
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。
本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。
大型連休を目前にした2014年4月28日、情報処理推進機構(IPA)は4月29、30日に予定していたITパスポート試験の中止を決めた。オープンソースソフトウエア(OSS)の開発フレームワークである「Apache Struts 1」に、脆弱性が見つかったのがきっかけだ。
NTTドコモの共通ポイント「dポイント」で不正利用が発覚した。2018年8月のことである。加盟店サイトが不正アクセスを受け、dポイントのポイント残高が盗み見られた。残高の大きなdポイントカード番号が狙われ、商品の購入に使われた。NTTドコモは9月10日に同番号約3万5000件の利用を停止した。
セブンネットショッピングは2013年10月、同社のEC(電子商取引)サイトがなりすましによる不正アクセスを受け、最大15万件のクレジットカード情報が流出した恐れがあると発表した。被害ユーザーを特定できなかったことから、約150万人のユーザーに警告を出す事態となった。
情報処理推進機構が主催するIT試験の会員サイトから個人情報が漏洩した。団体受験した企業が自社の受験者リストをダウンロードすると、他社の受験者情報が混入するトラブルが起こった。排他制御をかけ忘れるという初歩的なミスがあった。複数の企業がほぼ同時に操作した時に限って表面化するバグが原因だった。
大阪大学で不正アクセスによる個人情報の漏洩が発生した。攻撃者は学内システムの管理者権限を奪って7万人の個人情報を盗み、さらに盗んだ情報でメールシステムに不正ログインした。事態の判明から5カ月経って公表した対応スピードに批判の声が上がった。
JavaのWebアプリケーションフレームワーク「Apache Struts2」に2017年3月6日、外部から不正にサーバーを操れる脆弱性が見つかり、7日には攻撃が始まった。開発元の米アパッチソフトウエア財団は8日、脆弱性を解消した最新版の公式提供を開始。だが東京都と住宅金融支援機構から合計で約72…
九州商船がWeb予約システムを2カ月にわたり停止した。原因はシステムへの不正アクセスだ。攻撃者はサーバーの脆弱性を突いて仮想通貨の採掘ソフトを埋め込んだ。その結果、CPUの負荷が100%に高まりサービスを提供できなくなった。詳細な調査結果を速やかに公開するなど事後対応には評価できる面があった。
東北電力の顧客向け会員制Webサービス「よりそうeねっと」で不正アクセス被害が発覚。14万人いる会員のうち1956人のIDへ何者かがログインし、540人の同サービスのポイントが勝手に交換された。
メガバンクなど国内3行のインターネットバンキングで2012年10月から11月にかけ、総額420万円が不正に引き出される事件が発生した。欧米では似た手口で既に2000億円規模の被害を出した。正規の銀行サイトで発生した事件を前に、金融機関各社の対策は急務だ。
NTTドコモが大規模な通信トラブルを2カ月に二度発生させた。音声通話やデータ通信が利用できなくなる障害では252万人に、メールアドレスが他人のものと入れ替わる障害は約1万8000人に影響した。スマートフォンの急速な普及にシステムや組織体制が追いついていなかった。
NTTデータが運営する「地銀共同センター」で2012年に起きた、キャッシュカード偽造事件の詳細が判明した。逮捕されたSEはNTTデータの業務委託先社員だった。2006年に発生した類似の事件を受け、セキュリティを強化してきたが、内部事情に詳しいSEに不備を突かれた。
日本年金機構は2015年6月1日、少なくとも125万件の年金情報が流出したと公表した。直接の原因は標的型攻撃を受けたことだ。ウイルス付き偽装メールが開封され、ネットワークを通じてウイルスが拡散した。旧社会保険庁時代から続く情報共有の仕組みが被害を広げる一因となった。
ベネッセホールディングスは2014年7月、会員の個人情報が流出したと発表した。「こどもちゃれんじ」や「進研ゼミ」を利用する、子供の氏名や生年月日が外部に漏洩。アンケートなどで取得した非会員の情報を含めると、流出件数は2300万件に達する。
他人の電子メールが読めてしまう―。NTTコミュニケーションズ(NTTコム)は2月10日、インターネット接続サービス「OCN」に不具合があったと発表した。