初出:2022/06/23
改稿:2024/04/15
うわー何この事件、前に動画でやったけど、情報セキュリティの現場猫特盛りじゃないのこれ?
どれどれ・・・情報漏洩事故ですか。うわっ何これ、教科書があったら載るほどマシマシじゃないですか。
動画の件もだいぶアレな感じにリアルだったけど、これもだいぶアレだね。何、酔っ払って路上で寝てたとか。
いや、私も酔いつぶれた事はありますからそこはまあいいですけど、問題はデータの取り扱いですよね。どこが悪かったのか見ていきましょうか。
尼崎市のセキュリティインシデントに学ぶ「情報漏洩」
2022年6月21日、兵庫県尼崎市で大規模な個人情報の漏洩事故が起きました。
尼崎市の全市民46万人余の個人情報が入ったUSBメモリを紛失した、というもの。
USBメモリは暗号化されていて今のところ漏洩は起きていない、という話ですが、この件は情報セキュリティの教科書があれば載せたいくらいの、絵に描いたような事故です。
いわゆる現場猫案件。それも全マシ。その後の対応までダメダメなので、要点に触れていこうと思います。
身近に溢れる情報流出の危機!【薬理凶室対談シリーズ】
本題に触れる前に、遡る事1年ちょっと前に公開した動画を紹介させてください。
以前、対談動画でUSBメモリに個人情報を、それも人から預かっているものを入れて紛失したりすると大事故でエラい事になるよ、という話をしたものです。そして、実際にエラい事になってしまったのが尼崎の件です。
動画では、仕事を家に持ち帰らざるを得なくて、資料作ったは良いけど、データを入れたままのUSBメモリをなくしちゃった・・・という「たとえ話」をしました。
もうそれだけで「ヤベーーー!」というのはおわかり頂けると思うんですが、まさか一年ちょっと後に現実の方でもっと、作話にしても説得力がなくなりそうなほどのどうしようもない事例が出てくるとは思わなかったです(笑)
一連の流れをざっくりまとめてみる
尼崎の件の流れをざっくり見てみましょう。既にTwitterなどで概略からツッコミどころまで話題になっていますが、まあこちらでも整理のためにということで。
- 出入りの業者がデータ移管作業を行っていた
- 作業のためにUSBメモリに個人情報をコピーして持ち出し(市の許可なし)
- 作業終了後にデータの削除をしなかった
- そのまま飲みに行って泥酔して路上で起きカバンを紛失した事に気付く
- 記者会見で市職員がデータの暗号化に使われたパスワードの構成を漏らす
いやあ、ビックリするほど情状酌量の余地がありません。役満とか満漢全席とか言われても仕方ないよね。データの暗号化がされていて、即座に流出とならなかったのが不幸中の幸い。
悪いところを考えてみる
では、この件で悪いところを考えてみましょう。答えは「全部」なんですが、それだとアレなので、一個ずつね。
USBメモリに個人情報をコピー。それも無許可で持ち出し。
USBメモリに個人情報入れて持ち出しするのは紛失の危険があったりするのでダメだというのは動画で触れた通りです。無許可で持ち出しも当然アウト・・・ですが、この辺は市の方がどういうルールで運用していたかわからんので保留。
より正確には市も業者もアウトって感じです。だって漏洩事故起きちゃってるんだもん。
作業終了後にデータの削除をしなかった
この手の情報の取り扱いは、作業が終わった後にデータを削除するのが鉄則だと思います。それでもデータの痕跡が残るくらいですし。暗号化したからいいだろは通りません。
飲食店にデータを持ち込んであまつさえ泥酔してカバンごと紛失する
論外です。
ただ、データを持ち出したまま飲みに行かなければカバンをなくしても個人の責任の範囲内で収まったはずです。
記者会見でパスワードの構成を漏らす
追撃も良いところです。
パスワードの構成ってこの場合、何桁のパスワードで保護されており安全です・・・みたいな話ですが。
具体的に何桁のパスワード使ってますとかバラしたら、それだけで特定しやすくなるでしょ。馬鹿なの?
