security119.jp Blog http://blog.security119.jp/ 情報漏洩、従業員管理、内部統制などを中心にセキュリティ対策全般の情報を掲載しています。 ja Copyright 2010 Fri, 15 Jan 2010 21:00:00 +0900 http://www.sixapart.com/movabletype/ http://www.rssboard.org/rss-specification 2008年発生の個人情報漏えいは120件
------------------(以下、記事より引用)-----------------------------
2008年に発生した個人情報漏えいは120件

漏えいした個人情報が最も多かった事件
1位 ミネルヴァ・ホールディングスの最大65万 3424人(8月に発生)
2位 JALホテルズの14万5052人(12月に発生)
3位 日本ヒューレット・パッカードの13万9583人(2月に発生)

Winny関連で個人情報が最も多く漏えいした事件
1位 神奈川県教育委員会で 約11万人(11月に発生)
2位 サン・ライフの最大1万2000人(11月に発生)
3位新潟県総合生活協同組合の9558人(8月に発生)
------------------(引用、終了)-----------------------------

EQ018.jpg漏えいした人数は相当数にのぼります。
120件の個人情報漏洩のうち、「組織内部からの攻撃あるいは原因による漏えいは全体の83%」だそうです。
2009年の情報漏えいのニュースは続々報告され、耳慣れた感がありますが、個人情報漏えいによる損失は甚大です。
言うまでもありませんが、今年も個人情報の管理には神経を使う必要がありますね。

(以下、記事のURL)
「2008年発生の個人情報漏えい、ファイル共有ソフト関与は23%」
http://internet.watch.impress.co.jp/docs/news/20091216_336206.html
]]> http://blog.security119.jp/2010/01/2008120.html http://blog.security119.jp/2010/01/2008120.html 4. 情報漏えい 情報漏えい Fri, 15 Jan 2010 21:00:00 +0900 職場でのネット利用、業務外の趣味 職場でも自宅でも、ブラウザ閲覧履歴を見られると"困る"人がいるようです。

「インターネット経験者で、人に言うにはちょっと恥ずかしい趣味がある人」と観点の面白い調査がありました。

ブラウザの閲覧履歴を削除したことがある人は、自宅でも職場でも「恥ずかしい趣味がある人」はより高い傾向があるようです。
「恥ずかしい趣味がある人」は自宅では約47%、職場では約43%がブラウザ閲覧履歴を削除したことがあるそうです。

個人の趣味は勝手ですが、職場で「恥ずかしい趣味」をされては業務の妨げになります。
また、そのようなサイトには悪質なウィルス等が仕込まれていることが多く、ブラウザ閲覧履歴を削除しても、すでに感染しているかもしれず、笑い話ではすみません。情報漏洩が起こる可能性も否めません。

PCログ管理ソフト スペクターペクタープロは、社員のパソコンのアクティビティ全てを記録します。
たとえ、ブラウザ閲覧履歴を削除しようと、社員がインターネットで行ったアクティビティは全て記録されます。周知することにより、抑止効果にもつながります。詳しくは、情報漏洩ドットコムをご参照ください。
]]> http://blog.security119.jp/2009/12/post-22.html http://blog.security119.jp/2009/12/post-22.html 3. スペクタープロ 情報漏洩 Fri, 04 Dec 2009 09:00:00 +0900 情報漏えいの代償、顧客に対しては?
FE004.jpg顧客名簿が流出した三菱UFJ証券は、顧客にギフトカードを配布することにしました。

-------------------(以下、記事より引用)-----------
三菱UFJ証券の元社員が顧客情報の名簿を不正に持ち出して業者に売却していた事件で、同社は20日、情報流出の被害に遭ったすべての顧客にお詫びとして1万円相当のギフトカードを配布することを明らかにした。6月末ごろに顧客に届けられる予定。対象者は約5万人で、総額は約5億円相当となる。
-------------------(引用、終了)-----------

金額の多寡や手段(ギフトカード)の良し悪しはともあれ、総額約5億円相当、配送料や人件費も考えると、コストは甚大です。事前にローコストで情報漏えい対策を行いましょう。

当社が提供する情報漏洩対策の総合的なソリューションについて、情報漏洩.comをご覧下さい。

(以下、記事より引用)
「三菱UFJ証券の顧客名簿流出、対象者に1万円分のギフトカード配布」
(2009/5/21 InternetWatchより)
http://internet.watch.impress.co.jp/cda/news/2009/05/21/23514.html
]]> http://blog.security119.jp/2009/06/post-21.html http://blog.security119.jp/2009/06/post-21.html 4. 情報漏えい 情報漏えい Mon, 15 Jun 2009 09:00:00 +0900 決算説明会をネット経由で FE179.jpg3月決算期の企業の決算説明会の時期が近づいています。
決算説明会をネット経由で行う企業が増えているようです。

