動かないコンピュータ

グーグルがバグ入りモジュールを誤配信、多数のAndroidアプリが強制終了に

　2021年3月23日、Androidスマートフォンで多数のアプリが強制終了するトラブルが発生した。バグを含んだモジュール「WebView」をグーグルが誤って配信したのが原因だ。WebViewは多くのアプリで利用され、結果的に「単一障害点」となっていた。障害は12時間にわたって続き、同社の対応にも課…

ワクチン接種記録システム、わずか2カ月間で開発するも情報入力に不具合

内閣官房 情報通信技術（IT）総合戦略室

　政府が開発した自治体向け「ワクチン接種記録システム（VRS）」。タブレットの内蔵カメラで接種情報を読み取りにくい不具合が頻発した。接種歴を迅速に入力する主要機能だが、検証が不十分だったとみられる。

航空管制システムの障害で46便が遅延、冗長化機能の誤作動でサーバーダウン

国土交通省

　2020年12月、国土交通省が運用する航空管制システムに障害が発生した。航行中の航空機に関する一部の情報を管制官が確認できなくなった。管轄エリアに入る予定の航空機が出発を見合わせたことで46便に遅れが生じた。障害の原因はサーバー冗長化機能の誤作動だった。異常系のテスト不足で死活監視の不具合を見逃し…

大学で個人情報が意図せず漏洩、原因は無料セキュリティーツール

　北陸先端科学技術大学院大学（JAIST）で学生・教職員の個人情報1725件が流出した。原因は、職員が無料セキュリティーツールを不用意に使用していたこと。パソコンで扱うファイルが自動的に外部サイトにアップロードされ、公開された。ツールは自動アップロードと第三者公開を利用規約に明記していたが、見過ごし…

みずほ銀行システム障害の一部始終、甘い想定でATM4000台超停止

　みずほ銀行が自行ATMの7割超に当たる4318台が利用できなくなるトラブルを起こした。キャッシュカードや通帳がATMに取り込まれ、何時間も待たされる顧客が続出した。想定の甘さから、定期預金関連のデータ更新処理に起因するメモリー容量不足を招いた。「3度目」の大規模障害はデジタル戦略にも影響しそうだ。

浦安市で保育園の入園選考システムに不具合、内定から一転して落選も

　浦安市における保育園の2021年4月入園選考で誤りが発生した。選考作業を自動化するシステムの不具合が原因だ。新機能を追加した際のテスト漏れで見つけられなかった。調査の結果、19人の点数に誤りがあり、35人の判定が間違っていたことが発覚。改修の時間的余裕はなく、人手ですべて計算し直して対処した。

慶応大学にサイバー攻撃、授業支援システムが狙われた理由

　慶応義塾大学湘南藤沢キャンパス（SFC）などのシステムが不正アクセスを受けた。学生や教職員など約3万件の個人情報が漏洩した恐れがある。さらに授業支援システムを停止せざるを得ず、秋学期の授業開始が1週間遅れた。システムに残っていた脆弱な古いコードが狙われたもようだ。CSIRT（情報セキュリティーイン…

京都市が117億円投じた基幹系刷新を中断、国の方針機に決定

　京都市は総額117億円を投じた基幹系システムの刷新を一部を除き中断した。国が自治体システムの標準化を決め、再度の改変が必要になるとみたからだ。最悪の場合は投資額のうち100億円近くが無駄に終わる可能性がある。

VPNの脆弱性はなぜ放置された、パスワード流出が相次ぐわけ

岐阜県庁など

　米フォーティネットのセキュリティー機器からVPNの認証情報が外部に流出した。岐阜県庁など国内の約600組織で、ユーザーIDや平文のパスワードなどが漏洩した。原因はセキュリティー機器が備えるSSL-VPN機能の脆弱性にあった。被害に遭った企業の多くは脆弱性の存在に気づかず、パッチを適用していなかった…

サーバーの95％が暗号化の被害に、未知マルウエアの感染に気づけず

鉄建建設

　鉄建建設は2020年9月、社内システムが利用できなくなるトラブルに見舞われた。取引先を装ったメールの添付ファイルを社員が開封してマルウエアに感染。基幹システムなど社内サーバーの95％が暗号化の被害を受けた。ウイルス対策ソフトを過信し、未知の脅威への対策が不十分だった。復旧まで2カ月を要し、サイバー…

