足立区の最新情報をご存じでしたらお気軽にTWITTERまで連絡下さい。精査の上記事に取り上げます
Public Relations

まじか。。足立区役所がひそかにサイバー攻撃を受けていた件/個人情報が流出か?(令和3年4月11日速報)

Public Relations
その他
Public Relations
Public Relations

足立区の委託業者へのサイバー攻撃

足立区役所が契約している保守・コンサルティング会社(ランドブレイン株式会社(千代田区平河町一丁目2番10号))へのサイバー攻撃があり、足立区役所の保有している個人情報をはじめとする情報が外部に流出している可能性があるとのことです

  

委託先のパソコンがコンピューターウィルスに感染し第3者がサーバーにアクセスできる状態だったこと発表されています

データの攻撃の詳細は発表されていません
というか、情報を抜き取られたかどうかもわかっていない可能性があります

 

↓こちらが足立区が公開しているサイバー攻撃に関する情報です

区が委託契約しているコンサルティング事業者のサーバーに対するサイバー攻撃について
Public Relations

発生日時の公表は無し

足立区役所からの発表にはいつ、ウイルスに感染し、サーバーへアクセスされたなどの発表はありませんが、2021年3月5日の段階で、第一報を公開しています

 

情報の確認の期間を考えると2021年2月頃にサイバー攻撃を受けたということでしょうか

 

第一報には足立区役所がコンサルティング業務を委託している事業者(ランドブレイン株式会社(千代田区平河町一丁目2番10号))のサーバーが、第三者からのサイバー攻撃によりコンピューターウイルスに感染し、情報流出の可能性がある旨の発表されています

 

情報漏洩の恐れがあるデータ一覧

事業者へのヒアリングの結果、被害のあったサーバーには平成29年度から令和元年度までの成果品が保存されていたため、下記の委託契約の成果品から情報漏洩の可能性があることが判明しました。

 委託件名契約年度所管成果品に記載されていた個人情報等
歩行者系案内サインマニュアル及びサイン整備計画の修正等業務委託令和元年度都市計画課なし
江北四丁目大学病院予定地周辺道路予備設計業務委託平成30年度工事課会議の議事録
竹ノ塚駅周辺地区まちづくり連絡会運営等業務委託令和元年度竹の塚整備推進課会長氏名
東武伊勢崎線(竹ノ塚駅付近)連続立体交差事業高架下利用・駅施設アンケート調査業務及び竹ノ塚駅周辺地区まちづくり連絡会運営等業務委託平成30年度竹の塚整備推進課会長氏名
東武伊勢崎線竹ノ塚駅周辺地区(中央ブロック)地区計画(案)検討等業務委託(その3)平成29年度竹の塚整備推進課土地建物登記情報会長氏名説明会参加者名簿
不燃化特区全戸訪問業務委託平成30年度から令和元年密集地域整備課土地建物登記情報アンケート
住宅マスタープラン改定調査業務委託平成27年度から平成29年度住宅課会議の議事録
住生活基本計画追加分析業務委託平成29年度住宅課なし

・関係機関との協議資料(竹の塚エリアデザイン計画策定業務委託)
連絡会名簿(まちづくりコンサルティング業務委託(興野周辺地区))
地権者名簿(まちづくりコンサルティング業務委託(興野周辺地区))
・まち歩き参加者名簿(まちづくりコンサルティング業務委託(興野周辺地区))
・連絡会名簿(竹ノ塚駅周辺地区まちづくりニュースの作成等業務委託)
・まちづくり構想案パブリックコメント意見提出者名簿(北千住駅東口周辺地区まちづくり計画変更等業務委託)
地権者名簿(北千住駅東口周辺地区まちづくり計画変更等業務委託)
・調査会名簿(赤山街道沿道地区まちづくり関連調査会運営等業務委託)
地権者名簿(赤山街道沿道地区まちづくり関連調査会運営等業務委託)


上記内容が足立区役所が発表している情報漏洩の可能性のある資料となります
赤字にしている部分が個人情報が多く入っている資料となります

 

外部に漏れた可能性がある資料の中には、アンケートや事業に関わる住居等の登記情報、地権者名簿など結構な数の個人情報があるのがわかります

しかも足立区役所側はアンケートには個人情報の記載がないと言っていますが、本名でアンケートを受けた方もいらっしゃると思いますから、ちょっと曖昧にしていますね。きっと

まだまだ増えてしまう可能性もありそうです

  

