またしても日本を代表するIT企業から顧客情報が持ち出されました。NTTドコモで勤務する派遣社員が、ネット接続サービスや映像配信サービスの会員情報のリストにアクセスし、ネット接続した社外の記憶装置にコピー転送したそうです。
ドコモ 500万件超の個人情報流出 元派遣社員が不正に持ち出し
NTTドコモはインターネット接続サービス「ぷらら」などで500万件を超える個人情報が流出した問題で、業務を委託していたグループ企業の元派遣社員がデータを不正に持ち出していたと発表しました。
(NHK NEWSWEB 2023年7月21日)
のべ約600万件という数から、会員情報をまとめた台帳データを盗み取ったようです。
【お詫び】「ぷらら」および「ひかりTV」をご利用のお客さま情報流出のお知らせとお詫び
(NTTドコモ公式サイト 2023年7月21日発表)
https://www.docomo.ne.jp/info/notice/page/230721_00_m.html
NTTドコモの発表では、
「元派遣社員が、業務に使用しているパソコンから個人として契約する外部ストレージへアクセスし、2023年3月30日(木)にお客さま情報を含む業務情報を不正に持ち出し・・・」
とあるので、社内のPC端末から外部のネットクラウドにデータ転送できたことを示しています。セキュリティ意識が高いはずのIT企業で起きた事件としては、驚くほどずさんな事例と言えそうです。
もしそうだとすると、以下の3つのセキュリティ上の見落としが日常的に発生していたことになります。
(※この事件の概要と推移が明記されていないため以下は筆者の推論となります。事実誤認があればご指摘いただければ幸いです)
1)社内から外部にある個人のネットクラウドに簡単に接続できた
2)重要な顧客データに派遣社員が業務目的外でアクセスできた
3)のべ600万人ものお客様情報を外部に転送できた
派遣社員に何のアクセス制限もかけていなかったことは、情報ヒエラルキーそのものがなかったかセキュリティホール(抜け穴)があったことを示しています。
おそらく自席には個人のUSBメモリなどの持ち込みは厳禁にしていたのでしょう。そのためネット経由で顧客データを持ち出したと考えられます。
1)~3)のひとつでも不可能にしておけば、情報の窃盗は防げたはずです。国内有数のIT企業にもかかわらず、社員、スタッフの漏洩対策に油断や手抜かりはなかったのでしょうか。
この事件が発覚したのが今年の3月30日。件数を把握したのが7月になってから。なぜ5ヶ月近くもかかったのか、この報告からは不明です。
「不正に外部に持ち出された情報について、現時点では第三者による不正利用などは確認されておりません」(NTTドコモ公式サイト)と説明しています。
過去の事例からすでにわかっていることですが、個人情報の悪用が始まるのは、情報流出の直後ではありません。顧客名簿があちこちに売買されてから犯罪グループは動き出します。怪しげなメールやスパイウイルスが一斉に送られてくるのはもう少し先になります。
NTTドコモの説明はそういう意味での「現時点では・・・確認されておりません」と理解しておきましょう。
利用価値の高い顧客データが流出すると、携帯番号などにダイレクトにフィッシング詐欺メールなどが届く可能性もあります。
また、詳細は記載しませんが、スマホをハッキングやクラッキングされてしまうと、取り返しの付かない損害を受けることがあります。
なお、NTTドコモグループでは、過去にも社内スタッフが顧客情報を持ち出す事件が複数回発生しています。
NTTドコモグループで発生した情報漏洩事件まとめ
事件が起きた原因(問題点)
NTTドコモグループで発生したこれらの事例を詳しくみてみると、いずれも派遣社員等が個人情報に簡単にアクセスできてしまっているところに問題があると考えざるを得ません。
したがって、事件の再発を防ぐには情報を管理する体制を明確にすると同時に適切にアクセス権限を設定して、権限のないものが情報にアクセスできないようにする必要があります。
(サイバーセキュリティ.com 事務局 公開日:2017.07.31 | 最終更新日:2021.07.10)
せっかくの貴重な提言でしたが、その効果はありませんでした。残念ながら今回も過去の苦い経験は活かされなかったようです。
事件を教訓にして二度と起こさないよう対策を施すことは、セキュリティ対策の基本です。
当コラムでは「個人情報は守る時代から攻撃に備える時代」に変わったと警告しています。
[798]個人情報は守る時代から、被害を防ぐ時代に変わりました
2018年時点で、2億件以上の日本人個人情報が中国の闇サイトで売買されていると[ITmedia NEWS]が伝えています。
(当コラム 2023年05月26日)
https://www.asuka-g.co.jp/column/2305/012304.html
今回の事件でご自身の個人情報が盗まれた方は、当分の間はこれ以上の被害を受けないよう、気をつけて生活するしかなさそうです。(水田享介)