ITセキュリティニュース : アフラックとチューリッヒで個人情報が流出、つくば市立小・中・義務教育学校のWebサイト管理画面のIDおよびパスワードが書き換えられる【2023年1月15日配信】

ITセキュリティニュース

/目次/

  1. アクラックとチューリッヒで個人情報が流出

  2. つくば市立小・中・義務教育学校のWebサイト管理画面のIDおよびパスワードが書き換えられる

━━━━━━━━━━━━━━━━━━━━━━━
■ 1. アクラックとチューリッヒで個人情報が流出
━━━━━━━━━━━━━━━━━━━━━━━

2023年1月10日、アフラック生命保険とチューリッヒ生命保険は自社が所有する個人情報が流出したことを公表しました。
いづれも外部委託先のサーバが第三者に不正にアクセスされ、そのサーバに保存されていた個人情報が外部に流出したとのことです。
両社とも詳細は調査中とのことです。

アフラック生命保険のアナウンス文
https://www.aflac.co.jp/news_pdf/2023011001.pdf

チューリッヒ生命保険のアナウンス文
https://www.zurich.co.jp/-/media/jpz/zrh/pdf/pr/2023/NewsRelease_20230110_ZurichInsuranceCompanyLtd.pdf?rev=56ae8db97a1547c2b53a0d56dafa68e3&sc_lang=ja-JP

【所感】
昨年から引き続き外部委託先からの情報流出が続いています。
IPAが毎年公開している「情報セキュリティ10大脅威 」の2022年版の組織部門でも「サプライチェーンの弱点を悪用した攻撃」は3位に位置しています。

今回のようなセキュリティ事故の発生リスクを低減するため、
外部委託先やSaaSの信頼性や情報セキュリティ体制を事前にチェックすることは非常に重要です。

参考:
情報セキュリティ10大脅威 2022
https://www.ipa.go.jp/files/000096258.pdf

━━━━━━━━━━━━━━━━━━━━━━━
■ 2. つくば市立小・中・義務教育学校のWebサイト管理画面のIDおよびパスワードが書き換えられる
━━━━━━━━━━━━━━━━━━━━━━━

2023年1月10日、つくば市教育局総合教育研究所はつくば市内小・中・義務教育学校のWebサイト管理画面が2023年1月3日に何者かによって不正にアクセスされ、Webサイトの更新に必要なIDおよびパスワードが書き換えられたと発表しました。
調査のため、つくば市内小・中・義務教育学校のWebサイトの公開と更新を停止しており、2023年1月15日 19時現在も停止が続いています。

不審なファイルがアップロードされていることが確認されており、
そのファイルは既に削除済みとのことです。

【お知らせ】つくば市立小・中・義務教育学校のWebサイト 緊急メンテナンスのお知らせ
https://www.city.tsukuba.lg.jp/kosodate/oshirase/1019432.html

不正アクセスで市立学校HP更新できず 茨城県つくば市
https://ibarakinews.jp/news/newsdetail.php?f_jun=16733533713203

【所感】
元々存在したIDおよびパスワードを第三者が不正使用してファイルを
アップロードしたのか、Webサイト管理画面に存在する脆弱性を悪用して、
ファイルをアップロードしたのか公表情報からは不明です。

前者が原因の場合、多要素認証(MFA)が導入されていない場合、
それを導入することによって不正アクセスのリスクを低減できます。

後者はシステムリリース前のWebアプリケーション脆弱性診断および、
使用しているOS、ミドルウエア、ライブラリなどの脆弱性管理を適切に行うこと、
ウェブアプリケーションファイアウォール(WAF)の導入してアプリケーションへの
攻撃を検知、遮断することなどにより不正アクセスのリスクを低減できます。