近年、情報漏えいの規模が拡大している。また、情報漏えいの種類についてもビットコイン等の仮想通貨を身代金と要求するサイバー攻撃や、システムの設定ミスに起因するものなど、新しいタイプのものが増加傾向にある。本トピックでは、サイバー攻撃やシステムの設定ミスによる情報漏えいインシデントを取り上げる。

■「山と渓谷」サイトに不正アクセス、1160件の個人情報が流出

　2017年12月19日、「ヤマケイオンライン」が不正アクセスを受け、一部の会員情報が流出したと発表した。判明している流出データは1160人分の氏名、メールアドレス、住所や電話番号など。

　情報流出の原因は、システム異常を引き起こすSQL文を実行させてデータベースシステムを不正操作する「SQLインジェクション」が使われたとのこと。これにより、先月11月29日にヤマケイオンラインの会員からフィッシングメールが届いたとの報告を受けヤマケイオンラインでは調査を開始、今回の不具合が発覚した。不正アクセスは10月31日、11月22日、11月23日に痕跡があり、原因を究明し、脆弱性は12月5日までに解消したという。

　本件について、管轄機関の個人情報保護委員会に報告するとともに、警察署に被害届を提出する予定とのこと。

■Amazon S3の設定ミスにより、アメリカ国民1億2千万世帯の情報が公開されていた

　2017年12月20日、米セキュリティ調査会社UpGuardは、データ分析会社Alteryx社が運営する、Amazon S3のアクセス権限の設定ミスにより、1億2千万世帯以上のアメリカの世帯情報が公開されていたと発表した。

　この公開されていたデータには、住所、民族性、興味や趣味、所得、住宅ローンの種類、住居人数などの住人に関する合計248項目の個人情報が含まれていた。本件で公開されていたデータ・セットにはExperian社から購入したと推測されるデータが含まれており、UpGuard社はパートナー企業の情報管理体制の不備により、機密情報が公開されてしまった事例として、パートナ企業の情報管理体制を評価するプロセスも重要だとした。

■日産カナダ・ファイナンスが不正アクセス被害。113万人の顧客情報漏えいの可能性

　2017年12月11日、日産カナダ・ファイナンスは不正アクセスを確認。現時点では被害の正確な範囲は同社も確認出来ていないが、予防措置として全顧客に不正アクセスが発生し、顧客情報が漏洩した可能性を通達済み。全顧客に対してTransUnionの与信監視サービスを無料で12ヶ月間提供する。

　不正アクセスにより、漏洩したデータには顧客名、住所、車両の製造元とモデル、車両識別番号（VIN）、クレジットスコア、ローン金額、月額支払い金額等が含まれているという。現在対応策として、法執行機関やデータセキュリティ専門家らに支援を要請し、被害の全貌と今後の対応策について調査中とのこと。

■プエブロのコロラドメンタルヘルス研究所でのデータ違反の可能性

　2017年12月22日、プエブロにある、コロラドメンタルヘルス研究所はフィッシング詐欺により、650名の患者の情報が漏洩した可能性があると発表した。流出した情報には氏名、生年月日、社会保障番号、住所、電話番号、保険情報、入学および退院日等が含まれているとした。

■所感

　国内においては「ヤマケイオンライン」が不正アクセスの被害にあった。ヤマケイオンラインは山登りを趣味とする人達にはメジャーなサイトであるが、それ以外の人にはヤフーや各種ニュースサイトと比較すれば知っている人は少ないだろう。サイバー攻撃は実際に攻撃を受けるまでは「他人事」として捉えられていることが大半だが、攻撃を受けるのは「誰もが知っているメジャーサイトだけではない」という点を教訓とするべきだろう。

　海外では、先週の大きな話題はAlteryx社によるAmazon S3の設定ミスによる、アメリカ国民1億2千万世帯の情報漏えいだ。AWSを利用する企業の増加に比例するように、最近Amazon S3(AWSのストレージサービス)の設定ミスによる、意図せぬ情報公開事故が相次いでいる。

　なお、CASBソリューションのシャドーIT可視化対策を行うことでこういったAmazon S3の設定ミスを検出することが可能だが、筆者はこれらのツールを使い国内事業者においても同様の設定ミスが存在していることを確認している。企業の情報セキュリティ担当者やシステム構築担当者は、同様の設定ミスが無いか、今一度点検してみることを推奨する。