6月23日、兵庫県尼崎市は市内46万人分の個人情報が入ったUSBメモリーを紛失したとの発表を行いました。
市役所が個人情報を紛失することは過去にも多々発生しております。
そもため今回も「またなのか」といったあきられた気持ちで会見を見ていた人も多いことでしょう。
しかし今回はそれだけには留まりませんでした。
この会見においてツッコミをいれたくなるような発言が多々でており、視聴者を大いに驚愕させたのです。
特にネット上においてはあまりにもおそまつな市役所側の対応に批判が殺到しております。
会見ではセキュリティは万全であり、実際には流出した様子はないとのこと。
果たしてこれは信じてよいものなのでしょうか。
今回尼崎市がやらかした点についてまとめてみました。
ずさんな管理体制
USBメモリーを紛失した経緯は以下の通りです。
- 個人情報の入ったUSBメモリーを市役所の委託業者(の関連社員)がカバンに入れて外部へ搬入
- 搬入先でデータを移管
- 作業後、飲食店にて飲酒を含む食事
- 帰宅途中に泥酔、その後カバンごとUSBメモリーを紛失
- 警察署に遺失物届けを提出
- 事態発覚
これが会見前日に行ったできごとです。
今回USBメモリーを持ち出した理由はの臨時特別給付金に関する業務において市役所から別の施設にデータを移管する必要がありました。
しかしこの一連の行動において全てがずさんだったと言わぜるえません。
ツッコミどころ満載です。
- 個人情報を関連社員が取得できる管理体制となっていた
- USBメモリーではなく、クラウドといったオンラインストレージにすべきだった
- データ移管後にUSBメモリーより即座にデータを削除しなかった
- 重要なデータを持ったまま飲食店といった寄り道を行った(まして飲酒は論外)
といった点が改善点としてあげられます。
オンラインストレージを使うなどは紛失防止になる一方、インターネット上における情報流出の可能性もあるため、結果論となる点もあるかもしれません。
しかしある程度のITリテラシーがあればこれらは実施すべきだったと思われます。
起こるべくして行った、人災ともいえる事件といえるでしょう。
今回唯一褒めるべき点があるとすれば、紛失後速やかに警察署に相談、翌日には会見を行うといった迅速な対応です。
会見でのさらなる失態
ここまでであればよくある紛失、流出事件でした。
しかしこのうえさらに恥の上塗りともいえる出来事がありました。
それが23日の緊急会見です。
USBメモリーを紛失したこと、データ内容など事実だけを尼崎市職員が語っていました。
ここまでは何も問題ありませんでした。
問題だったのが、”英数字13桁のパスワードを設定している”という発言です。
USBメモリーにはパスワードがかけてあり、それが破られる可能性は低い、ということを強調したかったのでしょう。
しかしこれは完全に悪手です。
桁数や英数字の利用など、パスワードを絞るための情報を暴露してしまったのです。
13桁については昨今のセキュリティにおいて長くもなく短くもなくといったところです。
一方英数字のみを使用していて点については最悪です。
数字10個と英字26個が対象となってしまいます。
強固なセキュリティの場合、大文字小文字の区別はもちろん、記号を入力することが必須の場合があります。
英数字のみであれば正解のパスワードにたどり着く可能性が一気に高まってしまうのです。
パスワードが解除されるのには300年かかる?
では13桁のパスワードはどれほど信用できるのでしょうか。
通常こうしたパスワードを解析するためにはブルートフォース攻撃とよばれる手段があります。
ようはパソコンを使って考えられるパスワードの組み合わせを総当たりで調べる、という方法です。
そのため桁数や使用する文字の種類が多いほどより解析には時間を要します。
例えばよくある8文字の英数字パスワードの場合わずか1時間ほどで解説されてしまうのです。
一方で10桁以上でかつ英数字+記号となると数百年といった事実上解析が不可能な時間を必要となるのです。
参考までに12桁でかつ英数字(大文字小文字を区別しない)場合、約300年を要します。
13桁となるとさらに時間がかかることでしょう。
”ならば安心だ”、そう思ってしまうのも仕方がありません。
しかしこれも絶対とはいえません。
なぜなら正解のパスワードの候補を絞り込むことでより短時間でパスワードを特定してしまう恐れがあるからです。
例えばよく使われるパスワードの候補として”123456789”や”aaaaaa”といった単純でわかりやすい設定をされていることは珍しくありません。
今回は市役所のUSBメモリーであるため、そこをヒントに解析されてしまう恐れがあります。
さらにITリテラシーの低さが露呈したこの市役所であれば、パスワードが記載されたメモがPCに貼付されている、第三者にパスワードを漏らすといった可能性も否定できません。
よってパスワードを解除しようとする悪意ある第三者が何のヒントもない状態でパスワードを突破しようとすると実施的にはそれは困難となるでしょう。
しかしここまで大々的にニュースとなればそうもいきません。
13桁、英数字、ITリテラシーの低い市役所。
これだけのヒントが揃えば、特定も難しくないことでしょう。
13桁のパスワードは”amagasaki2022”?
