Upgrade to Pro — share decks privately, control downloads, hide ads and more …

教師・教育支援者のための情報セキュリティ第九回

Avatar for sonodam sonodam
January 10, 2019

 教師・教育支援者のための情報セキュリティ第九回

2018年度東京学芸大学
情報漏洩
2018年12月20日および2019年1月10日全二回

Avatar for sonodam

sonodam

January 10, 2019
Tweet

More Decks by sonodam

Other Decks in Education

Transcript

  1. 原因調査 • 大量のログから何を読み取るか? 192.168.1.5 - - [17/May/2011:10:55:51 +0900] "GET /test.php?author='or+author+is+null--

    HTTP/1.1" 200 1182 "http://192.168.1.61/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en- US) AppleWebKit/534.16 (KHTML, like Gecko) Iron/10.0.650.0 Chrome/10.0.650.0 Safari/534.16" ダウンロードした データ量 5428377 "http://192.168.1.61/"
  2. 事例:「先生は危機感不足」の封書、 中から紛失USB • 岡山県奈義町教委は9日、町立奈義小学校の30歳代女性教諭が201 2年4月、児童の個人情報が入った個人所有のUSBメモリーを紛失して いたと発表した。 • 今月8日にUSBが町教委に郵送され、紛失の事実が判明。同小校長は 事実を町教委に伝えていなかった。今のところ、悪用された形跡はないと いう。

    • 町教委によると、女性教諭は12年4月下旬、2008~12年度に勤 務した美咲町や鏡野町の小学校や奈義小の児童計228人の名前や電話番 号、成績などが入ったUSBを紛失したことに気付き、校長に報告して校 内などを探したが見つからなかった。教諭は職員室の机の中に保管してい ると思っていたが、自宅に時々持ち帰っていたという。 • 紛失したUSBは「1住民」と書かれた封書で届き、「先日拾って、中 身を確認したが、小学校のものではないか。個人情報を扱う先生として危 機感が不足しているのではないか」などと指摘する手紙が同封されていた。 • 笠木義孝教育長は「情報管理検討会議を設置して検証し、校内の情報管 理体制の見直しや再発防止の研修を実施したい」と話している。 • (2014年1月10日08時09分 読売新聞)
  3. ルール違反の検知の例 • 違反持ち出しの検知 – 電子データのコピー管理(サーバー管理、 DRM、媒体コピー管理) – 紙の場合? • 持ち出しルール違反の検知

    – 電子データのコピー管理 – 抜き打ちチェック(そこに存在するか?) – サーバーのログ – 紙の場合?
  4. 事例:ベネッセ • 漏えいが確定した件数:約760万件 • 男性が持ち出した件数:約2,300万件(約2,260万件が発表され ていたがこれとは重ならない約40万件が存在) – 2014年6月17日持ち出し:638万件 – 2014年6月27日持ち出し:約1,880万件

    – 重複分含むと述べ約2億300万件 • 漏えい時期:2013年末頃~2014年6月17日(コピーは6月27日 も行われた) • 漏えいした回数:約20回 • 漏えい対象:全国の1993年1月1日~2013年12月31日に生まれ た子供・保護者の情報が含まれる。 • 件数は全て1世帯を1件としてカウントしている。 – 1件当たり保護者1名、子供1名の情報が含まれる。 – 漏えい1件について最低でも2人の情報が漏えいしている。 • http://d.hatena.ne.jp/Kango/20140709/1404925032より 引用
  5. 事例:ベネッセ(漏洩情報) • 保護者氏名(漢字・フリガナ) • 子供氏名(漢字・フリガナ) • 子供生年月日 • 子供性別 •

    郵便番号 • 住所 • 電話番号(固定電話、または携帯電話) • 出産予定日(一部サービス利用者のみ) • メールアドレス(一部サービス利用者のみ)
  6. 事例:ベネッセ (犯人のプロファイル) • システムエンジニア、39歳、男性、転職2回 • 東京都府中市在住 • 家族4人、当初借金が300万ほどあり生活苦だった • 現在の借金が170万(内ギャンブル分は約60万円)に減っていた

