ブログ内検索 Site Search
アーカイブ Archive
最新記事 Latest Articles
最古記事 Oldest Article
2018年3月26日17時25分に日本経済新聞電子版から、下記趣旨の記事がネット配信されていた。
定期的に変えるのはかえって危険―――。
総務省がインターネット利用時のパスワードについて、従来の“常識”を覆すような注意喚起を始めた。
「推測しやすい文字列になって、不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。
方針転換に困惑する声も少なくない。
「定期的にパスワードを変更しましょう」。
3月1日、総務省の「国民のための情報セキュリティサイト」から、こんな記述が消えた。
2017年秋に「定期変更は不要」との文言を追加したことを受け、矛盾を解消したという。
パスワードは第三者による「なりすまし」を防ぎ、ネット上の個人情報や財産を守る。
ハッカーなどは他人のパスワードを把握しようと、文字の組み合わせを全て試す「総当たり攻撃」や、よく使われる語句を手当たり次第に試す「辞書攻撃」などを仕掛けてくる。
パスワードの定期変更は、不正を防ぐ有効な手段とされてきた。
しかし、サイバー攻撃が盛んになる中、米国などでは16年ごろから「定期変更を要求しない方がいい」という意見が高まってきた。
日本でも同年12月、サイバー攻撃対策を担う内閣官房の内閣サイバーセキュリティセンター(NISC)が「必要なし」とする見解を示し、これを受けて総務省もサイトを変更した。
IT会社ソフトバンク・テクノロジー(東京)の辻氏によると、頻繁に変更を求められると、少ない字数で覚えやすい語句を使ったり、変更前と似た語句を使ったりするようになり、他人が類推しやすくなる。
例えば「Yamada201803」といった名字と年月、誕生日などを組み合わせ、末尾の数字だけを毎月「01」「02」……と変更する方法だ。
さらに、多数の機器やサービスでの定期変更が面倒になり、同じパスワードを使い回してしまうことで、芋づる式に個人情報などを盗まれるリスクも高まる。
政府の方針は省庁間でも十分に浸透していない。
経産省が16年3月に改訂した情報セキュリティ管理基準には「パスワードは定期的に及び必要に応じて変更させるようにする」と明記。
同省の担当者は、「省庁ごとに基準が異なると混乱を招きかねないため、変更も含めて検討する」という。
東京都内のある機械整備会社は、社員に数カ月ごとにパスワードを変更するよう求めている。
担当者は、「定期変更が不要とは知らなかった。これまでの呼びかけは何だったのか」とがくぜん。「早めにルールを見直した方がいいのだろうか……」と漏らす。
安全なパスワードを設定するには、どのような点に気をつければいいか。
NISCは「英語の大文字と小文字、数字、記号を組み合わせ、少なくとも10桁にするのが望ましい」としている。
規則性のある文字列や単語は使わず、不規則で複雑なものが望ましい。
また、盗まれた端末からログインされるのを防ぐため、ネット閲覧ソフトに自動でパスワードを記憶させる機能も使わない方がよいという。
変更のタイミングについては「パスワードが破られ、サービスが不正利用されたことが判明した時。その場合は速やかにパスワードを変更した上で、破られた原因についても特定してほしい」としている。
出典
『パスワード「頻繁に変更はNG」 総務省が方針転換』
https://www.nikkei.com/article/DGXMZO28578370W8A320C1CC1000/?n_cid=NMAIL007
少し古いが、2017年10月18日付で日経TECHからも、同趣旨の記事がネット配信されていた。
2017年6月に全面改定が行われた米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の中には、「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。
複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。
これは、研究成果からも判明している。
OpenIDファウンデーション・ジャパンでSP800-63の翻訳を手掛けるメンバーの1人である、NRIセキュアテクノロジーズの勝原サイバーセキュリティ技術開発部セキュリティコンサルタントは、定期変更要求の非推奨につながった研究成果を紹介する。
米ノースカロライナ大学は、過去に大学に在籍していた学生とスタッフの1万のアカウントが使っていた、5万1141個のパスワードを解析した。
同大学は、パスワードは3カ月で変更が要求されるポリシーで運用していた。
結果として分かったのは、利用者はパスワード変更時に、推測されやすい以下の「変換」を行っていることだ。
・数字を増やしていく(例:1を2にする)
・類似した文字を置き換える(例:Sを$に変換)
・記号を追加/削除(例:末尾につけた!!!を!!にする)
・数字や記号の位置を移動する(例:末尾の数字を先頭に移動
する)
過去のパスワードが分かっている場合、利用者が次に選ぶパスワードの17%は5回以内の試行で推測可能で、パスワードの41%は3秒以内に推測可能だった。
研究を解説した米商務省のローリー・クレイナー チーフテクノロジストのブログ記事
パスワードの定期変更の狙いは、「不正ログインをされているかもしれない」というリスクに対して、侵害されている可能性のある期間を短くするためだ。
変更した後、攻撃者による不正ログインが不可能にならなければ意味がない。
しかし、そうした目的を達成するような変更を実施している利用者は少なかった。
EGセキュアソリューションズの徳丸代表取締役は、利用者心理をこう説明する。
「利用者がパスワードに使えるエネルギーの総量は一定だ。あれもこれもと要求されると、どこかで手を抜く。定期変更時に末尾の数字を変えるだけだったり、『どうせ変更するから』という意識でパスワードの複雑性を下げたりする」。
ソフトバンク・テクノロジーの辻・脅威情報調査室プリンシパルセキュリティリサーチャーは、「定期変更を要求され、そのたびに複数のWebサイトでパスワードを覚え直したり、メモを書き直したりするのはとても手間が掛かる。パスワードの使い回しを誘発する原因にもなっていると思う」と分析する。
「人間が怠惰でなければ、定期変更のデメリットは出ないかもしれない。でも、実際の人間はそうではない」。
EGセキュアソリューションズの徳丸代表取締役は、苦笑しながら話す。
・・・・・
出典
『パスワードを定期的に変えるのはデメリットが多い!?変更すべき4つの場合』
http://tech.nikkeibp.co.jp/it/atcl/column/17/092800400/101500004/
[0回]
2017年11月29日18時16分にNHK大分から、下記趣旨の記事がネット配信されていた。
29日午前11時すぎ、臼杵市を流れる佐志生川の山崎橋に設置されている水位計がはん濫危険水位を超えたと、県の防災メール「安全・安心メール」を通じて配信された。
しかし、これは誤った情報で、県はおよそ20分後に、情報は誤りだとして訂正と謝罪のメールを配信した。
大分県河川課によると、山崎橋では29日、外部の業者に依頼し、水位計を取り替える作業が行われていた。
水位計は10分おきに自動で情報を発信するため、電源を入れた状態での作業は、この10分の間に終えなければならないが、作業に時間がかかり、誤った水位の情報が発信されてしまったという。
誤った情報は、県の防災メールシステムに事前に登録をしているおよそ1700人に配信されたということで、大分県河川課の後藤課長は、「誤った情報を発信してしまい、申し訳ありませんでした。今後は作業中のミスをなくし、再発防止に努めたい」と話している。
出典
『県が誤った河川水位情報を配信』
http://www3.nhk.or.jp/lnews/oita/5073129831.html
12月1日付で大分合同新聞からは、下記趣旨の記事がネット配信されていた。
県は29日、防災情報を知らせる「県民安全・安心メール」で誤った河川の水位情報を配信した。
業者が水位計の更新作業手順を誤ったことが原因。
県河川課によると、午前11時20分ごろ、「臼杵市を流れる佐志生川で氾濫危険水位を超えた」との情報を送り、1697人が受信。
約20分後に「ご迷惑をおかけしました」と訂正した。
当時、更新した水位計が正常に作動するかを確認していた。
本来は電源を切らなければならないが、入れたまま作業を続けたため、誤配信が起きた。
同課は、「再発防止のため、業者に作業手順の徹底を呼び掛ける」と話している。
出典
『防災メール誤配信 臼杵佐志生川 水位計の確認中』
https://www.oita-press.co.jp/1010000000/2017/11/30/JD0056392550
(ブログ者コメント)
装置トラブル時に「異常あり」の情報が流れたことから考えると、フェイルセーフで設計されたシステムだったのかもしれない。
[0回]
2017年11月9日10時11分に読売新聞から、下記趣旨の記事がネット配信されていた。
島根県浜田市は8日、同市弥栄町長安本郷の新川橋(長さ17.5m、幅5.1m)で、県の点検により橋げたにひび割れが見つかったのに、管理する市が2年以上、補修などをしていなかったと発表した。
市は今年5月に事態を把握して、改めて調査するとともに、7月26日に通行止めにした。
迂回路はあり、年度内に橋の廃止を含めて対応を検討する。
発表によると、新川橋は長安川に架かる農道のコンクリート橋。
1965年3月に県が建造し、合併前の旧弥栄村に譲与。
現在は市が管理し、近くの住民らが利用している。
