概要

2005年5月　米国のクレジットカード処理会社のサーバから、カード情報漏洩が発覚。

• カード取扱店からの情報を決済会社に送る処理の途中で、4000万件の情報を暗号化せずにサーバに蓄積。
• サーバに、蓄積されたカード情報の一部を外部に転送する不正プログラムが仕掛けられた。
• 盗まれたカード情報を使ってカード決済する詐欺行為が、ビサ、マスターカードなどで多数発覚。
• 米国旅行や米国のネットショッピングでカード決済した日本人にも被害者がでた。(740件、約1億1000万円)
• この事件に便乗したフィッシングメールが出回った。

原因

• 契約違反のデータ蓄積
  　→　コンプライアンス意識不足
• 機密情報の非暗号化蓄積
  　→　セキュリティノウハウ不足
• ファイアウォールの適用やウイルス定義の更新に不備
  　→　内部統制不備
• 長期間不検知
  　→　検知システムの不備

対策

概要

2005年5月　Webサーバに侵入され、Webページを閲覧した人のPCにウイルスが感染。

• 複数のWebページの改ざんを検知。
• ページを閲覧するとウイルスに感染することが判明。
• サイト運用を継続しながら改ざんページを修復するが、更に改ざんが続く。
• 4日目にサイト閉鎖。(10日間)
• メールアドレス情報が参照された形跡発見。(22,511件)
• プレス発表内容に対して情報開示不足との報道。

原因

• 脆弱なアプリケーション
  　→　脆弱性検査不足
• 目に見えない改ざん
  　→　人手による改ざん検知
• 原因が特定できない場合の応急処置の判断ミス
  　→　インシデント対応不慣れ
• 侵入方法開示に関する判断ミス
  　→　セキュリティ知識不足

対策

概要

2005年6月　原子力発電所関連資料がファイル交換ソフトWinnyで流出。

• 保守請負企業の職員が原子力発電所の保守関係資料を保存してあるハードディスクを自宅のパソコンに接続。
• 当該パソコンで、ファイル交換ソフトWinnyを運用。
• 当該パソコンがウイルスに感染。
• 原子力発電所の保守関係の資料がWinnyでばら撒かれた。

原因

• 機密情報の持出し
  　→　仕事の持ち帰り、ルール不徹底
• 個人パソコンの利用
  　→　必要な設備を与えない
• Winny利用
  　→　脅威の認識不足「対岸の火事」意識
• ウイルス感染
  　→　ウイルス対策ソフト未使用または運用ミス

対策

概要

2005年4月　顧客情報128万件を記録したCD-ROMを紛失。

• 客情報128万件を記録したCD-ROMを組織内で移送。
• CD-ROM３枚が行方不明。誤って廃棄した可能性が高い。
• 情報はパスワード保護されており、情報流出の可能性は低い。
• 個人情報に係る安全管理措置等に重大な問題があるとして、金融庁が個人情報保護法に係る初の勧告。
• 会長を含め、経営陣が総退陣。

原因

• 行内規定違反
  　→　行員のモラル不足
• チェック機能が働かず
  　→　ルールと態勢の不備
• 改善活動が回らず
  　→　経営層のコンプライアンス意識が低い

対策

管理するネットワーク網に不正な侵入あり、顧客情報の一部が改ざんされた。

• 顧客のID、パスワード、メールアドレスなど、 約550件が改ざん。
• 6月にも、IDやパスワードなど502件が改ざん。Webサイトを一時閉鎖。
• 技術担当役員、情報セキュリティー責任者、システム運用部長を譴責処分。セキュリティの強化。

不正アクセスを受け、Webページを改ざんされた。

• ユーザーがWebサイトにアクセスすると、ウイルスに感染。
• 入力したアカウントとパスワードが盗用される恐れ。