プロジェクトオーガナイザの吉田聖書です。
5月28日に、国土交通省 九州地方整備局がプレスリリースを出しまして、管理しているシステムに登録されているユーザー情報が流出したと発表しました。
個人情報の流出に関するお知らせとお詫び(2023/5/28 国土交通省 九州地方整備局)
具体的な事故の内容としては、国土交通省 九州地方整備局 長崎河川国道事務所が管理する溶岩ドーム情報配信システムから、雲仙普賢岳の溶岩ドームの観測状況を防災情報として発信するそうなのですが、そういうシステムがあるんですね。で、その発信先である登録者の96名の情報が流出していることが判明したということです。判明したのが5月27日の22時ごろということですので、第一報は速やかに発表されたということが分かります。
そして、これに反応するような形で、5月29日にNTTセキュリティ・ジャパンが臨時のサイバーセキュリティレポートを公開しまして、国土交通省から流出したと考えられるデータがダークネット上で確認されたと発表しました。
国土交通省から流出したと考えられるデータについてダークネット上で確認(2023/5/29 NTTセキュリティ・ジャパン OSINTモニタリングチーム)
このレポートによると5月26日に、とあるハッカーフォーラムで、国土交通省からハッキングしたと主張するデータが投稿されたということです。ただ、ユーザー情報だけが抜かれていたので、それが何のシステムから抽出されたものなのかが分からないということなのでしょう。先ほどの国土交通省 九州地方整備局のプレスリリースとは「関連すると思われる」というあいまいな表現にとどめています。漏洩したデータに含まれるユーザーの所属から判断すると関連がありそうだということのようです。
冒頭の国土交通省のプレスリリースでは「現時点におきましては、個人情報等の第三者への流出等の二次被害は確認されておりません」と書かれていますが、民間のセキュリティ会社によって確認されたということになりますね。
このNTTセキュリティ・ジャパンの調査と国土交通省の関係はこれらの資料を見る限りよく分かりませんでした。国土交通省が、あるいは日本政府がサーバーセキュリティの委託先としてNTTセキュリティ・ジャパンと契約しているのかもしれませんし、NTTセキュリティ・ジャパンがプロモーションの一環で自主的に調査・公表しているだけかもしれません。それらのレポートから調査員の能力が分かれば、そこにお願いしようかと思う人がいてもおかしくないですよね。
※ この記事は、先日公開した以下の音声コンテンツを基に編集したものです。
ちなみに投稿されたデータというのは、データベースから抽出されたと思われる複数のCSVファイルだそうです。これが、エクスポートされた状態でファイルサーバに配置されていたものを失敬したのか、それともこの投稿者が直接データベースからエクスポートしたのかは不明です。「データには、ID及び平文パスワードの他、名前、役職、メールアドレス等も含まれていた」とサラッと書かれています。平文パスワードというのは、パスワードが丸見えだったということです。
この溶岩ドーム情報配信システムで何ができるのかは分かりませんし、推測ですがそれほど多くのことができるとも思えません。とはいえ、パスワードを平文で保存するというのはいただけないですよね。冒頭の国土交通省のプレスリリースでは、今後の対応として「情報セキュリティ対策や個人情報の管理徹底に万全を期してまいります」と書かれていますが、いやいや、それとは別にまずはパスワードをハッシュ化してもらいたいものですね。
関連記事
プロマネの右腕
プロジェクトマネジメントの支援を行っています。
新サービスの企画を任されたけど どう進めていいか悩んでいる担当者、
部下に新しい企画を任せたけど このままで大丈夫か不安な管理職の方、
以下のサイトをご参照ください。
https://www.crossidea.co.jp/services/right-hand-pmo.html
YouTubeにて動画配信中!
プロジェクトマネジメントのノウハウをYouTubeで配信しています。
ブログと併せてご活用ください。