県は、2014年7月~15年2月に同橋を点検した際、路面裏の一部にひび割れを確認。
国の基準で速やかに対策が必要な「レベル4」と診断したが、市に報告されたかどうかは、県が「15年3月頃に担当者が市に説明した」とする一方、市は「担当者は協議した記憶がないと話している」としている。
記者会見した市産業経済部の田村部長は、「点検結果が確実に伝わらなかったのは、連携のまずさがあった。危機管理意識が希薄で深く反省している」と陳謝し、経緯を検証する考えを示した。
出典
『橋のひび県が確認、市に報告うやむやで補修なし』
http://www.yomiuri.co.jp/national/20171109-OYT1T50031.html
[0回]
2017年10月20日19時51分に産経新聞から、下記趣旨の記事がネット配信されていた。
小学館は20日、6月23日に出版した図鑑「小学館の図鑑NEO きのこ」で紹介した毒きのこの「ヒョウモンクロシメジ」の説明で、食べると下痢や嘔吐を引き起こすにもかかわらず、誤って「食用」と記載していたとして回収すると発表した。
編集部が監修者からの修正指示を見落としていたことが原因で、20日に読者から指摘があり発覚した。
5万部が発行され、すでに約1万6000部が販売されたが、これまでに誤記載による健康被害は報告されていないという。
同社によると、誤記載があったのは同書の25ページ左下の説明文で、「毒」と記載すべきところを「食用」としていた。
ヒョウモンクロシメジは少量でも食べると、下痢や吐き気、嘔吐などの胃腸系の中毒症状が出るという。
同社は、「多大なご心配とご迷惑をおかけして深くお詫びする。もしヒョウモンクロシメジを発見した場合には、決して召し上がらないよう注意してほしい」と謝罪した。
購入者には、正しく記載された本に交換するとしている。
出典
『小学館、図鑑で毒きのこを「食用」と誤記載・回収 食べると下痢や嘔吐』
http://www.sankei.com/affairs/news/171020/afr1710200032-n1.html
10月20日20時31分に時事通信からは、下記趣旨の記事がネット配信されていた。
小学館は20日、6月に発売した「小学館の図鑑NEO きのこ」で、毒きのこの「ヒョウモンクロシメジ」を、誤って「食用」と記載していたと発表した。
健康被害は報告されていないという。
日本きのこセンター菌蕈(きんじん)研究所(鳥取市)によると、ヒョウモンクロシメジは秋の雑木林に生え、食べると30分~3時間後に腹痛や嘔吐、下痢などの症状が表れる。
小学館によると、編集の過程で転記ミスがあり、監修者からの修正指示も担当編集部が見落としていた。
今後は編集体制を強化し、再発防止に努める。
購入者からは送料着払いで回収し、後日訂正した図鑑を返送する。
出典
『毒きのこを食用と誤記=「小学館の図鑑NEO きのこ」』
https://www.jiji.com/jc/article?k=2017102001176&g=soc
[0回]
2017年6月15日4時13分にgooニュース(西日本新聞)から、下記趣旨の記事がネット配信されていた。
福岡県柳川市は、14日、保管期間が過ぎた30〜50年前の中学校の指導要録など文書約400枚を、廃棄処分にするため運搬中、誤って同県八女市立野の県道に落としたと発表した。
警察に落とし物の届け出があって発覚。
職員25人で現場の県道沿い1kmを3時間半にわたって捜索し、ほぼ全てを回収したという。
会見した成松副市長は、「個人情報が記載された文書を一時紛失し、誠に申し訳ない」と謝罪した。
市の説明によると、落としたのは旧矢留中と旧両開中の生徒の指導要録と成績一覧表。
指導要録には、当時の生徒の氏名、住所、保護者名、生年月日に加え、成績や行動の記録、出欠日数などが記入されていた。
両校の合併でできた柳南中から同日午前、柳川市クリーンセンターに持ち込まれ袋詰めにされた後、市廃棄物対策課の職員2人が、再生利用するため、八女市の製紙会社にダンプで運んでいた。
柳川市は「袋の口の結び方が緩かった」とみている。
袋はロープで荷台にくくりつけていたが、覆いはしていなかった。
成松副市長は再発防止策として、「袋を閉める際の職員による二重チェックと、廃棄文書の搬送車に覆いを掛けることを徹底する」と述べた。
出典
『学校文書400枚落とす、職員25人で3時間半捜索しほぼ回収 廃棄運搬中、福岡県柳川市』
https://news.goo.ne.jp/article/nishinippon/nation/nishinippon-20170615120854806.html
6月15日付で朝日新聞筑後版(聞蔵)からも、同趣旨の記事がネット配信されていた。
市によると、同日、2校統合後の市立柳南中の職員が、市クリーンセンターに廃棄文書が入った段ボールを持ち込み、袋に詰め替えして4トントラックで運搬中だった。
文書が入った9袋のうち、1袋の上部のヒモが緩んでいたのが原因という。
[0回]
2017年4月28日8時9分に朝日新聞から、下記趣旨の記事がネット配信されていた。
秋田市が、3月、市内14万戸に全戸配布した洪水ハザードマップのうち、北西エリア版(4万部)と中央エリア版(9万部)に計42カ所、誤った記載があることがわかった。
エリア内の幼稚園や医療機関などの施設のデータを、2年前から更新せずに使っていた。
市は平謝りで、修正版との交換に応じている。
このマップは、市内を流れる雄物川などが大雨で氾濫したときの浸水想定区域を、水深に応じて色別に表したもの。
国が昨年夏に想定区域を見直したのを受け、市は同年10月、マップを作り直す作業を開始。
そして920万円をかけて、市内5エリアと市全図の計6種類のマップを計15万部刷り、10年ぶりに全戸に配った。
想定区域には、いざ避難するときに手助けが必要な子どもやお年寄りがいる「要配慮者利用施設」がある。
マップでは、それらの施設の所在地に番号を振り、一覧表にして番号と対応する施設名を載せた。
ところが、作業を担当した市の職員が、施設名などのデータを一昨年3月末時点の状態から更新するのを怠ったまま、印刷会社に送ってしまった。
その結果、マップを配り始めてから約1週間後、市内の女性から「施設名が間違っている」と苦情電話が来た。
市が改めて確認すると、
▽認定こども園「山王幼稚園・保育園」を、以前の「山王幼稚園」や「山王幼稚園附属さんさん保育園」と表記
▽閉鎖した婦人科や産婦人科のクリニックやデイサービス施設を記載
▽施設の所在地が違う
など、北西エリア版で9カ所、中央エリア版で33カ所の間違いが見つかった。
市は、今月20日、ホームページの防災コーナーで訂正を公表した。
修正版との交換を希望する人には、市民サービスセンターやコミュニティセンターなどで応じている。
市防災安全対策課の夏井課長は、「災害から身を守るために作製しているマップに誤記載をすることはあってはならず、深くおわびする。今後は作業工程を見直し、確認を徹底したい」と話している。
出典
『防災マップ間違いだらけ 秋田市、更新怠り平謝り』
[0回]
2017年2月10日7時38分に読売新聞から、下記趣旨の記事がネット配信されていた。
2月10日付で毎日新聞東京版から、2月10日8時49分に岐阜新聞から、2月9日20時49分にNHK NEWS WEBから、2月14日20時23分に朝日新聞からも、同趣旨の記事がネット配信されていた。
先月30日に出版大手「KADOKAWA」から発行された、岐阜市と織田信長ゆかりの歴史・観光情報を紹介する歴史雑誌「岐阜信長 歴史読本」の中に多数の誤りが見つかったと、市教育委員会が9日、発表した。
同社は9日、資料提供などの協力を受けた岐阜市に担当部長が訪れて謝罪し、作り直すことを明らかにした。
市教委によると、3日に市の関係部署に雑誌を配布したところ、職員らから複数の指摘が市教委に寄せられ、6日に同社へ連絡した。
指摘内容は下記など。
・ハイグレードホテルが廃グレードホテル
・地図で、岐阜市が三重県、岐阜県岐南町や笠松町が愛知県
・写真説明で、昭和4年の西暦が1828年
・信長の参謀として活躍した僧「沢彦宗恩」と軍師「竹中重治(半兵衛)」の説明文が入れ替わり
・別々のホテルと旅館の紹介文で、重複した部分がある。
同社によると、雑誌の編集は同社が行っているが、校正は別会社に発注していた。
この本の校正を担当した東京・新宿区の出版関連会社「ぷれす」の社長によると、KADOKAWAから依頼を受け、校正作業を行った上で年明けに納品したが、一部が反映されないまま出版されてしまったという。
社長は、
・問題発覚後に、依頼された原稿を再確認したところ、市などから指摘があった箇所は、全て「ぷれす」の校正者が誤りを伝えていた。
・印刷の段階で本の内容のデータが入れ替わることがあるため、最終的なチェックが重要だが、そこが十分ではなかったのではないか
・校正した原稿に地図が入っていないなど、指摘のしようのない部分もあった
と説明しているが、インターネット上で「ぷれす」に対し、「校正が甘い」などの風評が立ってしまったという。
社長は「長年コツコツと築き上げてきた信用に関わる問題なので、KADOKAWAさんにはミスが発生した経緯をしっかりと発表してほしい」と話した。
市教委の若山事務局長は、「このような事態に至り、非常に残念。適切な対応をしていただきたい」と話した。
出典
『「信長読本」誤植だらけ…岐阜を三重と表記など』
http://www.yomiuri.co.jp/national/20170209-OYT1T50167.html
『歴史読本 信長さん、本の字「変」 ミス30カ所、KADOKAWA作り直し』
http://mainichi.jp/articles/20170210/ddm/041/040/035000c
『信長読本、一転刷り直し SNSで反響、謝罪』