今年からみずほフィナンシャルグループ(FG)もネット経由の決算説明会に切り替えましたが、理由は新型インフルエンザの流行、大勢の人が集まることでの感染リスクを下げるためです。

理由はともかく、一度、ネット経由で行えるように体制を整えてしまえば、来年以降も使えます。
決算説明会は、会場の手配やスタッフの確保など、何かと手間とコストがかかるもの。
もちろん、今後とも、株主様だけではなく、役員や従業員がインフルエンザ等の感染症に感染するリスクも下げることが出来ます。

もし御社のニーズに合うようでしたら、ネットでの決算説明会を検討してみてはいかがでしょうか。

(以下、記事より引用)
決算説明会、ネット経由に=インフル対策で対面避ける-みずほFG
「みずほフィナンシャルグループ(FG)は22日行った同社の決算説明会を、インターネットの動画を活用した非対面方式で実施した。通常は会場に証券アナリストを一堂に集めているが、1カ所に大勢の人間が集まることで新型インフルエンザ感染リスクが高まる事態を避けるため、切り替えた」
(2009/05/22 時事ドットコム)」
http://www.jiji.com/jc/zc?k=200905/2009052200642&rel=j&g=soc
]]> http://blog.security119.jp/2009/05/post-20.html http://blog.security119.jp/2009/05/post-20.html 6. 従業員管理 決算 Sat, 30 May 2009 17:00:00 +0900 会員向け案内メールで、メルアド大量流出 FE010.jpg御社ではお客様向けの案内メールを送付するときに、BCC機能を利用していますか?

ディズニーグッズの通販サイトから会員向けの案内メールを送信するとき、「送信相手を他の送信先に知らせないようにする機能(BCC機能)を使わなかったため、送信先のメールアドレスが、それぞれわかってしまう状態に」なっており、「会員登録している顧客計1151人分のメールアドレスの一部を、他の会員にもわかるように送信していた」そうです。

お客様向けの案内メールは、システム関係者以外の従業員が送信することが多いため、パソコンに精通している人には常識的なことが、案外と知られていないことがあります。

顧客の情報流出には、このようなパターンもあり得るのだと考えさせられます。


(以下、引用した記事)
「ディズニーグッズ通販サイトからメアド大量流出」
http://www.yomiuri.co.jp/national/news/20090423-OYT1T00794.htm
(記事は掲載期間終了のため削除)
]]> http://blog.security119.jp/2009/05/post-19.html http://blog.security119.jp/2009/05/post-19.html 4. 情報漏えい メルアド Thu, 14 May 2009 21:00:10 +0900 ありえない大規模な情報流出事件が続々
FE113.jpg4月10日に発表したのは、ソニー生命保険、「契約者14万151人分の顧客情報が保存されたパソコン1台を紛失したと発表」しました。

本社内のフロア移転に伴う引越し作業でパソコン1台を紛失したそうで、「紛失したパソコンに保存されていたのは、2008年3月から2009年2月までに口座振替以外の手段で保険料を支払った顧客の情報。内容は証券番号、生年月日、契約日などで、氏名、住所、電話番号、口座情報は含まれていない」そうです。

「このパソコンに保存している情報を暗号化しているほか、パスワードとICカードによる認証などのセキュリティ対策を施している」そうです。

4月8日、三菱UFJ証券の記者会見により、ありえない情報流出事件が明らかになりました。
システム部の元部長代理が同僚のID,パスワードを不正利用してデータベースに接続し、全顧客約148万人分の情報を持ち出しました。名簿業者に販売、名簿の転売先が80社近くに拡大し、悪質な勧誘電話を受けた顧客からの苦情も殺到しているそうです。

両社に共通していたのは、大企業で情報セキュリティ対策をしていたにもかかわらず、人為的な原因で、大規模な情報流出が起こってしまったということです。
両社ともコメントのしようがない、あってはならない事件ですが、対岸の火事と傍観せずに、自社のセキュリティ対策の参考にしたいものです。

(以下、記事のURL)
「ソニー生命、14万人分の顧客情報保存したPCを紛失」
(2009/4/11 ItProより)
http://itpro.nikkeibp.co.jp/article/NEWS/20090411/328211/

