日付 |
タイトル・内容 |
02日 |
|
|
|
【状況】
4月28日「My ウォーターワン」に登録の600件の顧客を対象に、イベント案内のメール配信の際、BCCにすべきところをTOで誤配信し、アドレス(600件)が他の人に開示された
【対応】
同日該当顧客にお詫びのメールを発信、翌日謝罪電話
5月1日:経済産業省へ個人情報漏洩について第一報を報告
【再発防止策】
・組織的・人的・物理的安全管理措置(計画)として
1)全社員に対し、本事故を開示し、データ・文書の取扱いについて厳重に注意
2)複数の個人情報の同時利用に際しての取扱いマニュアルを作成
3)物理的安全措置(同報配信メールソフト)の導入、メール配信設定時に複数名の社員による設定のチェック
|
|
|
|
|
|
02日 |
|
|
|
【状況】
NICTユニバーサルコミュニケーション研究所は、Apache Struts2の脆弱性の公表を踏まえて、3月13日(月)以降、音声対話研究用のソフトウェア開発キットを外部提供用サーバの運用を停止していたが、内部調査の結果、外部から早い段階に不正にアクセスを受けていたことが5月1日に判明
サーバには、利用者のID、メールアドレス、暗号化されたパスワードの情報が含まれていた
現段階では本件によるものと考えられる悪用の事象の報告はない
【対応】
引き続き状況の調査を進めるとともに、再発の防止に取り組む
|
|
|
|
|
|
01日 |
|
|
|
再発防止委員会が「不正アクセスによる情報流出に関する調査報告書」を取りまとめ公開
現時点では不正に取得されたクレジットカード情報の不正利用は確認されていない
【再発防止委員会の調査報告書の概要】
1)事故の概要
平成29年3月8日から9日にかけ、運営受託していた都税支払サイト及び保険特約料支払いサイトにおいて、アプリケーション・フレームワークであるApache Struts2の脆弱性(リモートから任意のコマンドを実行可能である脆弱性(S2-045))を利用してサーバ内部にバックドアプログラムを設置され、バックドアプログラム経由で暗号化された会員カードデータ等と個人情報を攻撃者により不正に取得された
2)再発防止策再発防止委員会は、短期及び中長期の技術的な防止策と、情報セキュリティマネジメントに関する防止策を実施することを決定
3)再発防止策の実施
再発防止委員会で決定した再発防止策に基づき、平成29年4月14日までに、以下防止策を実施
・技術的な防止策における短期的対策
・セキュリティインシデント対応
・システム開発に関する短期的対策
さらに、都税支払サイトの再開のために、同サイト及び保険特約料支払いサイトを対象として、再発防止の観点からPCIDSSアセスメントを実施し、14日時点でPCIDSS要件を満たしたことを確認 |
|
|
|
|
|
01日 |
|
|
|
情報処理推進機構(IPA)は、中小企業が自らセキュリティへの取り組みを宣言(自己宣言)する制度「SECURITY ACTION」のロゴマーク使用に関する申し込みについて、受け付けを開始
「中小企業の情報セキュリティ対策ガイドライン」に沿ったセキュリティ対策に取り組み、セキュリティポリシーを外部公開したことを宣言した企業は、「セキュリティ対策自己宣言」のロゴマークをウェブサイトや名刺に掲載し、セキュリティ対策への取り組みについてアピールできる
・中小企業の情報セキュリティ対策ガイドラインに基づき、ガイドライン付録の「情報セキュリティ5か条」「5分でできる!情報セキュリティ自社診断」をベースラインし、組織の情報セキュリティ対策を実施する
・内容は、ISMS / ISO 27001の要求事項を簡易にし、中小事業者でも取り組みやすくしたもので、自己宣言制度(審査費用が不要)であることからリソースを低減できるメリットがある
・内容を正しく理解し、構築・運用しすることで、有効な対策とできるかが課題
・何をどこまですればよいのか?悩んでいる企業にとって、情報セキュリティ対策の入り口として有効
・自主構築し、自己宣言するためには、専門家の支援も必要か |
|
|
|
|
|