http://www.gifu-np.co.jp/news/kennai/20170210/201702100849_28992.shtml
『“岐阜市は三重県に” 大手出版社の歴史の本に多くの誤り』
http://www3.nhk.or.jp/news/html/20170209/k10010870781000.html
『信長読本のミス 編プロ「校正で誤り指摘、反映されず」』
http://www.asahi.com/articles/ASK2G5D4GK2GOHGB00G.html
2月15日付でKADOKAWA社のHPに、以下の社内調査結果報告が掲載されていた。
社内調査の結果、こうした事態を招いた原因として、以下の 2 点を認識しております。
第1 に、本来 2 回行うはずの校正・校閲作業が『岐阜信長歴史読本』では、1回しか行われていなかった事実 です。
弊社では「校正・校閲は 2 回以上行う」ことを編集製作の大原則としております。
校正・校閲作業の結果が的 確に反映されていることの確認、また、出版物の内容・体裁が発行に適正かどうか精査するためには、複数の校正・校閲作業が必然だと考えているからです。
しかし今回の『岐阜信長歴史読本』の編集製作過程においてはスケジュール管理の不備から、その大原則が遵 守されておりませんでした。
第2には、『岐阜信長歴史読本』編集部内での校正刷の内容確認作業において、組織的なチェック体制が機能 していなかった、という事実です。
以上のことから、今回の事態は歴史読本編集部ならびに所管するビジネス・生活文化局、ひいては弊社として の業務管理体制の不備に起因するものであったと強く反省しております。
・・・・
http://ir.kadokawa.co.jp/topics/20170215_n3evi.pdf
(ブログ者コメント)
〇上記以外、以下のようなミスもあったような気がする。
・原稿作成者が、自分が書いた原稿を見直さなかった
・校正会社への校正依頼時、原稿に地図を添付しなかった
・印刷所に原稿を送る際、最終版であることを確認しなかった
〇ちなみに、ブログ者のパソコンで「はいぐれーどほてる」と入力すると、一発で「廃グレードホテル」と変換された。
[0回]
2017年1月26日5時0分に福井新聞から、下記趣旨の記事がネット配信されていた。
ネット上で「福井県 道路の状況」などと検索すると表示される福井県の「道路の状況」ページのリンク先の一つが、人気ゲームの攻略法紹介サイトにつながる状態だったことが、24日、分かった。
県によると、このページは既に運用しておらず、「古い情報のページのリンク先がゲームのサイトに変わっていた」として、同日中にページに接続できないようにした。
このページは県が作成したが、最終更新日は「2009年11月4日」。
ページには「福井県」の表題と、道路の積雪状況などを提供する複数のサイトがリンク先として表示されたが、その一つがゲームの攻略サイトにつながる状態になっていた。
県によると、リンク先のサイトが閉鎖され、当時のリンク先と同じドメインでゲームサイトが設置されたのが要因とみられるという。
県内各地が雪に見舞われ、道路情報への関心が高まる中で、7年以上前に運用をやめたページにアクセスできる状態だったことについて、担当の県危機対策・防災課は、「今後はきっちり管理していく必要がある。最新の情報はちゃんと更新し、県のサイトで提供しているので活用してほしい」としている。
出典
『県ページリンク先がゲーム攻略法 同じドメインでサイト設置される』
http://www.fukuishimbun.co.jp/localnews/society/113911.html
[0回]
2016年7月9日20時3分に日本経済新聞から、下記趣旨の記事がネット配信されていた。
7月9日19時48分に朝日新聞からも、同趣旨の記事がネット配信されていた。
大阪府泉大津市選挙管理委員会は、9日、参院選当日用の選挙区と比例代表の全投票用紙計8万3760枚を誤って廃棄処分していたと発表した。
府などに予備の投票用紙を手配し、10日の投票には支障がないとしている。
市選管によると、市内の20カ所の投票所で使用する予定だった4万1880人分。
6月9日に府選管から配布された用紙を、市庁舎1階の市民課にある金庫室で段ボール箱3箱に入れて保管していたが、選管職員が9日早朝、投票所に交付するため確認しようとして、用紙がないことに気付いた。
防犯カメラを確認したところ、市民課の職員数人が、1日、保存期限が過ぎた文書を入れた段ボール箱を廃棄する際に一緒に運び出していた。
投票用紙はお茶のペットボトルの空き箱に入れられ、職員らは気づかなかったという。
箱はごみ処理場に持って行き、焼却処分した。
市選管によると、市民課には金庫室で保管することをあらかじめ伝えてあったが、職員らは失念していたという。
市選管の天野事務局長は、「大変申し訳ない。管理方法を改め、再発防止に努めたい」と話した。
泉大津市選管から連絡を受けた大阪府選管は、府の予備分として用意していた2万枚のうち1万9千枚と、点字用600枚のうち200枚を提供。
近隣の堺市と岸和田市からも届けられた。
総務省によると、2014年の衆院選や13、10年の参院選で、各選管からの報告に同様の事例はなかった。
府選管の担当者は、「ここ5年ほどで、少なくとも府内では聞いたことがない」と話している。
庁舎内にある市選管では、同日午後、報道で誤廃棄を知った市民から、「どういう管理してるんや」、「なんでこうなった」といった苦情の電話が相次ぎ、約10人の職員が事情の説明に追われた。
出典
『投票用紙8万枚を誤廃棄 大阪・泉大津、職員が焼却』
http://www.nikkei.com/article/DGXLAS0040007_Z00C16A7000000/
『投票用紙8万枚、誤って焼却 参院選前日に気づく』
http://www.asahi.com/articles/ASJ795KNMJ79PPTB004.html
(ブログ者コメント)
箱にどのような表示をしていたのだろうか?
ブログ者であれば、「今回選挙用投票用紙 7月9日引き取り予定 選管」などと赤太字で大書した紙を貼っていたところだが・・・。
[0回]
2016年6月27日10時34分にテレビ朝日から、下記趣旨の記事がネット配信されていた。
佐賀の県立高校の「教育情報システム」に不正にアクセスしたなどとして、無職の17歳の少年が再逮捕された。
生徒の個人情報など、20万ファイル以上を不正に入手したとみられる。
佐賀市の無職の少年は、佐賀県の県立高校生徒の個人情報を管理する教育情報システムに不正にアクセスした疑いなどが持たれている。
警視庁によると、少年は、学校の教職員用のIDやパスワードを使ってこのシステムにアクセスしたとみられ、少年のパソコンからは、少なくとも6校分の職員や生徒・保護者の住所や電話番号などを含む20万ファイル以上の個人情報が見つかった。
少年はさらに、不正に入手した情報を佐賀県内に住む複数の少年とネット上で共有していたとみられる。
出典
『佐賀の県立高の個人情報、20万ファイル以上が流出か』
http://news.tv-asahi.co.jp/news_society/articles/000077877.html
6月27日13時45分に毎日新聞からは、下記趣旨の記事がネット配信されていた。
「ICT(情報通信技術)化が最も進んでいる佐賀県のシステムが破られた。とても驚いている」。
佐賀県立高校の生徒の成績などが流出した事件で、文部科学省の担当者はショックをあらわにした。
同省は、27日、佐賀県教委に事実関係の早急な報告を求めた。
全国の公立小中高校の普通教室に設置されている電子黒板の整備率(2015年3月時点)は、全国平均が9%なのに対し、佐賀県は76.5%で全国1位。
パソコンの整備状況も生徒2.6人に1台と全国トップで、国が第2期教育振興基本計画(13〜17年度)で定める目標の3.6人に1台を唯一、超えており、ICT化の先進地域として知られていた。
同省によると、児童や生徒の学籍や成績などの情報をコンピューターで管理するシステムは「校務支援システム」と呼ばれ、各地の学校で導入が進んでいる。
教職員同士が情報を共有することで、きめ細かな指導をしたり、教員の校務負担の軽減を図ったりするメリットがあるとされる。
佐賀県のシステム「SEI−Net(セイネット)」は、全国に先駆けて、13年度から導入された。
学校側が授業支援のためのデジタル教材を提供し、児童生徒が家庭でダウンロードして予習や復習に利用したり、ネット経由で相談に乗ったり、学校行事の確認をしたりすることも可能にしていた。
佐賀県教委によると、このシステムには5月1日現在で小中学生3万4739人、高校や特別支援学校などの県立学校生5万6590人、教職員7987人の情報が登録されていた。
教職員が成績や住所などの個人情報にアクセスするには、校内ネットワークに接続したうえで、IDとパスワードを入力する必要がある。
児童生徒は、IDとパスワードを入力すれば、校外からでもネットに接続して、自分のテスト結果や電子教材などは閲覧できるという。
出典
『不正アクセス 「最先端の佐賀県システム破られるとは」』
http://mainichi.jp/articles/20160627/k00/00e/040/156000c
7月7日1時22分に西日本新聞からは、下記趣旨の記事がネット配信されていた。
佐賀県の教育情報システムが不正侵入され、延べ1万5千人分の個人情報が流出した事件は、7日で発覚から10日になる。
「情報通信技術(ICT)教育先進県」を標榜する佐賀県の情報管理の甘さが浮き彫りになり、識者からは、「原因の解明と運用方針の見直しが急務だ」との声が上がる。
「どこまで広がっているか分からない」。