総括
というわけで、ケチョンケチョンに言ってしまいましたが、いやまあ、酷いもん、実際。
市曰く「セキュリティマネジメントを徹底していくとともに個人情報保護の重要性について改めて周知を徹底し、職員の危機意識を高めるなど信頼回復に全力を尽くします」とのことですが。
まあまず記者会見に出てる人がうっかりパスワードの構成を喋ってしまったりしないように意識を高めてください。
最後に個人情報保護委員会の「漏えい等の対応とお役立ち資料」をご紹介して終わりといたします。
※追記:離席する時はちゃんとスクリーンロックしようね
2024年4月現在、ちょうどTwitterで共用PCの取り扱い云々の話が流れてきたので、思うところを追記してみたり。
具体的なツイートを取り上げるのはここではよしておきますが、投稿者は共用PCを使っているようで離席時に他の人に使われて「せっかく書いた記録を全部消された!」と怒り心頭・・・という構図の模様。
バカなんじゃねーの
この場合、共用PCは、どの端末を使っても自分のアカウントにアクセスして作業ができる・・・というためのものだと思いますが、そういうモノを使う場合、当たり前の話ですが、席を外す場合は作業を保存した上でログアウトするのが「大前提」です。
大学生時代の計算機室を思い出すなあ。自分のアカウントに勝手にアクセスされかねないのでログアウトするのは当然だし、作業内容を保存してないのは完全な自業自得です。
緊急だったのでそんなことできない? いやいや、ダメでしょ。論外!
取り扱ってる情報の内容によっては普通に手出しできる状態で放り出して離席するだけでセキュリティインシデントですよ。
これは自分専用のPCを使ってる時も同じで、定期的に作業内容は保存して、離席する時は勝手に操作されないようにスクリーンロックをかけなければなりません。
「すべき」ではありません。「しなければならない」です。
会社によっては普通に怒られますよ。社外秘の資料表示させたまま離席とかさあ。たまに実話風の掲示板話とかで「離席中に勝手に書類を消される嫌がらせをされた」とかあるけど、セキュリティ意識低くてドン引きです。
これ、社外でやらかすとそれこそ本記事みたいな情報流出事故になるんで、本来もっと神経質になるべきです。
とはいえ、ぜんぜん守られていないどころか意識さえしてないところも少なくないのが頭痛いところですが・・・皆さんは気を付けましょうね。
参考までに、スクリーンロックの方法をMacとWindowsそれぞれについて紹介して今度こそ終わりにします。
著者紹介
アリエナイ理科ポータル管理人にしてメルマガ編集、配信担当。
薬理凶室の裏方にいる四ツ目の悪魔。
https://twitter.com/JokerLunatic
Joker執筆の記事一覧
アリエナイ理科ポータル管理人にしてメルマガの編集、配信担当「Joker」。日々、ポータル記事を更新していますが、記事を執筆することもあり、その一覧となります。メインはお酒にまつわる話。またたまに情報技術に関してのTipsもあります。
関連記事
データの完全消去の話
QRコード詐欺について
二段階認証の仕組み
システムの平和を守る仁義なきSEの苦悩
シャドウバンとは何か
画像のねつ造の話
薬理凶室対談動画まとめ
対談動画解説のまとめ
宣伝
ニコニコ動画にて有料チャンネル「科学はすべてを解決する!! ニコニコ秘密基地」を開設しました!
「アリエナイ医学事典2」が発売されます!
「アリエナイ医学事典 改訂版」好評発売中です!
「アリエナイ理科ノ大事典3」、好評発売中です!
くられ先生の単著「アリエナイ毒性学事典」好評発売中です!
工作系に特化した「アリエナイ工作事典」好評発売中です!
「アリエナイ理科ノ大事典」改訂版が発売中です!
「アリエナイ理科ノ大事典2」、好評発売中です。