    • 解雇直前の月給は約38万円、内11万円を借金返済 • 約20年のベテラン、他の派遣社員の指導的立場 • 2012年1月委託元企業に就職 • 2012年4月からシンフォームに委託社員として勤務 • シンフォーム東京支社(東京都多摩市の事業所)に出入り • シンフォームのDB保守管理業務再委託先の1社から委託 • 顧客データベースの開発に関与、設計通り動くかチェックを 担当
  7. 事例:ベネッセ • 莫大な対応コスト • 金券500円炎上 • 原因?→スマフォ充電を行おうと貸与PC に接続した際にデータ移行が可能なこと に気づく –

    むしろ対策はしっかりしていた方だった • 最終連結損益20億円 • 希望退職300人(全正社員2万人)
  8. 事例:ベネッセ • また、顧客情報を流用したのはIT事業者であり、通信教育事業 を手掛けるジャストシステムであると共同通信が報じた。ちな みにジャストシステムへ名簿を提供したのは東京都福生市の名 簿業者の文献社と報じられており、文献社の説明によると、東 京都内の別の名簿業者から2014年4月下旬~5月ごろに購入した とされる。なおジャストシステムは7月10日、「当社がベネッ セコーポレーションから流出した情報と認識したうえで、これ を利用したという事実は一切ございません」と、否定したが、

    ダイレクトメールに使用した名簿を文献社から購入したか述べ ていない。また、文献社によると、文献社とジャストシステム はデータの出所が不明であると把握しており、両社ともベネッ セのデータとは知らなかったとしている。 • さらに、文献社に販売した東京都武蔵野市のパン・ワールドも 「別の業者から買った」と述べた。 • http://ja.wikipedia.org/wiki/%E3%83%99%E3%83%8D%E3 %83%83%E3%82%BB%E5%80%8B%E4%BA%BA%E6%83%8 5%E5%A0%B1%E6%B5%81%E5%87%BA%E4%BA%8B%E4% BB%B6より引用
  9. 事例:個人情報漏えい1億件、 過去最悪の規模=韓国 • 韓国の昌原地検特捜部は8日、クレジットカード会社3 社の顧客の個人情報1億400万件を漏えいしたとして、 情報通信民法ならびに信用情報法違反の容疑で、信用調査 会社の社員と広告代理店の社長を逮捕、起訴したと発表し た。個人情報の流出事故としては過去最悪となる。複数の 韓国メディアが報じた。 社員は2012年5月から13年12月まで、カード紛

    失・変造探知システム開発プロジェクトを担当した際、ク レジットカード会社の顧客情報をUSBメモリーに記録し、 不正に入手。広告代理店の社長に2650万ウォン(約2 60万円)で売却した。 流出したのはカード3社に会員登録されていた1億40 0万件(NHカード2500万件、KBカード5300万 件、ロッテカード2600万件)の名前、携帯電話、住所、 クレジットカードの使用明細など。社員は、業務で電算シ ステムのセキュリティが解除されることを悪用していた。 http://headlines.yahoo.co.jp/hl?a=20140109-00000236-scn-krより引用
  10. 職場環境、評価の影響 • 休めてるか? • 劣悪な環境ではないか? • 仕事に関係した研修を十分に受けられているか? • 特定の人に負荷が集中してないか? •

    上司や同僚との関係は良好か? • 社内で自分はちゃんと評価されているか? • きちんとセキュリティポリシーが定められて、それ に沿って仕事のやり方が具体的に定義されている か? • 企業理念が示されているか? • 社内マナーは良いか? • みんな本音で話せているような環境か? 「内部不正対策14の論点」JNSAのWG著より引用
  11. レポートについて • 期末レポート提出先 – 宛先:[email protected] – +学芸Web?のメール • レポートのテーマは、これからやる講義 の中で興味を持ったテーマor情報セキュ

    リティに関わる何か • これまでに使ったパワポは今週中に公開 します&お知らせします@ポータル • 自分ならそれをどう思うか、そして学生、 生徒にどう教えるかをまとめて下さい 49