「フラット35」情報漏えい事件から学ぶ基本の大切さ:セキュリティのアレ(40)
セキュリティ専門家が時事ネタを語る本連載。第40回は住宅金融支援機構(優良住宅ローン)が10月に公表した情報漏えい事件を振り返ります。
実事例から学ぶ基本の大切さ
セキュリティ専門家が時事ネタなどを語る連載「セキュリティのアレ」。第40回は、住宅金融支援機構(優良住宅ローン)が公表した情報漏えい事件を取り上げます。解説するのは前回に引き続き、根岸征史氏と辻伸弘氏。本連載に関するご意見、ご感想はTwitterハッシュタグ「#セキュリティのアレ」までお送りください。
宮田 セキュリティのアレ、2016年最終回です。今回は2016年10月に住宅金融支援機構(優良住宅ローン)が公表した「フラット35」の利用者情報の漏えい事件を取り上げます。3万7000件超の機微な情報が漏えいした可能性があるとの発表がなされましたが、発表の中に気になるところがあったそうですね?
根岸氏 この事件は、複数の役職者のメールアカウントに対して第三者が勝手に転送設定を行い、一定期間メールが外部に流れてしまっていたというものでした。まずこの手口自体が、他の情報漏えい事件ではあまり見られないものです。
それから、システム管理者が転送設定を解除した後に、メールの中身を開示しないことと引き換えに金銭を要求する“脅迫メール”が届いたという点も、通常の情報漏えいとは少し違う、きな臭い感じがしましたね。
辻氏 私もニュースリリースの文言が気になってこの事件について調べていました。不正アクセスされたのが「メールサーバ」ではなくて「メールの管理サーバ」と書かれていた点です。
調べた結果、どうやらメールサーバもWebサーバもオンプレではなく、外部のホスティングサービスを利用しているらしいことが分かりました。そのサービスにはメールやWeb用の管理画面があって、あくまで推測ですが、恐らくここが突破されたのではないかと考えています。
動画本編では、被害に至った経緯について幾つかの可能性を考えつつ、本件のような被害はどうすれば防げるのかを探っていきます。ぜひご覧ください。
Copyright © ITmedia, Inc. All Rights Reserved.