クラウドセキュリティ

2023.10.16

転職先へ名刺データの不正持ち出し　問われる企業の管理体制
～2023年9月の気になるセキュリティニュース～

LANSCOPE プロフェッショナルサービス

転職先へ名刺データの不正持ち出し　問われる企業の管理体制<br>～2023年9月の気になるセキュリティニュース～

トピックス
 主なマルウェア・不正アクセス関連
 主要なOS、ミドルウェアにおけるインシデント
 その他、政府・業界動向など
 最後に

脆弱性診断について詳しくご紹介

「LANSCOPE プロフェッショナルサービス」は、
最新の攻撃手法と最適な対応策を探求するセキュリティプロフェッショナルチームがサービスを提供しています。

サービスの詳細を見る

トピックス

以前勤務していた企業の営業先などに関する名刺データを、不正に転職先側に提供したとして、40代男性が警視庁に逮捕されました。
名刺データは「営業秘密」に該当しなくても、安易に外部へ持ち出せば罪に問われかねません。自社の情報漏洩を防ぐため、企業側の管理体制の強化も必要と考えます。

転職先へ名刺データを提供、個人情報保護法違反で逮捕

個人情報保護法違反などの疑いで逮捕された男性には、転職元の名刺情報管理システムのログインIDやパスワードを転職先の社員に共有し、営業先の名刺データを不正に提供した疑いが持たれています。同システムには数万件の名刺データが保管され、共有されたIDやパスワードを使えば、すべて閲覧できたとのことです。
名刺をデータ化してクラウド上で管理するシステムを利用する企業では、名刺などの顧客情報を部署やチーム単位で共有しているケースも多くみられます。これらの情報が漏洩した場合には、不正に提供した社員自身も罪に問われ、企業が損害を受ける可能性があるため、こうした内容を社内に周知・教育することや、情報管理システムへのアクセスを社内に限定する等の対策も必要と考えます^[1]。

主なマルウェア・不正アクセス関連

自動車メーカー　社内サーバーに不正アクセス、個人情報10万件超漏洩か

国内大手の自動車メーカーは、同社のサーバー機器が不正アクセスを受け、グループ会社を含む従業員の個人情報約10万件超が漏洩した可能性があると発表しました^[2]。今年7月に同社内に設置したアプリケーションサーバーの脆弱性が悪用され、アカウント情報の管理システムが不正アクセスを受けたとのことです。外部セキュリティ専門家のフォレンジック調査にて、影響範囲の特定に時間を要したため、発表が遅れたとしています。

公共放送局　社内サーバーに不正アクセス、個人情報約2万件漏洩か

公共放送を担う特殊法人は、同法人の業務サーバーが外部からの不正アクセスを受け、職員ら約2万3,000人の個人情報が漏洩した恐れがあると発表しました^[3]。一般視聴者などの受信契約者の情報は含まれておらず、不正利用などの二次被害も確認されていないとしています。ただ漏洩の可能性を完全に否定することは難しいことから、同法人では情報漏洩の恐れがある対象者には、本人に通知等を行うとしています。

主要なOS、ミドルウェアにおけるインシデント

該当する製品を利用している場合は、システムへの影響などに鑑み、対策などを速やかに実施することが推奨されています。

WebP Codecに関するゼロデイ脆弱性（CVE-2023-4863）

米Google社の「Chrome」や米Microsoft社の「Edge」など、主要Webブラウザが重大なゼロデイ脆弱性に対処するアップデートをリリースしました^[4]。この脆弱性は、GoogleのWeb向け画像フォーマット「WebP」のヒープバッファオーバーフローに関するもので、既に悪用が確認されているとしています。この脆弱性が悪用されると、システムの制御やデータの窃盗、マルウェアの注入などが可能になるとし、利用者へ注意を呼びかけています。

Ciscoセキュリティ製品のVPNに関するゼロデイ脆弱性（CVE-2023-20269）

Cisco Systems社が提供するVPNを標的としたゼロデイ攻撃が確認されているとして、同社では注意を呼びかけました^[5]。Cisco Adaptive Security Appliance（ASA）やCisco Firepower Threat Defense（FTD）のVPN機能の脆弱性が、ゼロデイ攻撃の標的となり、ランサムウェア攻撃に利用されているとしています。脆弱性を修正するアップデートは準備中として、同社では回避策の実施などを呼びかけています。

その他、政府・業界動向など

令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について

警察庁は「令和5年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました^[6]。この文書では、令和5年上半期におけるサイバー攻撃やサイバー犯罪の情勢および今後の取り組みについてまとめられており、今期の脅威情勢として、DDoS攻撃によるWebサイトの閲覧障害の事例、クレジットカードの不正利用被害額の増加、データを暗号化せずに窃取し対価を要求する攻撃（ノーウェアランサム攻撃）の被害などを挙げています。

個情委、公金受取口座の誤登録問題でデジタル庁・国税庁へ行政指導

個人情報保護委員会は、別人のマイナンバーと公金受取口座の情報を紐付けた誤登録の問題を受け、デジタル庁に対して行政指導を行いました^[7]。特定個人情報の取り扱いや報告体制、組織的な安全管理措置に問題があったとし、組織間での適切な情報共有と、安全管理体制について整備するよう指導しました。
税務署においても同様の問題が発生していることから、国税庁に対しても取扱規程など手順の見直しや、職員への監督・教育を確実に行って再発を防止するよう指導を行っています。

[出典]

最後に

本記事は、2023年9月に報道されたセキュリティニュースをもとに、特に注目するセキュリティ情報を掲載しています。
注目するセキュリティニュースをまとめて掲載することで、読者の皆さまがよりセキュリティに興味を持ち、日々の対策にご活用いただくきっかけとなれば幸いです。