佐賀県教育委員会は、成績や家庭環境調査など流出した情報がどこまで拡散したのかつかめておらず、不正アクセス禁止法違反の疑いで逮捕された無職少年(17)と関わりがあった県内の高校生15人から聞き取り調査を進める。
県教委や学校には、5日までに「うちの子の情報は大丈夫か」と心配する保護者らから133件の相談や問い合わせがあった。
少年を逮捕した警視庁や県教委によると、少年は独自開発した攻撃用ソフトウエアを使って佐賀県独自の「教育情報システム(SEI-Net)」に接続。
県立中学、高校などにある校内ネットワークにも、無線LAN経由で侵入していた。
警視庁の調べに少年は、「教育機関や教員に恨みがあった」、「中学時代にいじめを受け不登校になった。その際の学校と教員の対応に不満があった」などと供述しているという。
校内ネットワークへの不正侵入で、少年はほとんどの情報が閲覧できる管理者用のIDやパスワードを入手。
これらは、教員や生徒が個人IDで閲覧できるファイルに暗号化して保管されており、「ある程度の専門知識があれば解読できる」(県教委)状態だった。
県教委は、被害を食い止める機会も逃していた。
昨年6月、何者かの不正アクセスで、校内ネットワークのアクセス権限が変更されたことが判明。
県教委は、情報流出の痕跡がなかったことから、管理委託業者にパスワードを変更させただけで、警察への通報も、内部協議もしなかった。
今年1月、別事件で押収された少年のパソコンから大量の個人情報を含むファイルが見つかる。
県教委は、2月、警視庁から情報流出の可能性とシステムの脆弱性を指摘されたが、生徒や教員のIDやパスワードを変更しただけで、5月には、「少年にやり方を教えてもらった」と話す男子生徒(16)の不正侵入を許す。
県教委の担当者は、「今考えると情報管理の認識が甘かった」と認める。
「なぜそんな運用をしていたのか…」と驚くのは、長崎県教委の担当者。
同県も成績などのネットワーク管理を進めるが、アクセスは県教委と学校内のパソコンからしかできず、指静脈認証が必要という。
福岡県は、あらかじめ登録された教職員のパソコンから専用回線を利用しないと、接続できない仕組み。
「そもそも、全てが閲覧できるIDがあること自体が問題だ」と首をかしげる。
情報セキュリティーの専門機関、独立行政法人情報処理推進機構の白石歩調査役は、「ネットワークの情報管理対策は日々刻々と変わり、100%守れるものではない。不正アクセスされた場合でも重要情報は簡単に閲覧できないよう、個別に『鍵を掛ける』工夫も必要だ」と指摘した。
出典
『「情報先進県」管理は“素人” 佐賀・少年不正アクセス事件』
http://www.nishinippon.co.jp/nnp/saga/article/257034
[0回]
2016年6月23日付で河北新報から、下記趣旨の記事がネット配信されていた。
6月22日20時34分にNHK東北NEWS WEBからも、同趣旨の記事がネット配信されていた。
石巻市は、22日、納入業者や建設業者、行政委員などへの各種支払いで305件、1億2603万円を二重払いする事務処理ミスがあったことを明らかにした。
市によると、6月14日午前9時半ごろ、会計課の担当職員が銀行への振り込みデータを、銀行の支払いを行うデータの処理業者に2回送信した。
パソコンでのデータ送信後は、通常、プリンタに結果が印字されるが、プリンタの電源を入れ忘れて印字されなかったため、送信していないと勘違いして、再送信した。
パソコン画面での送信確認も怠った。
1月にシステムを更新する前にはあった、二重送信を防止する機能が働かなかったこともミスにつながった。
データを受け取った処理業者も同じデータと気づかず、そのまま銀行にデータを送った。
6月16日に二重支払いに気付いた住民から銀行に照会があり、判明した。
二重支払いの対象は31人と100社に上り、市は、銀行を通じて返納を依頼。21日までに約3500万円の返納があった。
再発防止策として、今後は管理職が立ち会った上で、銀行振り込みのデータを送信する。
亀山市長は、「関係者に多くの迷惑を掛け、市民の信頼を失墜する事態となった。信頼回復に向け、確認作業を徹底したい」と謝罪した。
出典
『石巻市が事務処理ミス 1億2603万円を二重払い』
http://ishinomaki.kahoku.co.jp/news/2016/06/20160623t13016.htm
『1億2000万円を二重送金』
http://www3.nhk.or.jp/tohoku-news/20160622/3393041.html
[0回]
2016年6月15日付で毎日新聞東京版朝刊から、下記趣旨の記事がネット配信されていた。
6月14日23時19分に産経新聞から、6月15日10時30分に読売新聞から、6月16日6時32分にNHK首都圏NEWS WEBからも、同趣旨の記事がネット配信されていた。
大手旅行会社のJTBは、14日、海外からの不正アクセスによって、最大で約793万人分の個人情報が流出した可能性があると発表した。
取引先を装ったメールの添付ファイルを開き、ウイルスに感染したのが原因。
JTBは警察に被害を相談し、警察は、不正指令電磁的記録(ウイルス)供用や不正アクセス禁止法違反などの容疑も視野に調べている。
流出した恐れがあるのは、「JTBホームページ」、「るるぶトラベル」などのオンラインを利用して2007年9月28日から16年3月21日に予約した顧客の個人情報。
項目は
(1)氏名
(2)性別
(3)生年月日
(4)メールアドレス
(5)住所
(6)郵便番号
(7)電話番号
(8)パスポート番号
(9)パスポート取得日。
パスポート番号のうち、約4300件は、現在も有効という。
提携するNTTドコモの旅行サービス「dトラベル」を利用した33万人分の情報も含まれている可能性がある。
クレジットカード番号、銀行口座情報、旅行の予約内容は含まれていないという。
現時点で、個人情報が悪用された被害は報告されていないとしている。
JTBによると、旅行商品をインターネットで販売する子会社「アイドットJTB」のサーバーに、今年3月15日、巧妙に業務関連のメールに偽装されたメールが送りつけられた。
メールアドレスの『@』マーク以下のドメインは取引先である全日空のもの、『@』より前は日本人のありふれた名字がアルファベットで表記され、メールの表題は「航空券控え 添付のご連絡」となっていた。
本文には、『お世話になっております』などの通常の挨拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、送信元として、実在する取引先の会社名・部署と担当者名の署名もあった。
担当した20代の女性オペレーターが通常の業務と判断して添付ファイルを開封したところ、パソコン6台とサーバー2台がウイルスに感染し、海外への不審な通信が確認された。
JTBによると、不正アクセスを受けた子会社のアイドットJTBでは、知らない人物からのメールは開かないようにしているほか、定期的に標的型メール攻撃に使われるものに似た疑似メールを送るなどの訓練を行っていたが、被害は防げなかった。
JTBの対応も遅かった。
同月19日には、外部のセキュリティー会社から不審な通信があることを知らされていたにもかかわらず、完全に通信を遮断したのは、個人情報がコピーされた同月21日よりも後だった。
この間にサーバーを遠隔操作されたとみられ、1人しかアクセス権限のないサーバーから顧客データをコピーされた。
今回、少なくとも2種類のウイルスの感染が確認され、いずれもパソコンを遠隔操作するタイプだという。
こうした手口について、セキュリティー会社「トレンドマイクロ」の高橋昌也シニアスペシャリストは、「2種類のウイルスを使うことで1つのウイルスが検知されても、もう1つのウイルスで情報を盗み出すねらいがみえる。こうしたサイバー攻撃では、取引先を偽装するのは日常的に行われ、クリックしないという対策は非常に難しい。ウイルスに感染しても、情報が外部に流出しないよう、対処できる仕組みを作ることが大切だ」と話していた。
特定の企業の情報を盗むため取引先を装うメールは、「標的型メール」と呼ばれる。
企業の個人情報をめぐっては、通信教育大手のベネッセホールディングスで、14年に約3500万件の流出が判明。
15年には、日本年金機構に標的型メールが送られ、基礎年金番号や氏名など101万人の個人情報が流出した。
出典
『JTB 不正アクセス、793万人分流出か 旅券番号など』
http://mainichi.jp/articles/20160615/ddm/001/040/177000c
『JTB情報流出 巧妙「標的型メール」 被害防げず 3月19日に判明』
http://mainichi.jp/articles/20160615/ddm/041/040/098000c
『情報流出…JTB、対応後手に 巧妙な標的型メール』
http://www.sankei.com/affairs/news/160614/afr1606140034-n1.html
『JTB個人情報793万件流出か?…標的型攻撃の巧妙な手口』
http://www.yomiuri.co.jp/science/goshinjyutsu/20160615-OYT8T50004.html
『JTB感染は全日空装うメール』
http://www3.nhk.or.jp/shutoken-news/20160616/3189541.html
[0回]
2016年5月28日23時18分にNHK北海道NEWS WEBから、下記趣旨の記事がネット配信されていた。
28日午後7時20分ごろ、JR北海道の指令センターにある、千歳線と室蘭線の信号やポイントなどを自動的に切り替えるシステムにトラブルが発生し、JRでは、一時、新札幌駅と東室蘭駅の間の区間で、手作業でポイントや信号を切り替えた。