「三菱UFJの情報流出、77社に拡大」
(2009/4/17 読売オンラインより)
http://www.yomiuri.co.jp/national/news/20090417-OYT1T00796.htm?from=y10
]]> http://blog.security119.jp/2009/04/post-18.html http://blog.security119.jp/2009/04/post-18.html 4. 情報漏えい 6. 従業員管理 情報漏えい Fri, 24 Apr 2009 14:00:00 +0900 「日本カード情報セキュリティ協議会」の設立に向けて リティ協議会」の設立」に向けた準備事務局を開設しました。

FE028.jpg-------------------(以下、記事より引用)-----------
協議会は、企業による個人情報の漏洩や、クレジットカード情報の不正な取得
を目的とした不正アクセスが増加しているといった状況を受け、クレジット
カード情報のセキュリティに関する企業が協力して、国内におけるクレジット
カード情報の保護に向けた情報を交換・連携する場として設立を目指す。
-------------------(引用、まとめ)-----------

顧客のクレジットカード情報を扱う企業は増えてきています。
顧客が法人のみではなく、個人顧客の場合、クレジットカードでの決済を選択する顧客も多く
なってきました。
顧客の個人情報を守るのは企業の責任です。そして堅固な社内体制を確立することにより、
情報漏えいを防ぎ、企業の信用力を高める必要が出てきています。

こんなご時勢に待望の「日本カード情報セキュリティ協議会」の設立、今後に注目したいですね。

(以下、記事のURL)
「日本カード情報セキュリティ協議会」設立準備会が発足」
(2009/3/5  Internet Watchより)
http://internet.watch.impress.co.jp/cda/news/2009/03/05/22691.html
]]> http://blog.security119.jp/2009/04/post-17.html http://blog.security119.jp/2009/04/post-17.html 4. 情報漏えい クレジットカード Sat, 11 Apr 2009 09:00:00 +0900 法人口座への攻撃が増加
「法人口座は個人に比べて被害金額が大きく」なります。もし御社の法人口座が攻撃されて、被害にあった場合、取り返しがつかなくなる可能性が高いでしょう。

「口座管理は経理にお任せ~」ではリスクが高すぎます。オンラインで被害を受けないように、情報セキュリティの面からも、「法人口座の管理に口を出す」をする必要が出てきているといえるでしょう。

(以下、記事より引用)
法人口座に狙いを絞る―RSA セキュリティのオンライン犯罪傾向分析
「同社によると、サイバー犯罪組織の Rock Phish 団の MS-Redirect ネットワーク上でホストされている攻撃には二つの目だった変化があるという。法人顧客の口座への攻撃と二要素認証コードの要求だ。
法人口座では、個人に比べて被害金額が大きくなる携行があるため、二要素認証コードが詐欺対策として提供されている。そのため Rock Phish 団は、二要素認証コードを盗むことで、口座に対するアクセスしようと試み始めているという。」
(2009/3/27 Japan Internet.comより)
http://japan.internet.com/webtech/20090327/1.html
]]> http://blog.security119.jp/2009/03/post-14.html http://blog.security119.jp/2009/03/post-14.html 1. 基本情報 サイバー犯罪 Sat, 28 Mar 2009 09:00:00 +0900 情報漏えいに対する企業の対応 FE056.jpg先日、神奈川県立高校生の個人情報約11万件がファイル共有ソフトに流出しました(過去ブログ神奈川県から11万人超、環境省から1342人分の個人情報が流出)。

「日本IBMが神奈川県教育委員会から受託していた授業料徴収システムに関連する資料の一部が、業務委託先の社員が所有するPCから流出したもの」で、日本IBMは、この問題に対する対応状況を報告しました。


--------------------(以下、記事より引用、まとめ)-------------------------------------
1.ネットワーク
当初、個人情報ファイルは「Winny」に流出したとみられたが、2008年11月「Share」で流出していることを確認

[Share]ISPに協力を要請し、ファイルをダウンロード可能にしているユーザーを特定、ファイルの削除を要請
[Winny]2009年1月には、ネットワーク上に流出ファイルが再放流されているのを確認

[Share]2009年2月末時点、ファイルをダウンロード可能にしていたユーザーのほとんどがファイルを削除
[Winny]ファイルとして完全にダウンロードすることは極めて難しいことを確認、ファイルの削除を要請中

2.法的措置
2008年12月から、ISPに対して、意図的に情報の拡散を図ったと見られる人物の発信者情報の開示請求を要請したが、任意開示得られず

2009年2月、東京地裁に当該ISPへの発信者情報開示の仮処分を申請、仮処分が認められる

2009年3月、当該人物に対して「情報の再発信の禁止」を求める仮処分を申請。本人に裁判所からの仮処分の通知がなされ、対応を注視

3.政府等への働きかけ
・経済産業省に報告
・ウイルスなどが介在して不正に取得された個人情報を意図的に拡散させる行為に対する法整備や規制強化を、関係省庁に求める活動も継続して実施
--------------------(引用、まとめ、終了)-------------------------------------

