練馬のみなさまへ 協業のお願い!

小平市環境家計簿の情報漏洩から学ぶセキュリティ対策と事後処理

エコダイラ

小平市環境家計簿の情報漏洩事件

2018年6月26日に東京都小平市が運営する「環境家計簿」というウェブサイトから、ユーザー1516人の情報が漏洩したことが発表されました。

参考 個人情報:小平市サイトで漏えい 1516人分 /東京毎日新聞

この小平市の事件、率直に言ってつっこみどころが満載で、ケーススタディとして取り扱わない理由が見当たりませんでした。

今回は小平市環境家計簿の情報漏洩事件から、セキュリティ対策と、情報漏洩が起こってしまった時の対応を考えていきましょう。

事件の概要

環境家計簿が報告している事件の概要

改めて事件の内容を環境家計簿のお知らせから引用してみましょう。

漏洩の状況

 2018年3月19日15時9分から3月20日12時2分にかけて、小平市環境家計簿の登録者に関する情報が抜き出されていたことを、2018年6月26日に確認いたしました。3月20日の時点で利用されていた方で、環境家計簿アプリの利用者も含めて全員の情報が漏洩していました。

原因

 弊社(京都の業者。引用者注)が保守管理する小平市環境家計簿と同様のサイトに対し、脆弱性を突いた攻撃があり、データ・ベースの権限の切り分けが不十分であったことから、小平市環境家計簿の情報まで閲覧できる状態となっていました。

対応策

 データ・ベースの権限の切り分けの徹底により、情報漏洩の防止策を施しました。

予想される被害と対応のお願い

 メールアドレスが漏洩しており、皆様のメールソフトに詐欺メールなどが届く可能性があります。あやしいメール、身に覚えのないメールは開かないようにしてください。特に、知らない発信者から送られてくる添付メールは開かないようにしてください。
 パスワードは暗号化されているため、再現はできないようになっていますが、念のためパスワードの再設定をお願いいたします。

引用:お知らせ 小平市環境家計簿「楽しく省エネ!ECO(エコ)ダイラーくらし宣言」(https://ecodaira-sengen.jp/index.php?mode=info&p=one&i=114)

さらに27日に投稿されたお知らせの内容を踏まえて事件をまとめると、以下のようになるかと思います。

事件のまとめ
  • 小平市が委託していた京都の業者のシステムの脆弱性を突いた攻撃があり、サーバーに侵入された
  • サーバーは京都の業者のお客さんでシェアしていた模様
  • シェアの際、権限分けが上手くなされておらず、他人のデータベースも見られる状態であった
  • そのため、京都の業者が抱える他のお客さんへの攻撃の際に環境家計簿のデータも取られてしまった

セキュリティ対策を考えよう

サーバーの権限分けって何?

「サーバー」や「データベース」、「権限わけ」という言葉がでてくると、難しく感じてしまいます。

イメージとしては、USBメモリーをみんなで共有していて、他人が作ったデータも見れるようになっていたということです。

サーバーの権限分け

サーバーもフォルダ分けされており、このフォルダはAさん、このフォルダはBさんしか開けないようにする、ということができます。

しかし、今回はその設定が上手く言っていなかったということです。

サーバーをシェアするということ

サーバーをシェアすることはままあることです。レンタルサーバーのサービスではサーバーを複数ユーザーでシェアしています。

例えばさくらインターネットのレンタルサーバーを借りると、他人のフォルダを見ることはできます。ただしもちろん、他人のフォルダの中身を見ることはできません。

大手のレンタルサーバーでは権限分けができていないということはないでしょうが、他のユーザーのトラブルの被害にあうというリスクもあるということは頭のすみに置いておいたほうが良いでしょう。

とはいえ、専用サーバーをたてたほうがよい

そうはいっても、今回の環境家計簿が合意の上で複数ユーザーでシェアされたサーバーを使っていたかは別問題で、この点は京都の業者が黙っていたのかもしれませんし、小平市が費用削減からサーバー料金をおさえようとしたのかもしれません。

ともあれ、こうしたWebサービスを使う場合は、専用のサーバーをたてたほうが万一の際に安心です。

システムの脆弱性

そしてもうひとつ情報漏洩の原因とされているのがシステムの脆弱性です。システムからサーバーにまで入られてしまうというのはなかなかないことで、セキュリティ対策が考えられたシステムではなかったのだなと思います。

システムを開発するのは簡単なのですが、セキュリティ対策されているかどうかは全くの別物です。

お問い合わせフォームについても、それっぽいものをつくるだけであれば数時間でできちゃうかもしれませんが、セキュリティ対策をふまえてつくっていくと一週間程度かかってしまいます。

「そこらへんの業者に頼んだら数千円でお問い合わせフォームつくってくれるで!」と時々いわれるのですが、同じフォームに見えてもピンからキリまであるのです。

そしてなんで京都の会社なんだろうか……

何より気になるのが、今回対応されたのが京都の業者であること……。
実際ウェブサイトはつくって終わりではなく、運用こそ重要です。
よほど優秀なウェブ担当者でもいない限り、近くの業者にお願いした方が良いでしょう。

情報漏洩後の対策

さて、情報漏洩はあってはならない大事件ですが、さらに問題なのが、今回の事後処理です。

100点満点中、10点くらいしかない対応だと思われますので、いくつか問題点を指摘したいと思います。

アナウンスが悪い

そもそも今回の事件、個人情報が流出しているのにアナウンスが悪く、お知らせが掲載されているのみです。

今回のようなケースであれば、完全に原因の調査が終わるまでサイトを停止させるか、少なくともWebサイトのもっと目立つところに情報漏洩がおきてしまったことを告知すべきではないでしょうか。

そしてそもそも登録できることがおかしい

さらに言えば新規登録のフォームがまだ使えることにも首をかしげてしまいます。サイトの停止ができなくとも、入力フォームなどは全て削除、もしくは使用できなくするべきです。

アナウンスが徹底されておらず、フォームも生きていたらさらに被害が拡大する恐れがあります。

そして2018年6月28日現在のユーザーを見てみると

ユーザー

1,516人全員の情報が流出したというのに、ユーザー増えてるやないかーーーい!

もちろん今回の事件は3月20日にデータが抜き取られているので、3か月間のラグがありますし、業者のテスト登録などあるかもしれませんが、個人情報が漏洩したというのに何となく悠長な気がしますよね。

メールで個人情報が流出してしまったことを告知しているようですが、それであればもっと退会者がでてもおかしくないですし、メールでの告知も徹底されていないのではないでしょうか。

おわりに

最後に、今回の事件に対して、京都の業者の対応が悪かったというお知らせが出ていますが、少し同情してしまいます。
もちろんもっといい対応をするべきだったと思いますが、そうした業者の選定含め、発注者である小平市の責任なのではないでしょうか。

プロジェクトを進める上で、発注者と受注者は運命共同体です。なんか「京都の業者がやりました。私たちも被害者です」という小平市のスタンスが見え隠れして、今回の事件は起こるべくして起きたんだろうと感じてしまいます。

小平市という東京の決して大きいとは言えない地域の中で、1,600人近いユーザーを獲得しているというのは、市民の環境に対する意識の高さを物語っているといえます。是非とも改善していただき、さらなるサービスを期待したいと思います。