この影響で、列車を間引いて運行しているため、札幌などと新千歳空港を結ぶ快速エアポート13本と、普通列車16本のあわせて29本が運休や部分運休となった。
JRによると、トラブルの原因は、システムのサーバーが置かれている部屋の配管の老朽化による水漏れだったという。
システムは、3時間近くたった午後10時に復旧し、JR北海道によると、ダイヤの乱れは今夜いっぱい続くものの、29日は通常通りの運行を予定しているという。
出典
『千歳線などでトラブル影響続く』
http://www3.nhk.or.jp/sapporo-news/20160528/5694301.html
5月29日19時21分にNHK北海道NEWS WEBからは、下記趣旨の記事がネット配信されていた。
5月30日0時16分に北海道新聞からも、同趣旨の記事がネット配信されていた。
JR北海道の千歳線と室蘭線の列車運行管理システムは、28日に続いて29日午前7時すぎ、信号やポイントなどを自動的に切り替えるシステムにトラブルが発生し、これまでに、快速エアポートを含む65本が運休や部分運休となっている。
原因は、システムのサーバーが置かれている部屋の上の階にあるエアコンの結露を排水するための配管が詰まって水漏れしたためだと分かり、28日夜のトラブルは、水漏れを止め、部品を交換して28日中に復旧させたが、29日は、同じ装置の別の部品が不具合を起こしたという。
修理作業は29日正午ごろに終了したが、ダイヤは終日乱れ、札幌駅は2日連続で混乱が続いた。
JRは、ほかの部屋のエアコンの配管の点検も緊急で行うなどして、再発防止を図ることにしている。
出典
『JRトラブル原因は水漏れ』
http://www3.nhk.or.jp/sapporo-news/20160529/5698841.html
『JR北海道、制御装置が連日トラブル 1万3000人影響』
http://dd.hokkaido-np.co.jp/news/society/society/1-0275922.html
2016年5月31日6時35分に北海道新聞から、下記趣旨の記事がネット配信されていた。
30日午前11時ごろ、札幌市内のJR北海道指令センターで、千歳線と室蘭線の列車の信号やポイント(分岐器)を自動制御できなくなるトラブルが起きた。
同様の不具合は3日連続で、3日間で計140本が運休、部分運休し、計約3万1千人に影響した。
JRによると、28日に制御装置の一部が水に漬かったことが原因。
装置は、導入から25年たって部品調達が難しい部分もあり、動作が不安定な状態が続いているという。
31日は通常通りの運行を予定するが、装置の完全復旧のめどは立っておらず、JR北海道の大動脈になお影響が出る可能性もある。
JRによると、不具合が生じているのは、自動制御するシステムの一部。
列車の位置を感知してポイントや信号の切り替えを指示する列車集中制御装置(CTC)と、運行ダイヤなどから走っている列車を特定する自動進路制御装置(PRC)の情報を連動させる機器が故障した。
指令センターでは、28日、空調設備の配管から水が漏れ、この機器が水に漬かった。
JRは、浸水したとみられる部品を同社が保管していた予備品と交換。
29日午前にも不具合が起きたため、機器内の別の部品を代替品と取り換えたが、30日にまた異常が起きた。
出典
『JR北海道の大動脈3日連続混乱 指令所、水漏れで機器異常』
http://dd.hokkaido-np.co.jp/news/society/society/1-0276335.html
(ブログ者コメント)
5月31日付でJR北海道のHPに、下記趣旨の記事が掲載されていた。
水がかかった部位については、水が乾いたため、どの部位に不具合があるかは目視だけではわからない状況です。
そのため、部品個々にデータ伝送状況の測定などを実施し、不具合箇所の探索に努めております。
出典
『千歳線・室蘭線の列車進路制御の今朝の状況について』
http://www.jrhokkaido.co.jp/press/2016/160531-1.pdf
[0回]
2016年3月16日21時53分に産経新聞から下記趣旨の記事が、モニタリングポストの配置図付きでネット配信されていた。
九州電力川内原発(鹿児島県薩摩川内市)周辺の放射線測定装置(モニタリングポスト)のあり方を批判した朝日新聞の記事に、装置を設置した鹿児島県や原子力規制委員会が、猛反発している。
県は、「国の指針に基づいた配置であり、問題はない。不安をあおる記事だ」と憤った。
「あたかも(避難を)判断できないように報道をし、立地自治体に無用な不安を与えたことは、非常に犯罪的だ」
原子力規制委の田中俊一委員長は、16日の定例会で、朝日の記事を批判した。
問題の記事は、14日付朝刊に掲載された。
『モニタリングポストのうち、ほぼ半数が、事故時の住民避難の判断に必要な放射線量を測れない』
『事故時の住民避難の態勢が十分に整わないまま、原発が再稼働した』
鹿児島県の態勢の欠点を強調するものだった。
共同通信も、同日午前、「監視装置、半数が性能不足」の見出しで、「監視態勢が不十分なまま、再稼働したとの批判が出そうだ」との記事を配信した。
モニタリングポストは、空間の放射線量を計測する。
原発事故が発生した場合、放射性物質が漏洩していないかを知る目安となる。
では、鹿児島県の実態はどうか。
県は、67地点に計74台の測定装置を置いた。
川内原発から30km圏内でみると、線量が比較的高い毎時100ミリシーベルト(mSv)まで測定できる装置を42台、線量が低い同80マイクロシーベルト(μSv)や同10μSvまで測れる装置を計29台設置している。
「1μSv」は、「1mSv」の1千分の1だ。
高線量と低線量、双方が測れる装置を組み合わせて配置したのには、わけがある。
低線量用の計測装置で、高い放射線は測れない。
逆に、高線量用の装置で、低い放射線は正確には計測できない。
体重計で1gの重さを量れないことを想像してもらえばよい。
高線量に対応する装置しかなければ、仮に原発から放射性物質がわずかに漏れた場合、把握できない恐れもある。
双方の装置を組み合わせ、万一の事故に備えるというのが、鹿児島県の言い分だ。
県原子力安全対策課の岩田課長は、「わずかな線量の違いを把握できるのは低線量が測れる装置。住民避難には、高線量と低線量の測定装置をバランスよく配置することが必要だと考えている」と説明した。
そもそも鹿児島県は、原子力規制委が決定した事故時の住民の避難指針を踏まえている。
原発で重大事故が発生した場合、国が周辺住民に避難指示を出す際の指針だ。
福島第1原発事故を教訓に、原発から5km圏では即時避難、半径5~30km圏は毎時500μSvの放射線量が測定された場合、即時避難する。
これは、高い放射線への備えだ。
一方、比較的低い放射線にも備えなければならない。
半径5~30km圏で毎時20μSvが1日続いた場合は、1週間以内の避難を指示する。
住民避難には、毎時20μSvといった低い線量を正確に把握することも必要となる。
原発事故を経験した福島県も、高線量と低線量対応の装置を組み合わせている。
同県危機管理部の担当者は、「現在のように線量の低い状態が続くときは、少しのレベルの変化をいち早く確認するのに、低線量の装置が活用できる」と述べた。
2つの装置の組み合わせは、原発事故への備えとして、専門家の間では常識といえる。
だからこそ、規制委の田中委員長も、強い言葉で非難したのだろう。
長崎大の高村昇教授(被ばく医療学)も、「鹿児島県の対応に不備がある印象は受けない。測定装置は測定できる(線量の)範囲によって用途が異なり、うまく組み合わせて配置することが大事だ。自治体は住民に配置の意図を説明し、理解を得られればよいのではないか」と語った。
鹿児島県の朝日報道への怒りは、これだけではない。
鹿児島県は、原発から5km圏内に高線量用の装置を16台配置する。
毎時500μSv以上が測れる機器だ。
しかし、朝日、共同通信とも、記事中でこの5km圏の装置には、まったく触れなかった。
また、朝日の記事には、「不十分だったり、未設置だったりする状態で再稼働するのは問題だ」とする規制庁職員のコメントも掲載された。
この規制庁職員は、産経新聞の取材に、「一般論として『不十分であれば問題』と言ったことを再稼働とつなげられ、不本意だ。鹿児島県の対応は問題ないと考えている」と述べた。
朝日の記事をきっかけに、ネットでは、「案の定、原子力ムラは福一事故から何も学べなかった」、「こんな状態で再稼働なんてあり得ない」など、反原発の意見が噴出した。
原発・脱原発を論じることは必要だろうが、不安を扇動する記事は、冷静な議論を封じ込めるだけで、話にならない。
出典URL
http://www.sankei.com/affairs/news/160316/afr1603160027-n1.html
(ブログ者コメント)
朝日新聞の記事は下記。
『川内原発周辺の線量計、半数が性能不足 避難判断の目安』
http://www.asahi.com/articles/ASJ346QWDJ34UTIL076.html
『(社説)放射線量計 事故の教訓はどこへ』
http://digital.asahi.com/articles/DA3S12257697.html?rm=149
これは、産経新聞のほうに分がありそうだ。
低線量測定装置は事故の未然防止が目的、高線量測定装置は拡大防止が目的なのだろう。
片方だけでは、不十分だ。
しかし、その後も朝日新聞は17日付で反論記事を掲載し、それに対し、規制委員会は取材制限措置を打ち出したが、それでもなお、朝日新聞は「見解が異なる」というコメントを出すという騒ぎになっている。(記事転載は省略)
ブログ者思うに、朝日新聞の記者は、モニタリングシステムについて、県などに話を聞かなかったのではないだろうか?
