尼崎市のUSBメモリ紛失事件　“アンチパターン盛り合わせ”から学べること

写真 尼崎市は個人情報を含むUSBメモリの紛失を報告した（出典：尼崎市のWebサイト）

　非常に悩ましいインシデントが発生しました。兵庫県尼崎市は2022年6月23日、全市民46万517人分の氏名や住所、生年月日を含む情報を格納したUSBメモリを紛失したと報告しました。

【その他の画像】

　翌24日には、カバンとともにUSBメモリが発見されたと報告がありひとまずは安心ですが、各種報道で大きく取り上げられたこのインシデントは、私たちがデータ保管の在り方を見つめ直すきっかけとなったのではないでしょうか。

●データ保管の“アンチパターン盛り合わせ”から何を学ぶべきか？

　インシデントの経緯は、該当業務を委託されたBIPROGY（旧称日本ユニシス）の従業員が、データ移管作業のために必要なデータをUSBメモリに記録。その後USBメモリを入れたカバンを飲食店に立ち寄った際に紛失したというもので、本稿執筆時点では、以下の問題が発覚しています。

・データ処理の許可は得ていたものの、そもそもUSBメモリに入れて個人情報データを運搬する許可は得ていなかった

・個人情報を記録したUSBメモリを個人で事業所外に持ち出した

・データ移管作業後、速やかにデータを消去しなかった

・データを保管したUSBメモリを所持したまま、飲食店に立ち寄り飲酒をした

・USBメモリが入ったカバンを紛失した

　正にセキュリティ研修で挙がりがちな悪い事例を詰め合わせたケースといえます。一部報道では「正」「副」の2本のUSBメモリを同時に持ち歩いていたとされていたことや、禁止されていたはずの業務再委託が行われていたのが発覚するなど、全体的に“やったつもりのセキュリティ対策”が目立つ印象です。

　本件ではまず大前提として、無許可の情報持ち出しができてしまう状況にあったことに原因があることは間違いなく、この点に関しては多数の報道でも指摘があったと思います。

　しかし今回の事例は、上記に加えて「自分ごとにできるセキュリティ対策」においても学ぶことが多いインシデントでした。本稿はその「事後対応」に焦点を絞って考えていきましょう。

●“出すべき情報”と“出すべきではない情報”の精査が求められている

　今回のインシデントでは各種報道でもある通り、記者会見の場で担当者が「パスワードの文字数」を明らかにしてしまったという点が非常に問題視されています。

　当然ですがパスワードについては、関連する一切の情報を公開しないことが防御の要となります。会見で明らかになった文字数は、「英数字13桁」とそれなりに長いものであったため、ランダムな文字列や関連性のない単語が使われているのであれば“強度がある”といえるのかもしれません。

　しかし、USBメモリに、例えば5回連続してパスワードを間違うと消去されるというような機能がない限り、文字数が固定かつ「オフラインで」パスワードを試行できる環境では、総当たりの回数を劇的に減らせるパスワード文字数という情報は、明らかに公開すべきものではありませんでした。

　恐らく「これだけ長いパスワードであれば安全」という意識があり質問に答えてしまったのではないかと思いますが、ほんのわずかな情報がサイバー攻撃者にとっては大きなヒントになる可能性があることを認識しておくべきでしょう。

　これは広義の「不必要情報」と呼ばれ、例えばエラーメッセージがヒントになってしまったり、バナー情報と呼ばれるバージョン情報が相手に攻撃の糸口をつかませてしまったりという“脆弱（ぜいじゃく）性”と考えてよいでしょう。

　何らかのインシデントが発生し、その状況をレポートする企業が増えたことは大変喜ばしいことですが、そのレポートの中に出さなくてもよい、または出してはいけない情報もあるという点は、恐らくこれから精査されることになると思います。これだけでも大変重要な教訓になります。

●失敗を責めない文化がセキュリティの強化につながる

　USBメモリを紛失した従業員に対してSNSでは厳しい言葉が飛び交っていますが、筆者としては、故意ではなくUSBメモリを入れたカバンをうっかり紛失してしまったとすれば、その後隠すことなくしっかりと事実を報告した点についてはむしろ評価されるべきだと考えています。

　失敗を責めてしまえば、それが失敗を許さない空気を作ることになり、今後同じようなインシデントが発生したときに、真っ先に“隠す”ようになります。その点においては、きちんとインシデントが報告され、組織としてもこれをカバーする姿勢が見えただけでも、光が差しているといえるでしょう。

　誰であっても失敗する可能性はあります。セキュリティ研修は同じ失敗を繰り返さないよう、基本的な情報保護のルールを教える他、インシデント後に報告をしっかりと挙げられる組織にするために、報告のルールや報告窓口についても教える必要があるでしょう。

　セキュリティ対策に先進的な取り組む多くの組織は「どんなに小さなことでも報告し、それをとがめることはない」という仕組みや文化を作っています。だからこそわずかなサイバー攻撃の兆しを逃すことなく、キャッチできるわけです。尼崎市およびBIPROGYには、当該従業員のケアにも注力してほしいと、筆者は思います。

●詐欺師のキャンペーンに引っ掛からないためにできること

　ちなみに個人に起きる影響でいうと、今後はインシデントに便乗した詐欺についても注意すべきでしょう。例えば「尼崎市の情報漏えいの影響で、あなたの口座がロックされている。解除するにはこのURLから口座番号と暗証番号を入力し……」といった詐欺が予想されます。

　詐欺師はあなたを不安にさせ、急がせるためのネタを探しています。その意味では、今回の事件はうってつけで、特に尼崎市民全員が対象ですので、何らかのばらまき攻撃が成功してしまうかもしれません。

　対策としては今回のインシデントをフックにしたメールや電話、SMSは、基本的に無視しましょう。特に急がせるのは詐欺師の常とう手段です。もし上記のような連絡が来て心配になったら、尼崎市が用意した連絡先に問い合わせてみましょう。尼崎市は既に詐欺に対する注意を喚起しています。こちらも併せてチェックしましょう。

　尼崎市に家族がいる方は、ぜひこのような可能性をあらかじめ、詐欺師よりも先に話をしておくとよいでしょう。ターゲットになるのは高齢者も多いと思いますが、親族が詐欺のパターンを教えておけば防げるかもしれません。

　今回の事件は、どの企業でも起きうるありふれたパターンだと思います。USBメモリは禁止している企業ほど、隠れて使うといった運用がされているものです。もちろんITを駆使して、情報漏えい対策が搭載された専用のUSBメモリを用意しているところもあるかもしれませんが、そうではない企業は「隠れてUSBメモリが使われている」前提で、もう一度見直す必要があるでしょう。

　このようなインシデントが発生した時のために、対外発表の練習も必要かもしれません。そういったことを考える組織が「CSIRT」です。今回の事件を自分ごととして捉えた企業は、CSIRTの設置に関しても検討してみてください。そして個人では家族を守るために、家族の会話にセキュリティの話題を取り上げてみてはいかがでしょうか。

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。