シンポジウム「情報セキュリティ事件の近時の動向」のまとめ [セミナー]
以下に参加してきました。弁護士の方々が発表した内容の簡単なまとめを記載します。
情報セキュリティ事件の近時の動向~政策・マネジメント・法的分析~
1 近時の情報セキュリティ事件のケーススタディ
(1) 大手通信教育会社情報漏えい事件
○流れ
・顧客情報データベース→業務用PC→(USBケーブル)スマートフォン→名簿業者
○対応
・初動対応は早かった。
6月27日緊急対策本部→7月7日危機管理本部→7月17日逮捕
○事件
・刑事事件
元社員は不正競争防止法違反(営業秘密の複製,開示)
名簿業者社長は不正競争防止法違反(営業秘密の取得,開示)
・民事事件
個人情報漏えい被害者の会 原告:1万729名
個人情報漏えい被害対策弁護団 原告:1,224名(4次訴訟)
○情報漏えいの原因
・問題点
①アラートシステムの対象範囲が明確ではなかった。
②外部メディアへの書き出し制御機能がない状態であった。
③一度付与されたアクセス権限の見直しが定期的に行われていない状況であった。
④データベース内の個人情報の抽象化,属性化が行われていなかった。
・組織の問題点
①組織体制の不備
チェック体制の甘さ,個人情報管理の責任部署の不明確
②役職員の意識の低さ
○対応
・ジャストシステムは,適法かつ公正に入手したものであることを条件とした契約を締結したと主張
・名簿業者を不正競争防止法違反で処罰するには困難が生じる。
(2)米国映画会社への大規模攻撃事件
○概要
11月21日映画会社幹部への脅迫メールが来て,放置した。
11月24日システム障害が発生
12月1日経営陣の給与が公開
12月5日Sony Picturesは崩壊するとのメールが従業員に対して送付される。
12月16日the interviewを上映する映画館は9.11テロを思い出せという脅迫
12月17日映画の公開の中止決定
○FBIによる北朝鮮関与の認定
・北朝鮮が使っていたマルウェアとの関連性が認められる。
・攻撃に使われた環境と北朝鮮と直接関連するとした攻撃の際の環境とが重要な点で一致
・今回の攻撃のツールと北朝鮮による韓国の銀行やメディアに対する攻撃に使われたDDoSツールとの間に類似性がある。
○攻撃方法
①事前調査
②権限取得
③不正実行
④後処理
○機密情報の流出
従業員等の個人情報,未公開の映画フィルム等100TB
(3)日本年金機構情報漏えい事件
○概要
2015年5月8日~20日
4度に渡る標的型メール攻撃
124通を受信,5人の職員が開封
氏名,基礎年金番号3万1000件
125万件のうち,およそ70万件にはパスワードが設定,55万件はパスワードの設定なし。
○時系列
・4月22日厚生労働省年金局にメール送付
NISCが検知し,通信遮断を指示。
・5月8日第1回攻撃
調達用のメールアドレスに対して送付された。感染端末から職員のメールアドレスを収集された。
・5月18日第2回攻撃
第1回攻撃で収集したメールアドレスに送付。
・5月18~19日第3回攻撃
・5月20日第4回攻撃
ローカル端末の管理者権限を取得し,他のPCも同じIDとパスワードを使いまわしていた。
○原因
・個人情報がインターネット環境下に置かれていた。
・現場のPCのOSやサーバに既知の脆弱性が残り,端末の管理者権限は,他の端末と同一のID・パスワードが設定されていた。
○インシデント対応
・緊急対応の明確な合意がない。
・インシデント対応手順書も定められていなかった。
・実質的なリーダーシップを発揮できなかった。
・外部の専門家の登用がない。
2 法的見地からみた近時の情報セキュリティ事件
○近時のセキュリティ事件
・エストニア事件(2007年)
・グルジア事件
・韓国銀行,メディアの一斉停止事件(2009年)
・中国からの大規模なDDoS事件(2011年9月18日)
・三菱重工等に対する攻撃
・アノニマスのOp.Japan
・ベネッセ情報漏えい事件
・ソニーピクチャーズエンターテインメント事件
・日本年金機構事件
○世界の法律家
・タリンマニュアル(エストニア)武力レベルと同等に達するのはどのような場合か。
・世界的には,アトリビューション(属性)は,誰が攻撃者なのかということを重要視している。
○サイバー攻撃の諸相
・国家間でのサイバー攻撃が行われた場合に,責任の所在はどうなるのか。
・国家から委託を受けた民間組織はどうなるのか。
・国家間の攻撃であれば,サイバー戦争になり,武力行使される可能性がある。
○対策
・基本に返り,敵を知り,トレーニングの重視
・情報共有→中々上手くいかない
○情報共有のハードル
・狙われている情報の性質は貴重な秘密かもしれない。
・NDAが締結されているかもしれない。