聞いて入れば、このような記事は書けなかったと思うのだが・・・?
これは一種の報道事故?
そういえば、ちょっと前にも、福島第一原発退避報道で同じようなことがあったような・・・。
事故の教訓はどこへ。
[0回]
2016年2月8日21時18分に産経新聞westから、下記趣旨の記事がネット配信されていた。
堺市会計室の元課長補佐(59)=懲戒免職=が市内全有権者の個人情報をインターネット上に流出させた問題を受け、市が住民情報を取り扱う部署のパソコン約1千台のUSB接続口をふさいだことが、8日、分かった。
市の対応などを検証する外部委員会で報告された。
専用の鍵がなければ解除できないという。
市によると、元課長補佐は職場のパソコンのUSB接続口に外付けハードディスクを接続し、有権者情報を保存して自宅に持ち帰っていた。
再発防止のため、USB接続口をふさいだのは、有権者情報や年金、介護保険などを扱う部署のパソコン約1千台で、市役所本庁や7区役所など広範囲に及ぶ。
市は、別の約600台についても、専用ソフトでUSBを使えない設定にした。
市の担当者は、「職員を信用したいが、個人情報流出を完全に防ぐための措置」と説明している。
市内の全有権者約68万人の情報流出は、昨年12月に発覚。
市は、この問題を受けて、全部署で所属長の承認がなければUSBメモリーなど外部記録媒体にデータを記録をできないようにしていた。
出典URL
http://www.sankei.com/west/news/160208/wst1602080077-n1.html
2月9日付で読売新聞大阪版からは、600台対応時期は問題発覚前だったなど、下記趣旨の記事がネット配信されていた。
堺市の有権者情報がインターネット上に流出した問題で、市は8日に開かれた専門家による検証委員会の第2回会合で、職員による情報の無断持ち出しを防ぐため、住民情報を扱う部署のパソコンのUSB接続口を市販の器具でふさいだことを明らかにした。
市によると、対象は約1000台。
同じ部署の他のパソコン約600台は、今回の問題発覚以前に専用ソフトでUSBを使用できないようにしているという。
また、この日の会合では、弁護士の赤津委員が、情報提供があった場合の初動対応について、
〈1〉情報の内容があやふやであっても個人情報の漏えいを疑う
〈2〉現場や課長ら幅広い担当者で情報を共有する
〈3〉情報提供者への連絡方法をマニュアル化する
といった改善策をアドバイスした。
検証委は市への提言をまとめ、次回の会合(15日)で公表する。
出典URL
http://www.yomiuri.co.jp/local/osaka/news/20160208-OYTNT50388.html
2月10日7時55分に読売新聞からは、今回の措置は緊急対応だという、下記趣旨の記事がネット配信されていた。
堺市の有権者情報がネット上に流出した問題で、情報の無断持ち出し防止のため、市がパソコンのUSB接続口をふさいだとする部署には、マウスやキーボードをUSB接続しているパソコンがあり、外部の記憶媒体が接続できる状態になっていることが、9日、わかった。
市は、「穴をふさいだのは流出防止への職員の意識付けの意味が大きく、あくまで緊急対応。他の対策を急ぎたい」としている。
市によると、住民情報を扱う部署では、この問題が発覚する前からパソコン約600台を専用ソフトでUSBを使えないように設定。
ほかの約1000台は、1月から市販の器具で接続口をふさぎ、専門家による検証委員会に対して、8日、「完了した」と報告した。
この約1000台の中には、マウスやキーボードをUSB接続で使用しているパソコンがあったが、「業務に支障が出る」として、そのまま使っているという。
市は、マウスやキーボードを接続しているUSBポートを利用してデータを抜き取る場合は、周囲の目がある中でマウスなどを抜き差ししなければならないとして、「ほかの穴をふさいだことで、一定の抑止力になっている」と説明している。
データをパソコンから取り出す場合、現在は所属長の許可を得て接続口に付けたふたを外すことになっているが、来年度は、上司の許可やパスワードがないと取り出せないシステムを導入するなどの対策をとる。
出典URL
http://www.yomiuri.co.jp/national/20160210-OYT1T50002.html
[0回]
2016年1月2日1時40分に日本経済新聞から、下記趣旨の記事がネット配信されていた。
1月1日21時28分に朝日新聞から、1月3日9時33分に読売新聞からも、同趣旨の記事がネット配信されていた。
1日午後、和歌山県全域の携帯電話利用者に「大きな津波の観測があった」との緊急速報メールが自動配信され、和歌山県は約1時間後に、誤報だったと発表した。
津波観測システムに、津波の高さを測定するために必要な、海面変動の基準となる今年の潮汐データを県職員が入力しないミスがあったため、通常の潮汐変動を津波と判断したことが、原因の一つとみられるという。
県によると、午後2時8分、「和歌山県沖にて大きな津波の観測があった」と、高台避難を呼び掛けるメールが一斉に送信された。
3時1分に、「津波がさらに大きくなっている」と送信した。
誤報と確認し、県は3時15分に「地震の発生は確認されていない」と訂正のメールを配信した。
受信した人の数は不明。
県庁や市町村には問い合わせが殺到。
県庁では、システムを運用する防災企画課などの職員が急きょ出勤し、情報収集にあたった。
和歌山市役所では、当直の職員に加え、臨時に職員が出勤。市民からの電話対応に追われた。
和歌山市では、秋葉山公園(秋葉町)内の広場に住民約100人が避難。和歌山市消防局の職員が、避難者に誤報であることを説明した。
JR和歌山支社によると、JR紀勢線の宇久井駅(那智勝浦町)に停車していた普通電車(新宮発串本行き、乗客28人)が約5分間、発車を見合わせた。地震が確認されなかったため、運転を再開したという。
初売りで混雑した大型商業施設では、客の携帯電話が一斉に鳴り、誤報を知らせる館内放送がかけられるなど、混乱した。
和歌山県は昨年11月、海洋研究開発機構(神奈川県横須賀市)が三重県尾鷲市沖の海底に設置した装置で津波が観測されると、携帯各社の緊急速報メールで自動配信する運用を開始した。
潮の満ち引きのデータは県職員が入力する必要があったが、確認不足から、2016年分のデータを入力していなかった。
県防災企画課の高瀬課長は、「県民に迷惑をかけたことを深くおわびします」と謝罪した。
日ごろから避難訓練に取り組んでいるという新宮市の小芝さん(73)は、南海トラフ巨大地震では約10分で最大8.5mほどの津波が来ると頭に入れており、メールの後、消防からの情報で避難はしなかったが、「えらい迷惑やったな」と話した。
有田市の60代の無職男性は、「経緯をしっかりと説明してほしい」と注文をつけた。
出典URL
http://www.nikkei.com/article/DGXLASFK01H1O_R00C16A1000000/
http://www.asahi.com/articles/ASJ115X24J11PXLB007.html
http://www.yomiuri.co.jp/national/20160103-OYT1T50020.html
1月4日19時36分にNHK和歌山からは、下記趣旨の記事がネット配信されていた。
県ではすでに必要なデータの入力を終え、システムが正常に動くかどうか検証を続けている。
また、これまではデータ入力の担当者や、トラブルが起きた際の対応策を明確に決めていなかったため、マニュアルづくりを進めているということで、メール配信を再開させるメドはまだ立っていない。
和歌山県の仁坂知事は、記者団に対し、「まことに初歩的なミスで元日の平穏をやぶり、県民や市町村の防災担当者には大変申し訳なく思っている」と陳謝した。
そして、2回にわたって誤った情報を配信したことについて、「多くの問い合わせや職員の参集などの対応に追われ、システムを切り損なってしまった」と述べた。
そのうえで、「県民の避難のためのものなので、システムを作り上げたこと自体は決して間違いではなかった。今回のことを教訓に、システムがきちんと運用されるよう、気をつけていきたい」と述べた。
出典URL
http://www3.nhk.or.jp/lnews/wakayama/2044734451.html?t=1451938887796
以下は、関連報道。
(1月1日18時34分 NHK NEWS WEB)
和歌山県 津波情報を2回誤配信 避難始めた人も
http://www3.nhk.or.jp/news/html/20160101/k10010358601000.html
(1月1日23時51分 読売新聞)
「大津波」と誤報メール…潮位データ入力漏れで
http://www.yomiuri.co.jp/national/20160101-OYT1T50027.html?from=ycont_top_txt
(2016年2月11日 修正1 ;追記)
2016年2月9日8時49分に産経新聞westから、再発防止策に関する下記趣旨の記事がネット配信されていた。
県は、8日、津波を観測するシステムに今年の潮位データが入力されていなかったことが原因だったと特定したと発表した。
県は再発防止策を取りまとめており、12日午後からメールの運用を再開する。
