掲載日時: 2009-02-18 08:00

情報流出事件簿--流出した情報数は数百万件、発表直後は鳴り止まぬ電話

顧客情報や取引先情報といった情報の流出がいっこうに止まらない。そして、その犯人が特定されないまま事件は終了というケースも後を絶たない。

著者 : 神永裕人(イエローリポーツ)

URL : https://japan.zdnet.com/article/20388371/

 コンピュータのあらゆる操作が可能な管理者権限を与えられている管理担当者。深刻な情報流出の場合、「管理者権限の運用に大きな落とし穴があることが多い」と、統合ログ管理に詳しいラックのサイバーリスク総合研究所 コンピュータセキュリティ研究所の岩井博樹所長は注意を促す。

管理担当者が意図的に盗み出し

 ノートパソコンの紛失、あるいは盗難などにより個人情報が流出してしまったというケースがよくニュースで報じられている。もちろんこうしたうっかりミスが許されるわけではないが、個人の所有するパソコンからの情報流出である場合、流出データは比較的少ない数に留まることが多い。しかし、企業内部の人物が個人情報を保存しているコンピュータに不正にアクセスし、確信犯的に盗み出したとしたらどうなるだろう。しかもその人物が、コンピュータのすべての機能を自在に操作できる管理者権限を持つ管理担当者であったとしたら……。当然、流出件数は膨大になる可能性が高い。

 ある企業では、この管理者権限を与えられた管理担当者が社内のファイルサーバ上にあった個人情報を盗み出し、インターネット上へ流出させるという事件が発生した。流出した数は、近年でも最悪の数百万件に達した。

 流出が判明した時点で、社内に対策本部を設置し、情報システム部門へ流出内容の分析と原因の究明を指示。戻ってきた回答は、流出内容として顧客の住所、氏名、生年月日、そして取引の履歴までが含まれているというものだった。

社内は通常業務を止めて対応に

 対策本部ではその規模の大きさにがく然とし、急きょ記者会見を開催。その事実をマスコミに公表した。併せて、顧客からの問い合わせに応えるため、人員や電話回線の確保に走り回らなくてはならなかった。

 マスコミ発表の翌日から、受話器を置く間もないほどに、顧客からの問い合わせが押し寄せてくる。口々に情報流出による二次被害への不安を訴え、どう責任を取ってくれるのかの説明を厳しく求められた。一方、営業部門では、取引先の不安解消とお詫びのため、担当者総出で取引先回りをスタート。管理部門も騒然としていた。流出が特定できた顧客に対し、お詫び状を発送する準備を急ピッチで進めなくてはならなかったからだ。

 この間に、情報システム部門から流出事故に関する詳細な報告が上がってくる。しかし、その答えは対策本部を落胆させるものだった。

 おおよその流出経路の解明と犯人の絞り込みはできたものの、記録していたログでは犯人の特定が不可能というものだった。対策本部に落胆の色が広がる。しかし気落ちしている暇はない。マスコミからの追加取材への対応、関係機関への報告、情報流出に強い不満を持つ顧客を直接訪問しての謝罪と説明、やるべきことは山積していた。

 問い合わせの電話が鳴り止むまでには、その後1ヶ月近くを要した。この間に投入した人件費や事務費用を合わせると、数億円のコストが必要だった。流失事故による顧客や取引先への信用失墜により、遺失利益も発生する。何より、1ヶ月近くの緊急対応のため、企業としての通常業務が行えなかったことは痛かった。さらに、慰謝料請求などの裁判対応、再発防止策の検討、その実施のための投資費用など、これからも新たなコストが発生する。信頼感喪失による既存顧客の離反や新規顧客獲得減少なども見込まれる。情報流失の損害は甚大だ。

5人の管理担当者がIDとパスワードを共有

 重大な情報流出事故に見舞われてしまったこの企業だが、もちろんまったくログ管理をしていなかったわけではない。顧客情報を保存しているファイルサーバへのログオン/ログオフのログやファイルサーバの稼動状況を記録するイベントログ、外部ネットワークからのアクセス状況を監視するセキュリティログなどを記録し、標準的なログ管理を行っていた。ログ解析の専門スタッフもそろえてはいた。流出判明直後のログ解析により、内部の人間による犯行であるというところまで自力でたどり着けたのも、こうした理由による。しかし、管理者権限の運用で重大な落とし穴があったのだ。

 システムのセットアップやアプリケーションのインストールなどの作業をするには、管理者権限でシステムにログオンする必要がある。このため、管理すべきサーバやパソコンの数が増えれば、管理者権限を持つ管理担当者の数も増やさなくてはならない。この企業でも、5人の管理担当者を置いていた。しかし、管理者権限でログオンする際には、同一のIDとパスワードを使っていたのだった。このため、どの管理担当者がファイルサーバから個人情報を盗み出したかを特定できない。まずこれが、第1の落とし穴になった。

管理端末ごとの操作ログさえ取っていたら……

ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所 岩井博樹所長ラック サイバーリスク総合研究所 コンピュータセキュリティ研究所 岩井博樹所長

 大量の個人情報が流出し、犯人は内部にいるらしいとなれば、真っ先に疑われるのはシステムを制限なく操れる管理担当者である。「このため、管理担当者をいかに管理するかはホットな話題となっています」と岩井氏。この企業と同様な運用をしている場合でも、特別なツールを導入しログを取ることで、ユーザーを特定することが可能になるという。

 しかし、「運用リスクを考え、ログを取る対象をもう少し広げておけば、犯人の特定はもっと簡単にできるはず」とも岩井氏は指摘する。この企業では、各管理担当者が使用する管理端末の操作ログ、そしてファイルサーバ上での管理担当者ごとの操作ログを取っていなかった。システムの入り口でのチェックを怠るという第2の落とし穴があったのだ。

 最終的に、情報流出の犯人は分からずじまいで終わったこの事件。想定されるリスクをカバーできるように、ログ取得の範囲を事前にしっかりと検討しておくことがいかに重要かを、改めて強く意識させてくれる。

ZDNET Japanは、Ziff Davisからのライセンスに基づき株式会社4Xが運営しています。
ZDNET Japan is operated by 4X Corp under license from Ziff Davis.

Copyright © 2026 4X Corp, Inc. All rights reserved. No reproduction or republication without written permission.