フォト
無料ブログはココログ

Amazon

  • おすすめ

Ads by Google


« トランスフォーマー!のブログパーツ | トップページ | iTrailでサイクリング記録 »

2009/06/27

情報流出

最近では新しいプロジェクトに配属されると、必ずといっていいほど、
セキュリティ対策の研修みたいなの(規則を読んだりとか)を受講するようになってきた。

そうまでして企業は情報流出事故を防ごうと努力しているが、
悪意ある人間のせいで、あっという間に情報が流出してしまった。
すごく悲しいし、同じ立場(お客様の機密情報を取り扱う)として憤りを感じる。

東京新聞:元部長代理を逮捕 三菱UFJ証情報流出 不正アクセス容疑:社会(TOKYO Web)

三菱UFJ証券の顧客情報流出で元部長代理を逮捕 : 社会 : YOMIURI ONLINE(読売新聞)

三菱UFJ証券の元部長代理逮捕  不正アクセス容疑で警視庁

以下、東京新聞より

三菱UFJ証券(東京都千代田区)から大量の顧客情報が持ち出され名簿業者に転売された問題で、警視庁ハイテク犯罪対策総合センターと丸の内署は二十五日、不正アクセス禁止法違反と窃盗の疑いで、同社システム部の元部長代理久保英明容疑者(44)=千葉市緑区おゆみ野南六、懲戒解雇=を逮捕した。 

 逮捕容疑は今年一月二十六日、失効したはずの子会社の女性社員の個人識別番号(ID)などを使って顧客データベースに不正にアクセス。二月四日、約百四十八万六千六百人の顧客情報を焼き付けたCD一枚を会社から盗んだとされる。容疑を認めているという。

 女性社員は当時、アクセス権限のない部署に異動していたが、IDは消されずに残されていた。全社員のIDを知る立場にあった久保容疑者が犯行がばれないよう失効手続きがされていない女性のIDとパスワードを使った可能性があると同センターはみている。

 同社によると、久保容疑者は盗み出した情報を自宅のパソコンに保存。二月中旬、昨年秋以降に口座を開設した約四万九千人分の住所や勤務先、年収などの個人情報を名簿業者三社に三十二万八千円で売却していた。名簿はその後転売され、九十六社に流れたことが確認された。

 三月以降、不動産や先物取引会社から勧誘の電話が入るようになった顧客からの苦情が同社に相次ぎ、情報流出が発覚。同社は四月に久保容疑者を懲戒解雇し、警視庁に通報していた。

上の記事から、簡単に思いつくセキュリティ上の疑問点として・・・
※セキュリティの専門家ではないので、あまり詳しくありません。

以下、東京新聞より

女性社員は当時、アクセス権限のない部署に異動していたが、IDは消されずに残されていた。全社員のIDを知る立場にあった久保容疑者が犯行がばれないよう失効手続きがされていない女性のIDとパスワードを使った可能性があると同センターはみている。

  • IDを消すのも遅かったのかとは思うけど、なぜパスワードがわかったのか?
  • パスワードの更新どうしてたのか?(3ヶ月に1回、本人が変えるようにすればどうだったか?)
  • 異動の際に容疑者に教えてしまったのか?

以下、47NEWS より

CDを作成する権限が担当者にしかなかったため、久保容疑者は顧客情報のデータを暗号化した上、通常の業務を装って、担当者にデータをCDに移行させるよう依頼していた。

  • あまり、証券会社の業務内容を把握していないが、CDのやりとりが普通に行われる業界なんだろうか?
  • 担当者は、中身が何かの説明は受けずにCDを焼いてもよかったのか?

いままで僕たちが受けてきたセキュリティ教育はなんだったのか?を考えさせられる事件だと思った。
悪意ある人間が本気になれば、現在行っているセキュリティ対策は簡単に破れるという事実かも知れない。
その事実を深く受け止め、今後どういう対応をしていくべきかを考えないといけないと思った。

« トランスフォーマー!のブログパーツ | トップページ | iTrailでサイクリング記録 »

システムエンジニアリング」カテゴリの記事

コメント

コメントを書く

(ウェブ上には掲載しません)

トラックバック

この記事のトラックバックURL:
http://app.cocolog-nifty.com/t/trackback/210116/45455268

この記事へのトラックバック一覧です: 情報流出:

« トランスフォーマー!のブログパーツ | トップページ | iTrailでサイクリング記録 »