県防災企画課によると、システムはあらかじめ入力された潮位変化のデータをもとに、津波の高さを測定。
入力は11~12月ごろに行われるが、今回は担当者が決まっていなかったため未入力となっており、通常の潮位の変化を誤認識し、メールを配信したという。
このため、今後は11月に担当者が入力することをマニュアルで徹底するほか、システムには、入力漏れのまま年が改まった場合、メールの配信を停止する機能を導入した。
同課の担当者は、「誤配信が二度と起こらないように対策をした。今後、メールが配信された場合、早く避難をするように対応をとってほしい」と話した。
出典URL
http://www.sankei.com/west/news/160209/wst1602090023-n1.html
[0回]
2015年10月27日4時22分に朝日新聞から、『ネットの記事、実はステマ広告・・・おわびや釈明相次ぐ』というタイトルで、下記趣旨の記事がネット配信されていた。
インターネットを通して配信されるニュース記事が実は広告だとしたら――。
そんな事態が今年の春以降、相次いで発覚し、ニュースサイトや広告会社がおわびや釈明を続けている。
なぜ、「広告」の表記が抜けるのか。
問題提起したのは、ブロガーの山本さん。
「広告」と表記することなしに、さくらのように第三者を装って良い評判を流すなど、特定の企業や商品に好意的な「記事」がいくつも書かれていると、自らのブログで4月に告発した。
広告の形式や内容が記事と一体化していて、「ステルスマーケティング」(ステマ)とも呼ばれる。
レーダーに映りにくいステルス戦闘機のように、ステルスは「こっそり行う」という意味。
1、2年前から広がり、対象となる商品は、化粧品や健康食品、ゲームなど幅広い。
例えば、「通信会社はA社のサービスが一番早い」といった、褒め言葉が添えられる。
最大手ニュースサイト「ヤフーニュース」も7月、ステマ広告について、「優良誤認として景品表示法違反に問われる可能性もある悪質な行為。積極的に排除し撲滅したい」との考えを公表し、マイナビニュースなど2社3媒体との契約を解除した。
その後も、9月に1社の配信を終了させ、12月までに複数社の配信を打ち切る予定という。
朝日新聞の取材に、マイナビ広報部は、「チェック態勢が甘かった。現在は、タイアップ記事に提供会社名を明示し、広告企画と編集記事の区別を明確にしている」と話す。
AOLオンライン・ジャパンでも、掲載された「自動車会社のCMがカッコよすぎると話題になっている」という記事がステマ広告と指摘された。
この記事作成に子会社が関与したとされた博報堂の広報室は、「子会社の社員がお得意先のPRになると考え、『可能であれば記事として使ってほしい』と、自社の判断でAOL側に出した。広告ではなく記事だった」と説明する。
山本さんは、「ステマ広告は通常の広告より読まれやすく、利益率が高いから、手を出す例が後を絶たない。ステマはネット上のニュースの信頼性に関わる深刻な問題だ」と訴える。
約200社が加盟する日本インタラクティブ広告協会(JIAA)は、3月、形式や内容が記事と一体化した広告について、記事と誤認しないように「広告」と表示し、広告主を明示することなどを盛り込んだガイドラインを策定したばかり。
「一部に広告表記なしでいいという誤解があったのでガイドラインを設けたが、今後は問題意識をより高めたい」と話す。
「ウェブニュース一億総バカ時代」の著書があるニュースサイト編集者三田ゾーマさんは、企業の働きかけでステマが広がっている、と明かす。
「スポンサー企業や広告会社と連携するステマが多いのは、生活関連情報や新商品などを扱う『ライフ欄』。
特定の商品名が単独で唐突に出てきて、称賛されるパターンが多い」と言う。
新聞記者とニュースサイト編集の経験がある藤代裕之・法政大准教授(ネットメディア論)は、「JIAAのガイドラインは厳格な内容だ。ヤフーなど主要企業が対応に動き出し、対策は進みつつある。記事を装った広告をなくすには、見出しで釣ってページビューを稼ぐような手法をやめ、記事の質を良くするしかない。記事の信頼性が落ちれば、掲載するメディアとその広告に対する信頼性も損なわれる。良質な記事の作り手の支援や育成をすべきだ」と話している。
出典URL
http://digital.asahi.com/articles/ASHB86QYQHB8UPQJ00T.html?rm=604
(ブログ者コメント)
本件、数年前に報道された芸能人によるやらせブログ広告を思い出させる。
概要は、下記記事参照。
(2012年2月2日 7時0分 日本経済新聞 電子版)
『芸能人とペニオク、その見え見えの関係 ネットでお金をカモられない方法 』
http://www.nikkei.com/news/print-article/?ng=DGXNASFK1601R_W2A110C1000000
[0回]
2015年10月25日8時34分に福島民友から、下記趣旨の記事がネット配信されていた。
福島市は24日、同市で行った総合防災訓練で、携帯電話3社を通じて市内の携帯電話やスマートフォンに避難情報を伝える緊急速報メール(エリアメール)を一斉に送る計画だったが、システム不具合のため送信できなかった。
市が同メールの配信システムを使うのは、初めてだった。
市によると、総合防災訓練の中で緊急速報メールを使った訓練は、同日午前9時30分に行う予定だった。
担当者が送信ボタンを押したが、携帯電話3社全てに届かなかったという。
市側の配信システムに不具合が生じたとみられる。
メールは、「訓練」と明記した上で、震度6強の地震により土砂災害の恐れがあるとして、同市信夫地区に避難勧告を出し、避難を呼び掛ける内容だった。
市は、原因の調査を進めるとともに、システム修復後にメール配信訓練の再実施を検討している。
出典URL
http://www.minyu-net.com/news/news/FM20151025-022856.php
2017年10月27日22時15分にNHK福島からは、業者の設定誤りが原因だったという、下記趣旨の記事がネット配信されていた。
福島市が取り入れている災害時の緊急速報メールが、システムの設定ミスで配信できない状態になっていたことがわかった。
市は、「速やかに改善したい」としている。
福島市は、災害の発生や避難に関する情報を携帯電話のメールで一斉に配信するシステムを去年3月から導入しているが、10月24日に行った防災訓練でシステムを初めて運用したところ、メールが配信できないトラブルが起きた。
これについて、市が原因を調べた結果、作成した電文を携帯電話会社に送信したあと、住民に実際に配信するかどうかを確認する手順で、自動的に作業を中止する設定になっていたという。
さらに、配信の実施を確認する画面も表示されなくなっていたため、市の担当者も問題に気付かなかったという。
福島市によると、システムの導入作業を担当した業者が設定を誤ったのが原因だということで、市は設定を改善したうえで、10月30日に、福島市内を対象にしたメール配信訓練を再び行うという。
出典URL
http://www3.nhk.or.jp/lnews/fukushima/6053037031.html?t=1445980881521
[0回]
2015年9月9日6時30分に日本経済新聞電子版から、『もはやサイバー戦争 「年金機構」報告書に見る危機』というタイトルで、ラック社CTOの西本氏の見解記事がネット配信されていた。
長文のため、かなり省略して紹介する。
日本年金機構の情報流出事件に関する3種類の報告書が8月下旬、相次いで公表された。
当事者である年金機構、その監督官庁である厚生労働省の第三者委員会、そして政府のサイバーセキュリティ戦略本部がそれぞれ取りまとめたものだ。
海外から国家レベルの組織が個人情報を狙ってくるサイバー攻撃は、もはや「戦争」というべき激しいものになりつつある。
報告書を読み解き、脅威に備えなければならない。
報告書を読み比べると、事件に対するそれぞれのスタンスの違いがわかって興味深い。
それ以上に、「標的型攻撃」と呼ばれる高度なサイバー攻撃の実態、年金機構側の問題点などが具体的かつ率直に記され、多くの教訓を得ることができる。
まず教訓の1つは、情報が漏洩していると自ら気づくことは難しいと認識することだ。
中小規模の一般的な企業や組織では、中央官庁や大手企業並みに高度なセキュリティの投資ができない。
まずは、経営レベルでそういう認識がないし、認識があっても予算がない。予算が用意できても人はおらず、人がいても運用ができないという現実があるからだ。
ネットの安全情報をまとめる社団法人、JPCERTコーディネーションセンターなど外部機関からの連絡で、初めて自分の組織で起きている事件を知る。
2つ目の教訓は、外部の組織から告知があったときに「防衛の強化」ではなく「管理している情報の隔離」を最優先しなければならないということだ。
攻撃者は、波状的に、執拗に攻撃を行ってくる。しかも単にシステム上の弱点を攻撃するだけではなく、守る側の能力を把握しながら、油断を引き起こす策も織り交ぜてくる。
攻めてきた敵に対抗するために、いくら兵士や大砲を増やしても、忍び込んだ敵によってお姫様がさらわれてしまうのでは意味はないというわけだ。
■4月22日に厚労省も攻撃を受けていた