・漏えいが疑われて株価が下がるかもしれない。
・国が,情報公開の対象になるのか。
情報セキュリティ事件の近時の動向~政策・マネジメント・法的分析~
1 近時の情報セキュリティ事件のケーススタディ
(1) 大手通信教育会社情報漏えい事件
○流れ
・顧客情報データベース→業務用PC→(USBケーブル)スマートフォン→名簿業者
○対応
・初動対応は早かった。
6月27日緊急対策本部→7月7日危機管理本部→7月17日逮捕
○事件
・刑事事件
元社員は不正競争防止法違反(営業秘密の複製,開示)
名簿業者社長は不正競争防止法違反(営業秘密の取得,開示)
・民事事件
個人情報漏えい被害者の会 原告:1万729名
個人情報漏えい被害対策弁護団 原告:1,224名(4次訴訟)
○情報漏えいの原因
・問題点
①アラートシステムの対象範囲が明確ではなかった。
②外部メディアへの書き出し制御機能がない状態であった。
③一度付与されたアクセス権限の見直しが定期的に行われていない状況であった。
④データベース内の個人情報の抽象化,属性化が行われていなかった。
・組織の問題点
①組織体制の不備
チェック体制の甘さ,個人情報管理の責任部署の不明確
②役職員の意識の低さ
○対応
・ジャストシステムは,適法かつ公正に入手したものであることを条件とした契約を締結したと主張
・名簿業者を不正競争防止法違反で処罰するには困難が生じる。
(2)米国映画会社への大規模攻撃事件
○概要
11月21日映画会社幹部への脅迫メールが来て,放置した。
11月24日システム障害が発生
12月1日経営陣の給与が公開
12月5日Sony Picturesは崩壊するとのメールが従業員に対して送付される。
12月16日the interviewを上映する映画館は9.11テロを思い出せという脅迫
12月17日映画の公開の中止決定
○FBIによる北朝鮮関与の認定
・北朝鮮が使っていたマルウェアとの関連性が認められる。
・攻撃に使われた環境と北朝鮮と直接関連するとした攻撃の際の環境とが重要な点で一致
・今回の攻撃のツールと北朝鮮による韓国の銀行やメディアに対する攻撃に使われたDDoSツールとの間に類似性がある。
○攻撃方法
①事前調査
②権限取得
③不正実行
④後処理
○機密情報の流出
従業員等の個人情報,未公開の映画フィルム等100TB
(3)日本年金機構情報漏えい事件
○概要
2015年5月8日~20日
4度に渡る標的型メール攻撃
124通を受信,5人の職員が開封
氏名,基礎年金番号3万1000件
125万件のうち,およそ70万件にはパスワードが設定,55万件はパスワードの設定なし。
○時系列
・4月22日厚生労働省年金局にメール送付
NISCが検知し,通信遮断を指示。
・5月8日第1回攻撃
調達用のメールアドレスに対して送付された。感染端末から職員のメールアドレスを収集された。
・5月18日第2回攻撃
第1回攻撃で収集したメールアドレスに送付。
・5月18~19日第3回攻撃
・5月20日第4回攻撃
ローカル端末の管理者権限を取得し,他のPCも同じIDとパスワードを使いまわしていた。
○原因
・個人情報がインターネット環境下に置かれていた。
・現場のPCのOSやサーバに既知の脆弱性が残り,端末の管理者権限は,他の端末と同一のID・パスワードが設定されていた。
○インシデント対応
・緊急対応の明確な合意がない。
・インシデント対応手順書も定められていなかった。
・実質的なリーダーシップを発揮できなかった。
・外部の専門家の登用がない。
2 法的見地からみた近時の情報セキュリティ事件
○近時のセキュリティ事件
・エストニア事件(2007年)
・グルジア事件
・韓国銀行,メディアの一斉停止事件(2009年)
・中国からの大規模なDDoS事件(2011年9月18日)
・三菱重工等に対する攻撃
・アノニマスのOp.Japan
・ベネッセ情報漏えい事件
・ソニーピクチャーズエンターテインメント事件
・日本年金機構事件
○世界の法律家
・タリンマニュアル(エストニア)武力レベルと同等に達するのはどのような場合か。
・世界的には,アトリビューション(属性)は,誰が攻撃者なのかということを重要視している。
○サイバー攻撃の諸相
・国家間でのサイバー攻撃が行われた場合に,責任の所在はどうなるのか。
・国家から委託を受けた民間組織はどうなるのか。
・国家間の攻撃であれば,サイバー戦争になり,武力行使される可能性がある。
○対策
・基本に返り,敵を知り,トレーニングの重視
・情報共有→中々上手くいかない
○情報共有のハードル
・狙われている情報の性質は貴重な秘密かもしれない。
・NDAが締結されているかもしれない。
・漏えいが疑われて株価が下がるかもしれない。
・国が,情報公開の対象になるのか。
コメント 0