群馬銀行は11月9日、マイナンバーの告知の返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断した事を発表しました。紙媒体の個人情報漏えい（の可能性がある）事件は、普段はあまり調査をすることはないのですが、リリースを見ると気がかりな点があったので、コメントしてみます。

◆マイナンバー書類の誤裁断について｜2017年度｜ニュースリリース｜群馬銀行

リリース概要

業務の外部委託先におきまして、郵送していただいた返信用封筒440通ならびに封入物をシュレッダーにより誤って裁断するという事案が発生いたしました

調査の結果、シュレッダー裁断した裁断片は全て確保しており、お客さまの情報が外部に流出していないことを確認しております

１つがリリースが2017年11月9日で、発生が10月13日ですので、1ヶ月弱の空白期間があります。この間に銀行側（委託業者）が何をしていたのか、何も公表されてないことです。クレジットカード情報漏えい事件であれば、フォレンジック調査やシステム改修などもあるので一定時間が経過する事はよくありますが、今回は誤裁断ですので、もっと早くに判明しているはずでは？と疑問に思うわけです。銀行側や委託先が隠していた・・・とは思いませんが、事件を握りつぶそうとしていた、あるいは（こちらの方が問題だと思いますが）断裁事件が発生した事を1ヶ月近く気づかなかった、という事まで考えられます。

仮に調査に時間がかかっていたとすれば、監視カメラ下になかったので、ヒアリングベースで事件を調べていて時間がかかった？等々・・・1ヶ月弱の間に何をしていたのか、やはり気になってしまいます。

それと、外部委託先管理問題ですが・・・

発生時期　平成29年10月13日(金)　午後2時頃

発生理由　当行システムへマイナンバーを登録後にシュレッダー裁断すべきところ、誤って登録前に裁断してしまったものです。 

これはミスが起こりえる運用手順であったとしか思えません。普通は間違えが起こりえないように、場所をわけたり、作業工程表で管理したりする・・・気がするのですが。外部委託先の運用を、それで正しいとした銀行側の管理責任もあったのかなと想像します。

オーストラリアの政府と２つの銀行の個人情報が5万件漏えいした可能性との記事（11/3）。記事を見ると、Amazonのクラウドサーバに保存していたバックアップデータの設定ミスで、インターネットからアクセスできたかも知れないという内容でした。サードパーティの設定ミスという事ではありますが、便利なアマゾンのCloudサービスを使う場合には注意して設定する、あるいはテストする事が要件定義に入ってきそうです。

Bank Info Security 

www.bankinfosecurity.com

似たような記事に記憶があったな・・と思って調べてみましたが、このケースとよく似ていますね。

ITmedia エンタープライズ　

www.itmedia.co.jp

企業側が管理するWebサイトであれば、脆弱性診断などで個人情報までたどり着けるかテストができますが、サードパーティに依頼してCloudでバックアップなど重要情報を保存する場合はあまり想定されてない（サードパーティ任せ）かと思います。事故が数件出ていることから考えると、設定テスト実施（要求）が一般化する可能性が高いかも知れません。

2017年11月7日、香港の大手旅行会社、縦横遊（WWPKG）の顧客データベースが不正アクセスを受けたことを発表しました。ここでは関連情報をまとめます。

　※香港の旅行会社初のサイバー被害
　※同社は日本向けの旅行パッケージを多く手がけている

インシデントタイムライン

◆キタきつねの所感

旅行代理店へのサイバー攻撃は香港でも初めてのケースの用ですが、日本でもJTBの大規模漏えい事件位しか記憶にありません。JTB事件と違うのは、不正侵入後にランサムウェアによる攻撃で身代金要求を受けているところですが、縦横遊は身代金を”払わない”事を決めたようです。これはバックアップファイルを取っていたからシステム復旧が可能であるとの判断が大きいかと思いますが、身代金を払ってもシステム復旧できるかわからないとCEOらが判断した様です。侵入経路が『普通ではない方法』という所が非常に気になりますが、特権ユーザの権限が狙われたのは間違いないかと思います。特権ユーザの重要なシステムへのアクセスへは多要素認証を入れることが、現時点での（こうした事件への）対策案としては有効だと思います。

関連ニュース記事

• World News　
  worldnews.easybranches.com
• rthk.hk　

  news.rthk.hk

• NNA ASIA　

  www.nna.jp

• South China Morning Post　

  www.scmp.com

更新履歴

• 2017年11月10日 AM　新規作成

2017年11月7日、ゴルフ用品のECサイト（タカゴルフホームページ）のWEBサーバへの第三者による不正アクセスにより、クレジットカード情報を含む個人情報2,339件が漏えいした事を発表しました。この関連情報をまとめてみます。

インシデントタイムライン

◆キタきつねの所感

この事件は、情報セキュリティというものに対して、個社が真剣に取り組んで無い場合にこうしたリスクがあるという典型例な気がします。私の専門でもあります、PCI DSSの視点ですと、「セキュリティコード」が流出情報の中に入っているだけで、Webサイトの構築が根本的に間違っていたと推測します。（※PCI DSSではセキュリティコードの保存を認めてません）

また、2010年から社内にクレジット情報を貯めていた・・・問題ですね。経産省やJCAもこうした実装ミスが増えてきているので実行計画でPCI DSS準拠もしくは非保持に向けて取り組みを進める様に促している訳ですが、何もしてなかったのではないかな・・・と想像します。

最後にひっかかりましたのが、再発防止策です。立派な事が書いてあります。ですが、不正アクセスの脆弱性を技術的対策で直す以外で、再発防止策にかかれている規定整備・教育等々・・ここに書かれるということは、『やってなかった』という事に他ならないのではないでしょうか。

※最終報告書出た後ですので、おそらく発表されないでしょうが、”不正アクセス”なるものが、何の脆弱性を突かれたものなのか・・気になる事件です。

関連ニュース記事

• ネットショップ担当者フォーラム　

  netshop.impress.co.jp

更新履歴

• 2017年11月8日 PM　新規作成