2 対応状況

第1報と同様に以下のとおり対応しています。
(1)情報流出の恐れがある対象者のうち、連絡先を把握している個人・法人につきましては、個別に連絡し、事情を説明しています。
(2)登記情報等であるため連絡先を把握できない地区は以下のとおりです。対象者に対しては、当ページにて周知させていただきます。

地区対象の契約
竹の塚一丁目から竹の塚七丁目/島根二丁目/六月一丁目から六月三丁目/東六月町/西保木間一丁目、西保木間三丁目/栗原二丁目/伊興一丁目、伊興三丁目から伊興五丁目/東伊興一丁目から東伊興四丁目/伊興本町一丁目、伊興本町二丁目/西竹の塚一丁目、西竹の塚二丁目/保木間二丁目から保木間四丁目東武伊勢崎線竹ノ塚駅周辺地区(中央ブロック)地区計画(案)検討等業務委託(その3)
足立一丁目から足立四丁目/梅田一丁目から梅田八丁目/興野一丁目から興野二丁目/関原一丁目から関原三丁目/千住一丁目から千住五丁目/千住旭町/千住大川町/千住寿町/千住龍田町/千住中居町/千住元町/千住柳町/千住東一丁目、千住東二丁目/西新井栄町一丁目から西新井栄町三丁目/西新井本町一丁目、西新井本町四丁目、西新井本町五丁目/本木一丁目、本木二丁目/本木北町、本木西町、本木東町、本木南町/柳原一丁目、柳原二丁目不燃化特区全戸訪問業務委託

実際にサイバー攻撃が足立区役所を狙ったものではない可能性もありますし、委託先の失態なので、足立区に責任があるかどうか今のところは分かりませんが、こういったデータの中に税金関連や生活保護情報などがあった場合、さらにおおきな問題に発展することが予想されます

(登記情報だけでも十分大問題ですが。)

 

ハッキング情報追加 第三報(令和3年4月5日)

事業者による調査状況について

現在、調査会社が解析・分析を行っており、4月中旬に最終報告される見込みです。

事業者の再発防止策について

事業者から、以下の対策を講じる予定である旨の報告がありました。

  1. 新たな相談窓口の設置
    データが流出したことが判明した場合、関係者の問い合わせに対応するため新たな相談窓口を設置する。
  2. 対策会議の設置
    情報セキュリティ対策について技術面・管理面での評価・分析を行い、再発防止策の検討を行う「対策会議」を設置予定である。
  3. 情報セキュリティマネジメントシステムの構築
    サイバー攻撃から重要情報資産を保護するために、情報セキュリティマネジメントシステム(ISMS)を構築し、国際規格であるISO/IEC 27001の第三者認定取得も検討する。

※ISMS、ISO/IEC 27001
ISMS:情報セキュリティを適切に管理するシステム・仕組み
ISO/IEC 27001:どのようにISMSを構築し運用するかを定めた国際規格

 

大した情報ではなかったですね、4月中旬に最終報告を出すとのことですが、対策にISO27001などの取得も視野に入れていると言われていますが、それまで対応してこなかったことと、セキュリティが甘い中、行政のデータ管理を請け負っていたというちょっとお粗末な内容だったのではないかと推測します(もちろん管理企業はしっかり管理をしていたのかもしれませんが)

 

詳細は4月中旬の最終報告を待つことにしましょうか

まとめ

足立区役所の資料があるサーバーだと犯人側が認識していたかどうかは分かりませんし、サーバーの中のデータを盗んだ、改ざんしたのかどうかも分かっていませんが、足立区役所発表によると、今のところ大きな被害というわけでは無いとのことです

ですが足立区は60万人以上の住人がいる地域となりますから、これ以上大きな被害が無いように祈るばかりですし、登記情報などが名簿として流通してしまった場合は、大まかな資産までわかってしまい、詐欺などに利用される恐れすらあります

 

今回はウィルス感染からのサーバーハッキングという事なので、メールやウェブページなどからのウイルス感染が予想されます。詳細の発表はありませんが、だとしたら凡ミスですね

足立区役所管理のデータベースにアクセスできたというよりは、データ保管のフォルダにアクセスされたというものでしょうから、この程度で済んだようです

サーバー管理の会社も十分なセキュリティを講じていたとは思いますが、2度とこういったことが無いように再度セキュリティと従業員の教育を徹底していただきたいものですね

 

今後の動向次第で大きく雲行きが変わってくる可能性がありますから、速報があり次第更新していきたいと思います

コメント

タイトルとURLをコピーしました