黒色ワナビーの住処

フリーゲーム・ブラウザゲームをやりながら筋トレで体を鍛えるブログ

また個人情報漏洩? 東京商工会議所でもウィルスメール!

   

年金機構、りそな銀行と個人情報の流出が続きますが、東京商工会議所(以下、東商)でも個人情報漏洩があったようです。

 

東京商工会議所での情報流出概要

流出した恐れがあるのは、東商主催のセミナーの参加名簿など約1万2千人分の個人情報。東商側発表によると流出した恐れのある方に対しては、既に連絡済とのこと。

流出の原因としては、職員がウィルス添付されたメールを開封したためとされています。

なお、今回の事件に関しては5月11日時点で外部機関から東商所有端末に問題がある可能性の指摘を受けており、5月22日の時点では、マルウェア感染の事実が判明していたようです。

5月22日の発覚から本日6月10日の発表までに間が空いていることに対し批判の声も上がっていますが、東商側はこれに対し「警視庁などに被害相談を行っており報告が遅れた」と回答しています。

 

スポンサーリンク

 

情報流出を防ぐ体制に不備は無かったか?

以前、りそな銀行の情報流出事件について書いたときに、「悪意ある人間が本気で情報を持ち出そうとしたら防ぐのは難しい」という旨のコメントを書きました。

しかし、年金機構や今回の東商の情報流出について、ウィルス添付されたメールを開封してしまったことによる情報流出という極めて初歩的な標的型攻撃であり、防げなければいけないものだったと思います。

見覚えの無い実行ファイルが添付されているメールは開かないなんて、ちょっとPCを扱ったことのある人間ならば常識です。この程度のことも理解していないような人が、個人情報が沢山入った端末を操作しているという事実に軽い恐怖を覚えます。

 

また、情報流出後の対応についても疑問を感じます。

年金機構の漏洩事件の際には、5月中ごろにはマルウェア感染の恐れが発覚しており、また5月末には関係者のものと思われる書き込みが2ちゃんねるに行われるなど、公式発表よりもかなり早い段階で、内部の人間は事実関係を把握していたと思われる情報が多々あります。

今回の東商の情報流出についても、発覚から発表までに間が空きすぎだと思います。

 

これはあくまで予測ですが、どちらの場合においても、情報漏洩後の対応についての事前準備が不十分だったのではないでしょうか?

多分、形式だけの対応マニュアルを作成して、はいおしまい。漏洩時のリハーサルなんて一切やって無かったのでしょう。

 

この辺りの予防と対応については、情報セキュリティの専門企業LACが事件の教訓として分かりやすくまとめてくれています。

業務で機密情報に関わる方(社会人ほぼ全員だと思います)は、一度目を通されることをオススメします。

 

「日本年金機構の情報漏えい事件から得られる教訓」公開のお知らせ

 - 時事ネタ ,