今回の年金機構を襲った不審メールなどによる攻撃は、4段階に分かれていた。
5月8日の攻撃第1波は、内閣サイバーセキュリティセンター(NISC)が見つけてくれたおかげで早期に対応できた。
感染はしたものの、年金機構はその後のウイルスの隔離に成功している。
18日の第2波は、3台の感染を許したが、3台とも攻撃側が指令サーバーへの通信に失敗し、遠隔操作がうまくできなかった。
そのため、表面上は問題が起きなかった。
・・・・・・・
■攻撃の第4波でついに陥落
続く第3波は、大量にわなが仕掛けられたのだが、事前の注意喚起が効いたのか、感染者を出さなかった。
しかし、20日に行われた第4波で1台のパソコンが感染し、遠隔操作を受けて内部が制圧された。
その後、大量のパソコンが遠隔操作される状態となり、23日にかけて個人情報が漏洩していった。
6月1日に機構から公開された情報をもとにした報道では、この鍵となる20日の感染と23日までに行われた情報の窃取に関して、一切の情報がない。
それは、機構だけではなく、機構に連絡をしたNISCも当時は全く気づいていなかったという実態も明らかになっている。
以上のことからも、今回の情報流出につながった第4波を阻止できていたとしても、続く第5波や第6波が押し寄せて、内部が制圧されるという事態は避けられなかったとみるべきである。
年金機構のような社会サービスを提供している組織は、一層のセキュリティの強化を図っていただく必要はあるにせよ、中小規模の一般的な企業や組織において侵入自体を完全に止めることはできないとの考えを、あらためて肝に銘ずる必要がある。
結論としては、敵が攻めてきているという非常事態を認識したら、重要情報が入っている共有ファイルサーバーの運用を止める、あるいは制限するなどの措置がより重要ということである。
今回の例で具体的に言えば、5月8日から19日までの間に、内部でまん延していたと報告されている「使用が終わった個人情報は削除する」というルール違反をチェックし、不要な個人情報を削除しておけばよかったのである。
■評価できる詳細な報告書
年金機構の事件は、今年1月にサイバーセキュリティ基本法が全面施行され、政府としてサイバーセキュリティ推進体制を強化して間もない5月に発生した。
・・・・・・・・・・・
■「割れ窓」の放置が被害を拡大
標的型攻撃には国家レベルの組織が関与しているとされ、一企業や組織だけで対抗するには無理がある。
社会全体で対峙するにも、その実態を明らかにして、攻撃の手口や特徴などを共有することが重要だ。
・・・・・・・・・・
■日本に対するサイバー攻撃は「戦争」状態
最高情報責任者(CIO)や最高情報セキュリティー責任者(CISO)は、ルールが現場の実情や時代に合っているかを絶えず点検し、そぐわなくなっていれば見直さなければならない。
年金機構の事件やその前後に相次いだ同様の事件から、日本はいまや、日本国民の様々な個人情報まで狙われている「戦争」状態にあるのではないかと推測している。
・・・・・・・・・・
出典URL
http://www.nikkei.com/article/DGXMZO91476380Y5A900C1000000/?df=3
[0回]
2015年6月9日に掲載した元記事がプロバイダーの字数制限オーバーとなりましたので、ここに新情報を第2報修正1として掲載します。
第1報は下記参照。(新情報に基づきタイトルも修正しました)
http://anzendaiichi.blog.shinobi.jp/Entry/4940/
(2015年8月28日 修正1 ;追記)
2015年8月22日0時1分に毎日新聞から、調査報告書が公表されたという、下記趣旨の記事がネット配信されていた。
8月21日付で東京新聞からも、同趣旨の記事がネット配信されていた。
日本年金機構の情報流出問題で、厚労省の外部検証委員会は21日、「機構、厚労省ともに標的型メール攻撃の危険性に対する意識が不足し、人的体制と技術的対応が不十分だった」とする調査報告書を公表した。
情報や危機感の共有がなく、担当者が幹部の明確な指揮を受けることなく「場当たり的な対応に終始した」と指摘。
機構へのサイバー攻撃が始まる前の4月22日、厚労省年金局に標的型メールが送られていながら、機構に連絡していなかったことを明らかにした。
委員長を務めた甲斐中・元最高裁判事は、塩崎厚労相に報告書を提出した後の記者会見で、「厚労省と機構ともに、危機意識の欠如、組織の一体性の欠如の二つが根本にある」と述べた。
報告書などによると、4月22日の標的型メールで、厚労省は内閣サイバーセキュリティセンター(NISC)から、「ウイルス感染した場合には、被害が大きくなる可能性がある」との情報も得ていた。
しかし、5月8日に最初の標的型メールで機構のパソコンがウイルス感染した際、厚労省は機構にこうした事実を全く伝えなかった。
報告書は、この一連の経緯を、「厚労省から続く一連の標的型メール攻撃という認識を、機構も持てなかった」とした。
また、機構を監督する厚労省が約3万人の職員を擁する巨大組織であるにもかかわらず、厚労省でサイバーセキュリティーを担当していたのはマイナンバー制度担当も兼務する情報政策担当参事官室(情参室)の担当係長1人だけだった点を、「到底十分な体制とは言い難い」と批判した。
感染拡大の経路になった機構のLAN(構内情報通信網)について報告書は、厚労省のどの部署に監督権限があるかが不明で、機構を所管する年金局、情報セキュリティーを担当する情参室の責任の所在が不明確だったために、積極的な指導監督ができなかったとした。
検証委は、調査に対し、機構の一部職員が重要な資料を出し渋ったり、書類の一部を黒塗りで提出したりしたことも明らかにした。
報告書は、「国民に多大な心配をかけながら、そういった態度は論外だ。徹底的な意識改革が必要」と機構を批判した。
また、厚労省の官僚と地元採用者との間に意思疎通がなく、責任の所在もあいまいな旧社会保険庁時代の体質がいまだに続く「構造的な問題」があるとした。
塩崎厚労相は、「機構と厚労省に厳しい指摘をいただいた」と述べた。
機構の水島理事長は、「報告書を踏まえ、ゼロベースから機構の改革を図りたい」と話した。
機構は今後、情報セキュリティー対策の責任部署を設け、個人情報をネットから切り離すシステムも構築。再生本部を新設する。
検証委は、厚労省が6月8日に設置。
委員ら約20人の態勢で、厚労省や機構などの延べ78人から聞き取りをしていた。
当初、中間報告としてまとめる予定だったが、調査が進み、最終報告となった。
標的型メール攻撃に詳しい情報セキュリティー会社・ラック(東京都)の西本・専務執行役員の話
『サイバー攻撃を受けている兆候がありながら、厚生労働省も年金機構もトップに情報が上がらず、現場レベルで判断を重ね情報漏えいを許した。
兆候段階の情報を組織の最高幹部が速やかに把握し、組織全体で危機感を共有できる体制を構築すべきだ。
情報セキュリティーに総じて甘い日本の縮図のような事件なので、厚労省のサイトで公表される報告書には貴重な教訓が含まれている。他の団体・企業は他山の石とすべきだ。』
情報セキュリティー会社・トレンドマイクロ(東京都)の鰆目・シニアスペシャリストの話
『年金機構の個人情報が狙われたが、同様の手口で民間企業の個人情報を狙ったサイバー攻撃も起きている。
現状でウイルス感染を完全に防ぐのは難しいが、感染後の端末のおかしな動作を把握し早期に気づくことで、被害を最小限に抑えるシステムなども開発されている。
個人情報をパソコンで扱う場合は必ず対策を取るべきだ。』
検証報告書の骨子は下記。
・年金機構、厚生労働省ともに標的型攻撃の危険性に対する意識がたりず、人的体制、技術的対応が不十分だった
・現場と幹部間、年金機構と厚労省の組織間で情報の共有がなく、専門知識を持つ職員の動員もないまま、場当たり的対応に終始した
・年金機構は、内部の専門家がいたのに活用せず、外部の専門家にアドバイスを求める体制もなかった
・厚労省は職員数3万人を超える大組織だが、事実上、職員1人が全省のサイバーセキュリティー対策を担うなど、サイバー攻撃の脅威への意識が低かった
出典URL
http://mainichi.jp/select/news/20150822k0000m040144000c.html
http://www.tokyo-np.co.jp/article/national/news/CK2015082102000130.html
8月22日付で毎日新聞東京版からは、「年金情報流出:検証委報告書 要旨」というタイトルの記事がネット配信されている。
http://mainichi.jp/shimen/news/20150822ddm012040098000c.html
[0回]
通信欄
カテゴリー Category
最新コメント Latest Comments
ツイッターなどへの接続
製造業ブログランキングへの接続
最新トラックバック
バーコード
カウンター
アクセス解析
プロフィール Profile
その間、ずっと奥歯に挟まっていたのは、他社の事故情報がほとんど耳に入ってこなかったことです。
そこで退職を機に、有り余る時間を有効に使うべく、全国各地でどのような事故が起きているか本ブログで情報提供することにしました。
また同時に、安全に関する最近の情報なども提供することにしました。