ざっと見ただけでも、かなりの労力が払われ、実際の人的コストは甚大だと思われます。
日本IBMほどの大企業であれば、この不景気の只中にあっても、きちんと対応するだけの余力がありますが、中小企業はそうも行かないでしょう。

病気と同じで、予防は治療に勝る、事前にローコストで情報漏えい対策を行いましょう。

PCモニタリングソフト「スペクタープロ6.0」は、Webの閲覧記録やEメール、チャットの送信記録、検索キーワード、プログラム、パソコンの使用状況、キーボードで入力された文字、印刷したファイル、USBメモリなどにコピーしたファイルなど、パソコンで行われた操作をすべて記録します。

そして、従業員が不用意に有害サイトにアクセスしないように、全米"インターネットフィルタリング部門"で5年連続NO.1の評価を受けているNet Nanny(ネットナニー)企業情報インターネットフィルタリングもあわせて、ご検討ください。

また、当社が提供する情報漏洩対策の総合的なソリューションについては、情報漏洩.comをご覧下さい。
]]> http://blog.security119.jp/2009/03/post-16.html http://blog.security119.jp/2009/03/post-16.html 3. スペクタープロ 4. 情報漏えい 情報漏えい Sat, 21 Mar 2009 09:00:00 +0900 スパムメールによる損失 ある程度、システムではじくこともできますが、ゼロにするのは難しいでしょう。

「米McAfeeでは、スパムメールによる労働力損失額を算出。1時間に30ドルを稼ぐ従業員
1人あたりで1日につき50セント年間では1人あたり182.5ドルの損失がスパムメールの
処理によって発生する」そうです。

日本では、「迷惑メール規制法」が改正され、オプトイン方式による規制が始まっています。
(広告メールは、あらかじめ送信に同意した者のみに送信を認める)
罰金も30倍(3000万円以下)に強化され、海外からのメールも規制の対象になっています。

御社ではスパムメールは減少していますか?

(引用した記事のURL)
「スパムメールによる損失は従業員1人あたり年182.5ドル、McAfee試算」
(2009/03/10 InternetWatchより)
http://internet.watch.impress.co.jp/cda/news/2009/03/10/22725.html
]]> http://blog.security119.jp/2009/03/post-15.html http://blog.security119.jp/2009/03/post-15.html 1. 基本情報 迷惑メール規制法 Sat, 14 Mar 2009 15:00:00 +0900 流出した個人情報が悪用、韓国 分の個人情報がインターネット上に流出した」そうです。
この手のニュースでは、必ず「被害は出ていない」と一言加わりますが、今後、どうなるかは
不明です。

FE125.jpg韓国で振り込め詐欺のグループが逮捕されましたが、「犯行に使われた
IDとパスワードが、2008年の某インターネットショッピングモールから
個人情報が大量に流出した事件によって漏えいした情報である可能性」
があるそうです。

あちこちで流出した個人情報が、数ヵ月後、数年後に悪用される危険性
が高く、将来にわたる被害が起こる可能性があります。

企業でも具体的な情報漏えい対策を行う必要があるでしょう。

(以下、引用した記事のURL)
「名古屋大:個人情報1141人分ネット流出」
(2009年2月28日 毎日新聞より)
http://mainichi.jp/life/electronics/news/20090228k0000m040144000c.html

「海の向こうの"セキュリティ"第30回」
(2009/03/03 InternetWatchより)
http://internet.watch.impress.co.jp/static/column/security/
]]> http://blog.security119.jp/2009/03/post-13.html http://blog.security119.jp/2009/03/post-13.html 4. 情報漏えい 個人情報 Fri, 06 Mar 2009 09:00:00 +0900 情報セキュリティ関連法の整備を要請、神奈川県 EQ100.jpg神奈川県は「国に対して、地方公共団体が保有する個人情報を意図的に
流出させる行為に罰則を適用する法整備を要請」しました。

神奈川県立高校の生徒11万人以上の個人情報が流出した事件を受け、
「被害拡大の防止策を検討してきた」が、「インターネット上に意図的に
個人情報等を流出させる行為を規制する法律が十分でないことから、
現状としては対応に限界があると説明している」そうです。


