目次
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2023/7/5
教員個人情報の学内ネットワークシステムへの誤掲載について -専修大学
https://www.senshu-u.ac.jp/news/nid00019795.html
現職教員(名誉教授を含む)のみが利用可能なネットワークシステム上に、現職教員及び退職教員あわせて5261名分の個人情報を誤って掲載する事案が発生しました。
半日ほど内部者用のネットワークに個人情報が掲載され、閲覧者によるダウンロードも行われたようです。
ダウンロードの意図は不明ですが、これがメールでの転送であった場合、人伝えに情報が流出する可能性もある事象でした。
信頼されるユーザーのみが参加している場合を除きますが、内部ネットワークに情報を公開する際にも不特定多数の目に留まり、外部に情報が渡る可能性を意識しておきましょう。
2023/7/6
「社労夢シリーズ」一部サービス再開のご報告 -エムケイシステム
https://www.mks.jp/company/topics/20220703a
2023年6月5日(月)からサービス停止していた「社労夢シリーズ」の一部サービス再開について、ご報告いたします。
以前のブログ記事で取り上げた時から一か月ほど経ち、サービスが一部再開したようです。これは一か月間サービスが滞るほどの損害が生まれたということです。
ランサムウェア攻撃を実際に被るとサービスが停止することによる損害や、攻撃者からの身代金への対応など業務に莫大な被害が及びます。
これを予防するにはネットワーク機器の脆弱性対策や侵入検知ソフトウェアの導入に加え、ソーシャルエンジニアリングへの理解と防止ができる環境づくりが重要になります。また、セキュリティの外部専門家との連携により対策を講じることでより脅威への適切な防御が実現されます。
2023/7/7
個人情報漏えいのインシデントにおけるお詫びとお知らせ -ガイアックス
https://gaiax-socialmedialab.jp/news/post-144187/
お申込みサイトで入力した内容を第三者が閲覧できてしまうことが発覚しました。
お申し込みフォームの画面に第三者の入力情報を閲覧できる脆弱性が存在していたようです。
開発段階の機能テストでは想定されなかった操作が可能であったと推測できます。
弊社の脆弱性診断サービスではWEBアプリケーションにこのような事象がないかを調査し、どの程度アプリケーションが安全なのかを確認することができます。
不特定多数がアクセスでき、同時に個人情報も扱う場合、情報漏洩を防ぐためにはシステムの堅牢性と運用者のリテラシー双方を保つことが必要になります。これを一組織内のみで実現するのは困難な場合もあるでしょう。まずは外部サービスやセキュリティ専門家の協力を積極的に取り入れる方針がシステムの安全性を保つ第一歩かもしれません。
担当: HO