Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

米国 国土安全保障省も安全ではなかった。

2001年の同時多発テロ事件を受けて設立された、米国の国土安全保障省(United States Department of Homeland Security:DHS)が不正アクセスにより、元職員24.6万人の個人情報を漏えいしたとの1月3日のリリースが出ていました。 

www.dhs.gov

インシデントタイムライン

日時 出来事
2017年5月10日 犯罪捜査の過程で元DHS職員のデータが発見される
2017年5月~11月 プライバシー調査、フォレンジック調査等をDHSが実施
2017年12月 データ漏えい対象者に通知書を送付
2018年1月3日 事件を公表

 

公式発表

事件の状況 

2種の個人情報が漏えい

 ①元職員のデータ(DHS Employee Data)

  • DHSが2014年に雇用していた職員情報24万6167件
  • 流出した可能性のある個人情報

 ②調査データ(Investigative Data:)

  • DHSが2002年~2014年にかけて調査に関連した、調査対象者、証言者、苦情に関する様々なデータ
  • 流出した可能性のある個人情報
    • 名前、社会保障番号(SSN)、外国人登録番号、生年月日、メールアドレス、電話番号、住所、調査にて提供された個人情報

原因

  • 元DHS Ofiice of Inspector Genral(OIG)職員が、犯罪調査の過程で不正なケース管理システムのデータコピーを保有している事が発覚

再発防止策

  • アクセス権限管理
  • 異常なアクセスパターン検知
  • その他、DHS OIGネットワークへの更なる安全のための多くのセキュリティ対策を講じる

 

◆キタきつねの所感

少し不思議なのがデータを不正に保有していた元職員が誰であるか、公表されてないことです。想像でしかありませんが、現政権に影響を与える可能性がある高級官僚(又は政治家)であり、公表できない可能性があるのかも知れません。

 

情報漏えいの詳細情報がリリースの中に無いので、再発防止策から推測すると、

 ・アクセス管理が厳格でなかった(Need to knowでは無い)

 ・不必要な大量のデータの持ち出しを検知/防止する仕組みが無かった

という可能性が高そうです。

 

最終的な漏えいデータを保有していたのが元職員という事ですので、データベースへの正規のアクセス権は持っていて、(例えば退職前に)自分の管轄外のデータまで持ち出しを行った、という様なケースが考えられます。

いずれにせよ、テロリストの攻撃や自然災害などあらゆる脅威から国土の安全を守る(ために設立された)DHSも、内部犯行からは情報を守れなかったようです。

 

 

関連情報

japan.zdnet.com

 

「安心・安全」のマーク

 

更新履歴

  • 2018年1月6日 AM(予約投稿)