福井県の企業支援サイトが消失、バックアップが残っていた意外な場所

ふくい産業支援センター

　福井県の企業支援サイト「ふくいナビ」が2020年11月1日に“消失”した。サーバー運用を受託した事業者が、クラウドの更新手続きを怠ったのが原因だ。情報漏洩を警戒し、契約終了後にクラウドの全データを消去する契約だった。オンプレミスにデータがバックアップされていたため最悪の事態は免れた。ただしオンプレ…

著名人アカウントなど130件乗っ取り、知られざるツイッターハックの全容

　世界のユーザー数が3億3000万人を超える米ツイッター。2020年7月にリモートワークの隙を突かれ大量のアカウントが乗っ取られた。ビットコインを送金させる不正投稿で11万8000ドル以上が盗まれた。当時のツイッター社は最高情報セキュリティー責任者も不在だった。

福島県で46市町村の行政サービスが停止、LGWANに接続できなくなった理由

福島県

　福島県の46市町村で2020年6月、大規模なシステム障害が発生し、メールの送受信やコンビニエンスストアでの住民票交付などができなくなった。市町村の通信回線とLGWAN（総合行政ネットワーク）が接続不能になったためだ。原因はネットワークスイッチの故障にあったが、スイッチ機器とネットワークはそれぞれ異…

ゆうちょ銀行で相次ぐ口座の金銭被害、組織の縦割り体質が真因か

　2020年9月から10月にかけて、ゆうちょ銀行の不祥事が相次ぎ判明した。キャッシュレス決済関連の不正出金の被害額は約5000万円に及ぶ。不正アクセスによる個人情報流出なども明らかになった。一連の事件で共通するのは、セキュリティーに対する認識の甘さだ。組織の体質がその甘さを助長したとの指摘もある。

電気・ガスの新料金システムで不具合、原因となった設計上のミスとは

関西電力

　関西電力が2019年10月に全面稼働させた「新顧客料金システム」で、システム設計のミスに起因する3種類の不具合が発生した。約2万件の契約書面が未交付になったほか、割引の未適用などが生じた。プログラムの実装漏れやデータ移行時の不備などが原因だった。

「ドコモ口座」不正の全容、Web口振に落とし穴

　NTTドコモの電子決済サービス「ドコモ口座」を巡る不正利用の全容が分かった。犯人はドコモ口座の開設や口座振替の認証に関わる甘さを突いて、不正出金を繰り返していた。被害はドコモ以外の決済事業者にも広がっており、キャッシュレス決済市場の拡大に冷や水を浴びせかねない。業界を挙げた対策が求められる。

VPN装置からのパスワード大量流出、1年前の脆弱性が突かれたわけ

米パルスセキュア

　VPN装置のIDやパスワードが世界中の900社から流出する事件が発生した。脆弱性を抱えたまま運用していたVPN製品が攻撃を受けた。狙われた脆弱性は、VPN装置上の任意のファイルを外部から読み出せるもの。認証情報を平文で一時保存していたキャッシュファイルを読み取られた。

NTTコム・サイバー攻撃事件の深層、多要素認証を無効化されていた

　NTTコミュニケーションズに対する2つのサイバー攻撃が明らかとなった。延べ約900社・組織の顧客情報が外部に流出した可能性がある。撤去予定だった海外の運用サーバーの「隙」を突かれた。後日、社員になりすました不正アクセスも判明した。攻撃者は端末の多要素認証を無効化し、社内システムに入り込んでいた。

NTT西日本の約1万回線で電話・FAXの誤着信、原因は機器リプレース時の作業ミス

NTT西日本

　2020年6月29日、石川県と兵庫県で電話やFAXの誤着信トラブルが発生した。NTT西日本が実施した機器のリプレース作業における設定ミスが原因だった。影響は最大で約1万回線に及び、同社のトラブルとしては過去最大級。事前に実施したテストに不備があり客からの申告まで障害に気付けなかった。

助成金受付システムが2度停止、短納期がミス誘発か

厚生労働省

　雇用調整助成金の受付システムが2度の停止に見舞われた。どちらも他人の情報を閲覧できてしまう不具合が判明。原因究明と再発防止を急ぐが、再開のめどは立っていない。関係者によると、契約から稼働まで20日もない状況だった。稼働を急ぐあまり、短い納期がミスを誘発した可能性がある。