多くの情報流出が社会問題化しているため、国が情報セキュリティ関連法の整備を行うこともありうるで
しょう。今後の動きに注目したいですね。(続く・・・)
]]> http://blog.security119.jp/2009/02/post-12.html http://blog.security119.jp/2009/02/post-12.html 4. 情報漏えい 情報流出 Fri, 27 Feb 2009 09:00:00 +0900 新年度キャンペーン実施中!
不況の時代、従業員管理まで手が回らず、情報漏えいやウィルス感染してしまったら大変です。
事が起こってから事態を収拾するにはコストも労力も甚大です。
事前に手を打った方がはるかに、時間もコストも低く抑えられます。

スペクタープロ6.0 ダウンロード版』は、2009年3月末まで、「従業員管理・情報漏洩防止
キャンペーン」を実施中です。販売価格からさらに5%OFFで、ご提供中です。

また、『NetNanny企業情報 インターネットフィルタリング ダウンロード版』も20%OFF
ご提供中です。

新年度に向けての期間限定キャンペーンですので、お得です。ぜひご検討ください。

スペクタープロ6.0』についてはこちら(http://spectorpro.jp/
NetNanny企業情報 インターネットフィルタリング』についてはこちら(http://netnanny.jp/
]]> http://blog.security119.jp/2009/02/post-11.html http://blog.security119.jp/2009/02/post-11.html 3. スペクタープロ キャンペーン Fri, 20 Feb 2009 09:00:00 +0900 ファイル共有ソフトの利用者は、情報流出を心配 ファイル共有ソフト利用者の3人に2人は情報流出を心配」
しているそうです。(昨年9月、日立製作所インシデントレスポンスチームによるインターネットユーザ対象の
オンラインアンケート。有効回答2万189人)

FE018.jpgファイル共有ソフトや利用目的についても、かなり具体的に
あがっています。

「1年以内にファイル共有ソフトを利用した経験のあるユーザーは
10.3%」(昨年度9.6%)、
「利用しているファイル共有ソフトは、「Winny」が28.4%、
Limewire」18.3%、「Cabos」15.1%、
WinMX」10.3%、「Share」10.2%」だそうです。


「ファイル共有ソフトの利用目的では、「無料で音楽ファイルがダウンロードできる」58.0%、
無料で映画がダウンロードできる」24.7%、「無料でアダルト映像がダウンロードできる」
21.6%などが上位」です。

ちなみに「ファイル共有ソフトを介してウイルスをダウンロードしたことがあるユーザーは
45.5%で、そのうち「感染した」のは17.3%」です。
「ウィルスのダウンロード経験をソフト別に見ると、「Share」が59.3%で最も多かったが、
「感染した」に限ると「Winny」が22.6%」が多いです。

ファイル共有ソフトによる情報流出を心配して「「自宅のPCでは勤務先の仕事をしない」
ユーザーは70.7%を占め、2007年調査の57.7%から増加」しているそうです。

IPAではありませんが、よっぽど大きな流出事件でも起こらない限り、従業員に対して、
自宅のパソコンでのファイル共有ソフトの利用を禁止するのは難しいでしょう。
でも情報流出が起こってしまったら大変です。
禁止までは行かなくても、「自宅PCで仕事をしない」や「仕事のファイルを持ち出さない」など、
「ファイル共有ソフトによる情報漏洩被害の防止に向けた啓発」が必要でしょう。

さて、御社では情報流出防止のため、従業員管理はどのようにされていますか?(続く・・・)
]]> http://blog.security119.jp/2009/02/post-10.html http://blog.security119.jp/2009/02/post-10.html 6. 従業員管理 ファイル共有ソフト Thu, 12 Feb 2009 20:00:00 +0900 勤務中のプライベートメール、Yes or No? 勤務中に2人に1人が職場のパソコンで、
7割が私物の携帯電話でプライベートメールをするそうです。

FE050.jpg職場PCのプライベートメールの相手、半数以上が職場の仲間です。
「今日、ランチしよう」とか「飲みに行こうぜ」というメールはありがちでしょう。
調査結果によると、職場のパソコンよりも携帯電話のほうがプライベートな相手
(配偶者など)に使うようです。

どこまでが許容範囲かは、企業の雰囲気によっても変わりますが、約半数は
就業規則や暗黙のルールで等でプライベートメールを禁止しており、
「いけないこと、良識的に許される行為ではない」という認識はあるようです。

プライベートメールを禁止したい場合は、監視システムを導入するのが効果的なようです。
74.4%が「監視システムが導入された場合」プライベートメールをやめると回答しています。

さて、御社では、勤務中のプライベートメールについて、どのように考えられますか?(続く・・・)
]]> http://blog.security119.jp/2009/02/yes-or-no.html http://blog.security119.jp/2009/02/yes-or-no.html 6. 従業員管理 プライベートメール Thu, 05 Feb 2009 09:00:00 +0900