情報流出事件簿--流出した情報数は数百万件、発表直後は鳴り止まぬ電話

神永裕人(イエローリポーツ) 2009年02月18日 08時00分

 コンピュータのあらゆる操作が可能な管理者権限を与えられている管理担当者。深刻な情報流出の場合、「管理者権限の運用に大きな落とし穴があることが多い」と、統合ログ管理に詳しいラックのサイバーリスク総合研究所 コンピュータセキュリティ研究所の岩井博樹所長は注意を促す。

管理担当者が意図的に盗み出し

 ノートパソコンの紛失、あるいは盗難などにより個人情報が流出してしまったというケースがよくニュースで報じられている。もちろんこうしたうっかりミスが許されるわけではないが、個人の所有するパソコンからの情報流出である場合、流出データは比較的少ない数に留まることが多い。しかし、企業内部の人物が個人情報を保存しているコンピュータに不正にアクセスし、確信犯的に盗み出したとしたらどうなるだろう。しかもその人物が、コンピュータのすべての機能を自在に操作できる管理者権限を持つ管理担当者であったとしたら……。当然、流出件数は膨大になる可能性が高い。

 ある企業では、この管理者権限を与えられた管理担当者が社内のファイルサーバ上にあった個人情報を盗み出し、インターネット上へ流出させるという事件が発生した。流出した数は、近年でも最悪の数百万件に達した。

 流出が判明した時点で、社内に対策本部を設置し、情報システム部門へ流出内容の分析と原因の究明を指示。戻ってきた回答は、流出内容として顧客の住所、氏名、生年月日、そして取引の履歴までが含まれているというものだった。

社内は通常業務を止めて対応に

 対策本部ではその規模の大きさにがく然とし、急きょ記者会見を開催。その事実をマスコミに公表した。併せて、顧客からの問い合わせに応えるため、人員や電話回線の確保に走り回らなくてはならなかった。

 マスコミ発表の翌日から、受話器を置く間もないほどに、顧客からの問い合わせが押し寄せてくる。口々に情報流出による二次被害への不安を訴え、どう責任を取ってくれるのかの説明を厳しく求められた。一方、営業部門では、取引先の不安解消とお詫びのため、担当者総出で取引先回りをスタート。管理部門も騒然としていた。流出が特定できた顧客に対し、お詫び状を発送する準備を急ピッチで進めなくてはならなかったからだ。

 この間に、情報システム部門から流出事故に関する詳細な報告が上がってくる。しかし、その答えは対策本部を落胆させるものだった。

関連キーワード
セキュリティ

この記事を読んだ人におすすめの資料

関連記事

「特集 : 情報セキュリティ事件簿」 バックナンバー

ピックアップコンテンツPR

企画特集PR

事列解説

ソリューション

インタビュー

デジタル製品

ZDNet JapanスペシャルPR

企画特集一覧へ

カテゴリーランキング
  1. 特許庁の端末がトロイの木馬に感染--未公開情報の流出は確認されず - ZDNet Japan
  2. 恒例のセキュリティかるた大会は今年も白熱 遊びの場で啓発し続ける意味 - ZDNet Japan
  3. サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法 - ZDNet Japan
  4. AV-Test.orgが「Microsoft Security Essentials」の性能テストを実施 - ZDNet Japan
  5. 気づかないまま1年…こっそり仕掛けられるキーロガーの脅威にご注意 - ZDNet Japan
スペシャルPR
新着企業動向

企業動向一覧へ

ZDNet Japanは、情報システム部門の読者を対象に、ITを活用したビジネス課題の解決策を提供します。技術や製品の解説、ケーススタディ、ホワイトペーパーなどを通じて、情報システム部門の正しい意志決定を支援します。

ITビジネス全般については、CNET Japanをご覧ください。