青森県弘前市などの職員約2,700人分の個人情報が記されたデータが12日に匿名の人物からマスメディアに寄せられたという記事がありました。
データには氏名、住所、生年月日、給料支給額、最終学歴などの詳細な情報があったとのことです。
また、「職員の個人情報が流出している」と指摘するメールが2日に市に寄せられていた事実も判明しました。
市は「データが内部情報なのか?市のサーバーに外部から侵入があったかもを含めて調査中」との事です。
外部からの不正アクセスはまずありえない・・・内部犯行しかない!
現在地方公共団体の業務系パソコンは、全国統一的なセキュリティクラウドというシステムで構成されています。
これは、簡単に言えば、地方公共団体のパソコンからは直接インターネットにアクセスできない構成となっており、インターネットを使う場合は、インターネットに接続された専用物理の端末を使うか、「Citrix等」の画面転送システムを使って利用します。
ですので、基本的に外部から不正に内部サーバーにアクセスすることは事実上は不可能です。
・・・と思っていたら、やはり内部犯行であったとの記事がありました。
やはり内部犯行だった!
内部犯行で容疑者が逮捕されたとの記事が掲載されていました。
内容は次のとおりです。
漏えい容疑で弘前市職員逮捕 市の個人情報、地元紙に―青森
JiJi.com
青森県弘前市の職員約2700人分の個人情報が流出した問題で、青森県警は1日、同市職員瓜田武久容疑者(53)=同市北柳町=を地方公務員法(守秘義務)違反と偽計業務妨害の疑いで逮捕した。
県警によると、情報を流出させたことは認め、偽計業務妨害容疑は否認しているという。逮捕容疑は、昨年12月12日、弘前市職員の個人情報を添付した電子メールを地元紙に送信し、業務上知り得た秘密を漏らすとともに、同月から今年2月にかけ、地元紙から連絡を受けた市に情報流出の有無の確認をさせるなどし、市職員の通常業務を妨害した疑い。
弘前市によると、瓜田容疑者は市農業委員会事務局主査で、メールが届いたのは地元紙の東奥日報社(青森市)。
2017年度時点の非常勤を含むほぼ全職員2747人分の氏名、最終学歴、給料など約70項目が記され、市人事課で管理するデータとほぼ同じものだった。
流出ルートが判明しなかったため、市は今年1月8日、地方公務員法(守秘義務)違反の疑いで県警弘前署に容疑者不詳のまま刑事告発した。
市人事課で管理するデータは同課の共有サーバーで保存されており、アクセスできるのは同課のパソコンに限られ、パスワードが必要。
瓜田容疑者は昨年10月から長期休暇中で、過去に人事課に在籍した経歴はないという。
県警によると、瓜田容疑者はデータを持ち帰って自宅のパソコンから送ったと供述している。県警はデータの入手経緯や動機などを詳しく調べる。
桜田宏・弘前市長は「職員の逮捕は極めて遺憾で、市民の皆さまに心より深くおわびする。事態を重く受け止め、職員一丸となり信頼回復に全力で努めたい」とコメントを出した。
漏洩したデータ形式ははっきりとは明記されていませんが、市の人事課によると、漏洩したリストに似たエクセルデータ形式で職員の個人情報を管理しているとのことです。
また、職員のデータは、同課の共有サーバーに過去分を含めて保存さており、データにアクセスできるのは閲覧に必要なパスワードを知る職員のみだという事です。
JiJi.comの記事では「 市人事課で管理するデータは同課の共有サーバーで保存されており、アクセスできるのは同課のパソコンに限られ、パスワードが必要」となっていますが、これは正直なところウソくさいですね。
人事課専用のネットワークを構築しているとは思えない!
どこの自治体でもそうだと思いますが、人事課だけの専用ネットワーク(物理的・論理的含む)を構築しているところはまずないと思います。
一般的には、全部署のネットワークは、いくつかのセグメントに分かれていたとしても、最終的には、上位のL3スイッチでルーティングし、相互に通信できる様に設定されている筈です。
そうでもしないと、ネットワーク設定がかなり複雑になりますし、毎年人事異動があり、部署の位置も変わる事をあることを考慮すると、いちいち部署単位でスイッチの設定なんてしてられません。
ですので、弘前市でも恐らく同様に全部署共有のネットワークになっていたと推測します。
せいぜいあるとすれば、人事課専用のNASが置いてあるくらいでしょう・・・
しかし、そのNASも可用性を考慮すると、いらくRAIDが組んであったとしても民生品です・・・
専用のサーバーにかないませんので、恐らくですが、ウインドウズアカウントを部署別に作り共有のファイルサーバーを使っていたと思います。
つまり、IDとパスワードさえ分かれば、誰でも人事課の共有ファイルサーバーにアクセスできるという事です。
どこの役所のセキュリティーも実際は甘々・・・
その共有ファイルサーバーのIDとパスワードも定期的に変えれば良いのですが、滅多に変えません・・・
セキュリティポリシー的には、定期的に変更する様になっているのですが・・・
案外面倒くさいので、誰も変えないんですよね。
ですので、人事異動の度に、職員が入れ替わる度にIDとパスワードがどんどん漏洩していくという仕組みです。
この容疑者は、人事課に所属した事がないとのことですが、恐らく・・・
知っている誰かから教えてもらった
若しくは・・・
非常に簡単なIDとパスワードだった(例えば:jinji/jinji)
可能性があります。
しかも、長期休暇中との事です・・・
大方、パワハラ・激務・本人のやる気なしか何かでうつ病で休んでいいたのでしょう・・・
最近流行りの周りのせいにしたがる新型うつかもしれません。
被害妄想で勤務先に嫌がらせをしたかっただけかもしれません・・・
せめてもの救いは住民の個人情報では無かった事・・・
ブログランキングにご協力ください!
せめてもの救いは、漏洩した情報が職員の情報であり、住民の個人情報でなかった事でしょう・・・
宜野湾市の男性職員が住民の個人情報を漏えいさせたという事件もありましたが・・・
役所の中でも、住民登録部門・税部門・保険部門・福祉部門等は、全ての住民の個人情報を簡単に見れますし、抜き取る事もできます。
その気になれば、簡単に全住民の情報を漏えいさせる事ができるのが、役所のセキュリティの本当の姿です。
地方公務員法の守秘義務条項により、そんな事をした場合の後の事(懲戒処分)を感がると、誰もそんな事はしないだろうという、性善説によりシステムが運用されています。
これは、役所だけではなく、おそらくどこの企業も同じでしょう・・・
内部犯行による情報漏洩は、その気になってやろうと思えば、いつでもどこでも起こり得るのです。
後は、ログの照会・解析によりいつその事実が発覚するかだけの話です。
まとめ
内部犯行による情報漏洩はいつでもどこでも起こり得る
性善説に頼ってセキュリティをコントロールしているのが現状
アクセスログの照会・解析でその事実がいつ判明するかだけのこと
コメント