性が存在する「Jelly Bean」「KitKat」「Lollipop」を搭載したAndroid端末を標的としており、悪意あるテキストメッセージの不正なリンクなどを通じて、端末利用者がアプリをインストールしまうことにより感染が広がっている。 現在も1日あたり1万3000台以上が感染しており、100万件以上のGoogleアカウントが侵害を受け、感染端末の約57％はアジアに集中している。 【対策】 Googleアカウントが侵害されているかチェックできる「Gooligan Checker」が公開されており、感染していた場合は、OSのクリーンインストールが必要になる。 2016年11月 日付 タイトル・内容 11日 情報取扱い 個人情報含む経理関係書類、紛失／横浜市 11日 情報取扱い 「就職先企業アンケート」誤廃棄／岩手県立大学 11日 情報取扱い 個人情報記載した調査関係書類を一時紛失／大阪府 10日 情報取扱い 水道局の委託先で車両盗難、個人情報等が被害に／川口市 前の20件 ／ 1 2 3 4 5 6 7 8 9 10 ／ 次の20件 ※ セキュリティニュースは、ソリューションパックおよびサポートパックでもご提供しています。 ※ ウイルス情報についての記事は、影響力等が中程度以上のものを掲載しています。詳細は各サイトにてご確認ください。 Page Top Copyright (C) 2002-2022 CDNS Corporation. All Rights Reserved.