USBメモリ、メモ、ノートPC……紛失事案が目立った10月セキュリティまとめ 問題は隠さず即報告を（2/2 ページ）

[谷井将人，ITmedia]

YouTubeで偽物が配信　フィッシング詐欺に

　国民体育大会の実行委員会を装ったフィッシング詐欺も問題になった。偽物は国体のロゴやマスコットを無断使用し、YouTubeで動画を配信。静止画を映し続けるだけの配信で、本編を見るには外部サイトにアクセスする必要があるとしてフィッシングサイトに誘導する。

＜関連記事：YouTubeに“フィッシング画像”出現　「動画見たいならクリック」→カード情報詐取＞

　SMSやメールを使って誘導するケースが一般的だが、この事案のように動画など特殊な誘導方法をとる場合もある。

本物の配信サイト

警察庁の偽アプリ　不審SMSで誘導

　警察庁は、同庁をかたる偽SMSを確認したとして注意を呼び掛けた。偽SMSは「警察庁セキュリティ」という偽アプリのダウンロードを求める内容で、マルウェア感染などの問題が発生する恐れがある。

＜関連記事：警察庁かたる偽SMSに注意　偽アプリ「警察庁セキュリティ」DLに誘導＞

　同庁は、こうしたSMSを受信した場合は、アプリをダウンロードしたり金銭の支払い要求に応じず、「フィッシング110番」から各都道府県警察の専用窓口に通報するよう呼び掛けている。

受験結果が他人にばれる　ソースコードのコピペでミス

　Z会グループのZ会ソリューションズは、システム開発委託先のミスで、生徒の受験結果が他の生徒にも見える状態になっていたと明らかにした。

＜関連記事：「他の生徒の受検結果が見える」Z会が謝罪　教師用画面のコードを生徒用に転用してミス＞

　問題があったのはテスト「DiscoveRe Method」のWebシステム。開発委託先が教師や管理者用の画面を作る際に使ったコードを受験者用画面にも転用した際に、修正漏れが発生したのが原因という。

Web制作サービスが改ざんされる　利用サイトで情報流出の恐れ

　Web制作ツールの開発を手掛けるショーケース（東京都港区）は、同社のクラウドサービスで改ざん被害が発生したと明らかにした。改ざんされたのは、入力フォームの操作性を向上させるツールなどで、利用しているWebサイトでユーザーの入力した情報が外部に流出した可能性がある。

＜関連記事：Web制作サービスが改ざん被害に　利用したサイトで情報流出の恐れ＞

　ソースコードは修正済み。再発防止策も講じているという。流出の恐れがある企業には対象となる情報や期間を連絡した。所轄の警察署にも被害申告をしており、今後の調査にも協力するとしている。

　Webサイトなどに組み込んで使うツールやサービスで問題が発生した場合は、影響が大きくなる恐れがある。以前は、決済システムを提供するメタップスペイメント（東京都港区）が不正アクセスなどの攻撃を受けクレジットカード情報が流出する事案が発生。日本赤十字社や公共施設、チケットサイト、学会などが“巻き添え被害”に遭った。

紛失したら即座に報告

　情報セキュリティ事案を把握すれば、同じ失敗をしないよう具体的な対策を実施できる。10月は紛失事案が目立ったが、幾つかの共通点が見て取れる。

　QST病院、神戸市獣医師会の事案は、紛失に気づいてから上長などに報告するまでに時間がかかっている。情報を記した媒体を紛失した際には即座に報告するのが望ましい。状況が把握できれば迅速な対応が取れ、二次災害を防げるかもしれないからだ。

　尼崎市でのUSBメモリ紛失も、報告が遅れていればデータが広くばらまかれていたかもしれない。電子機器などの紛失を想定した社内ルール作りや、従業員が即座に報告しやすい雰囲気作りなどが求められる。