外注、組織外の人員の出入り情報漏洩のリスクはここにも(1)
近年、経費削減のために企業や政府などは、業務を外注に出す傾向が増えている。加えて、研修、研究などの目的で事務所に部外者が入ってくることも多い。今回は、企業で情報保全に努めていても、思わぬところ、すなわち部外者からの情報漏洩についてみてみたい。
特集
特集
(1)大学から情報漏洩再び
カリフォルニア大学バークレー校のキャンパスネットワークに接続した大学外のコンピュータとサーバから大量の個人情報が漏洩する事件があったことが明らかになった。
データベースには高齢者や障害者など自宅での介護サポートサービス(In-Home Supportive Service-IHSS)利用者およびサービス提供者に関するもので、2001年からの記録が含まれていた。事件は学外研究員である社会調査学者キャンディス・ハウのコンピュータに、ハッカーが今年8月1日、不正にアクセスしたというもの。データは、元々は州政府の健康・福祉サービス局のもので、ハウはIHSSのサービス提供者への賃金が離職状況にどう影響するか調査していた。
データベースに個人情報があった市民は、情報が大学で利用されることを前もって通知されてはいなかった。通知は、事件が明らかになった10月26日から行われている。
大学側が事件に気付いたのが8月30日。そして州に通知したのは9月21日だった。事件は現在、FBIとカリフォルニア州社会福祉部およびカリフォルニア・ハイウェイ・パトロール(州警察当局)で調査中だ。
大学のスポークスパーソンは、「IT担当者で侵入の範囲など調べるのに時間がかかった」とし、「不正アクセスで漏洩したと判明後、直ちに適切な処理をとった」と語った。
「データは合計で約140万件だが、多くは重複していたので実質的には恐らく60万件程度だろう」とカリフォルニア健康・福祉サービス局のカルロス・ラモス次官補は話している。また、「(調査学者は)データを調べる許可を得ていた」ということだ。
漏洩したデータは氏名、住所、生年月日、社会保険番号など。キャンディス・ハウは、コネチカット大学経済学部の助教授だが、今回の作業はカリフォルニア大学で行っていた。
「ハッカーはハウの使用していたコンピュータソフトの脆弱性を利用して侵入した」と健康・福祉サービス局のラモス次官補は侵入経路を話すが、ハウ助教授はコンピュータを適切な侵入に対する保護なしでネットワークにつないでいた。
【執筆:バンクーバー新報 西川桂子】
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
http://shop.ns-research.jp/security/detail.php?form_id=54&page_id=401
《ScanNetSecurity》