”13桁のパスワード”が暴露された直後、ネット上ではさまざまなパスワードの候補があげられました。
なかでも最も角度の高いものとして”amagasaki2022”がSNSのトレンドとなるほどの人気となっています。
実際にこの手のUSBメモリーを利用したことがある人はわかると思うのですが、パスワードを決めるのは大変面倒だったりします。
特に自分だけではなく、複数人で共有することも多いため、どうしても保存したデータや業務に関連したパスワードを付けてしまいがちになります。
まして市役所ともなるとより安易になってしまうことでしょう。
”amagasaki2022”はあってもおかしくないほど信憑性の高い候補です。
市役所名+年度といったシンプルな構成です。
せいぜい下4桁部分が1年ごとに変わるだけではないでしょうか。
完全に一致しなくとも、市役所名や年度については上記で説明したブルートフォース攻撃の大きなヒントとなりえる可能性が高いでしょう。
果たして真実はどうだったのか。
流出した場合の影響は
では仮にUSBメモリー内のデータが流出した場合、どのような影響が出るのでしょうか。
今回データ内には以下の個人情報が含まれています。
- 住民の氏名、住所、生年月日などの住民基本台帳に記載されている情報
- 生活保護や児童手当を受ける際の口座情報
- 住民税の情報
- 臨時特別給付金の対象世帯情報
これらが悪意ある人物に知られた場合犯罪に利用される可能性が高いでしょう。
この情報を取得しただけであれば直接的な被害はありません。
しかし例えばオレオレ詐欺といったなりすましによる犯罪は容易になることでしょう。
今後尼崎市内でこうした犯罪が発生した場合には真っ先に今回の件が原因と考えることもできます。
何事もなければよいのですが。
24日、USBメモリーが発見される!
事件は長期化すると思われましたが、翌日には収束しました。
なんとUSBメモリーが派遣されたのです。
発見したのは委託業者であり、カバンごと発券されたようです。
現在のところ情報流出はなかったようでこれで解決。
とは当然なりません。
仮にデータが無事であったとしてもそれだけでは終わりません。
データが既にコピーされた後の可能性も十分にあります。
こうなってしまえば収拾は不可能でしょう。
データという媒体は便利な反面、容易にコピー、拡散してしまいます。
これで一見落着ではなく、今後、流出した場合を想定した対応を検討しなければならないでしょう。
今後尼崎市及び、委託業者がどのように責任をとるのか注目です。
なお、今回の件について尼崎市はHP上でその詳細を掲載しております。
余談ですがこのなかで委託業者についても社名が判明しています。
BIPROGY株式会社というシステムサービス会社のようです。
過去には過去多くの行政、官公庁の業務を委託されているようでHP上を見る限り実績にあるしっかりした会社という印象を受けました。
こちらでも事の顛末をしっかり報告されています。
気になるかたは是非チェックしてみてください。
※後日この会社の関連会社のさらに下請け会社社員が対応、などもはや責任の所在があやふやになっていることが判明しました
まとめ
いかがだったでしょうか。
臨時特別給付金に関する事件、事故についてはこのところ多くの行政機関において発生しています。
ミスをなくすことは不可能ですが行政機関にはアフターフォローやサポートを充実させ、真摯に対応することを願うばかりです。
今回の件によって多くの行政機関、民間企業が自分のところではなくてよかったとほっとしているのではないでしょうか。
明日は我が身と考え、同様の業務体制であるならばこれを機にしっかりと改善してほしいところです。
そうすれば少なくとも今回の事件についても社会全体への警鐘として意味があったものとなることでしょう。