全1472文字
PR

著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは……。

 今回は、東京都のセキュリティー事故3件と、三和倉庫のサーバー障害を取り上げる。

Teams上で公開、14人の生徒がアクセス

 東京都は2022年8月に入ってから、3件のセキュリティー事故を明らかにした。都立高生徒の個人情報漏洩とメールサービスの乗っ取り被害、メールの誤送信である。

 1つめは、都の教育庁が2022年8月9日に発表。都立向丘高校の1年生278人の入試関連情報を含むファイルが、生徒が閲覧できるMicrosoft Teamsのフォルダーにアップロードされていたという。当該情報に14人の生徒がアクセスした。

都立高校で1年生の入試関連情報が漏洩したことを発表。原因は教諭の作業ミス
都立高校で1年生の入試関連情報が漏洩したことを発表。原因は教諭の作業ミス
(出所:東京都)

 アップロードされたファイルは、新入生を担当する教諭が生徒の名簿ファイルとして2022年3月下旬に作成したもの。作成時に入試関連情報を削除しなければならなかったが、誤って残したまま校内のファイルサーバーに保存していた。情報科の教諭が7月7日午前10時、ファイルに入試関連情報が残っていると気付かないまま名簿ファイルとしてTeamsにアップロードしたことで情報が漏洩した。

 学校は当該情報にアクセスした生徒の指摘によって事態を把握した。当該ファイルを削除し、アクセスログを解析してファイルをダウンロードした生徒を特定。当該生徒すべてが所有する端末からファイルを削除したことを確認したとしている。

 2つめは、都の住宅政策本部が2022年8月1日に発表した。マンション管理状況届出システムのメール送信サービスが不正アクセスを受け、2000通を超えるスパムメールが送信されたという。メールアドレスも攻撃者によって不正に作成されていた。

都のメール送信サービスが悪用され、スパムメールを大量送信
都のメール送信サービスが悪用され、スパムメールを大量送信
(出所:東京都)

 システムの運用管理委託先から2022年7月31日、配信不能メールが大量に届いていると指摘を受けて事態を把握。調査の結果、2044通のスパムメールが送信されていたという。配信不能メールが1436通届いていたことから、600通近くが宛先に到達したとみている。その後、メール送信サービスのIDとパスワードを変更してからはスパムメールの送信は発生していないという。

 3つめは、都の生活文化スポーツ局が2022年8月9日に発表した。競技団体などにメールを送る際、BCCに誤ったメールアドレスが含まれていたことから、宛先やCCに含まれる9件のメールアドレスが漏洩したという。原因は手入力したメールアドレスが間違っていたため。今後、メールアドレスを手入力する際はダブルチェックを徹底するとしている。

メールの誤送信により宛先やCCに入れたメールアドレスが漏洩
メールの誤送信により宛先やCCに入れたメールアドレスが漏洩
(出所:東京都)
(都立高校の情報漏洩に関する発表資料) (都のメール送信サービス悪用被害に関する発表資料) (都のメール誤送信に関する発表資料)