本特集では、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

ベネッセホールディングスは2014年7月、会員の個人情報が流出したと発表した。「こどもちゃれんじ」や「進研ゼミ」を利用する、子供の氏名や生年月日が外部に漏洩。アンケートなどで取得した非会員の情報を含めると、流出件数は2300万件に達する。
既に容疑者は逮捕されたが、ベネッセは「捜査に支障を来すため」と詳細を明らかにしていない。専門家に取材すると、ベネッセのセキュリティ体制に三つの「穴」があったことが判明した。

 「大切なお子様の情報を流出させたことを真摯に受け止め、信頼回復に努める」。ベネッセホールディングスの原田泳幸代表取締役会長兼社長は、容疑者の逮捕を受けた2014年7月17日の会見で深々と頭を下げた。

 17日に不正競争防止法違反(営業秘密の複製)容疑で逮捕されたのは、ベネッセホールディングスのIT子会社、シンフォームからデータベース(DB)開発・管理業務を受託した企業の委託社員だ。容疑者は2012年からシステムエンジニア(SE)として、シンフォームの多摩事業所に常駐していた。

 報道によると、容疑者は2013年7月から2014年6月にかけて月1~2回の頻度でベネッセの顧客情報を持ち出し、名簿業者に計250万円で売却していた。2013年7月、顧客DBにアクセスできる貸与PCに、容疑者が私物のスマートフォンを充電目的で接続した際、スマホにデータをコピーできることに気付き、不正を始めた。

 2014年6月下旬、名簿業者から購入した情報を基にジャストシステムがダイレクトメールを送付。これを受け取った保護者からベネッセに対し、「個人情報が漏れているのでは」との問い合わせが殺到した。ベネッセは流出の事実を確認して警察に相談、ログ情報などから容疑者が特定された。

 名簿業者に流出した個人情報は、確認できただけで620万件。1件当たり1世帯の情報、例えば保護者と子供の氏名、住所、生年月日が含まれる。容疑者のスマホを解析して見つかったものを含めると2300万件と、国内の漏洩事案として空前の規模だ。7月28日時点ではベネッセによるログ解析は完了しておらず、流出件数はさらに増える可能性がある。

 なぜベネッセは、この大規模な情報漏洩を見逃したのか。本誌は取材を申し入れたが、同社は「警察の捜査に支障を来す」ことを理由に拒否している。だが、捜査過程で明らかになった情報や専門家への取材をまとめると、ベネッセのDB管理には三つの「穴」があった。すなわち、PCの外部デバイス制御、SEの監視体制、DBの権限管理である。

 第1の「穴」は、USB機器などへのデータのコピーを管理するデバイス制御ソフトの不備だ。

 顧客DBにアクセスできるPCには、USBメモリーへのデータ書き込みを禁止できる、デバイス制御ソフトがインストールされていたとされる。

 ではなぜ容疑者は、私物のスマホに顧客情報を持ち出せたのか。複数のセキュリティ技術者は、デバイス制御ソフトの機能か設定に不備があり、Android4.0以降のスマホの挙動を制御できなかった可能性を指摘する。

 Android搭載スマホは、2011年10月発表のバージョン4.0から、「MTP(Media Trasnfer Protocol)」と呼ぶファイル転送規格に本格対応した。MTPは、Windows OSが「WPD(Windows Portable Devices)」と認識するデジタルカメラなどのデバイスを主な対象に、米マイクロソフトが策定した規格だ。PCがファイルを制御する「USBマスストレージ」と異なり、デバイス側でファイルを制御するため、PCからケーブルを突然引き抜いても、ファイルが壊れにくい。

 本来はWPDも含めて、外部デバイスへのコピーを禁止する必要がある。しかしMTP規格を考慮せず、単にUSBマスストレージのみ使用禁止にすると、今回のような「穴」が生じる恐れがある。デバイス制御ソフトの対応も、メーカーによって異なっていた。2009年にWPDの制御機能を実装していたソフトがある一方、2013年まで対応できていないソフトもあった。

 マイクロソフト製品のセキュリティに詳しい濱本常義氏によれば、この問題は2013年ごろからセキュリティ技術者の間で話題になっていたという。「Android4.0の登場まではMTP対応端末が少なく、現実的な脅威ではなかった。USBメモリーへのコピーを禁止していても、MTPの設定まで思い至らないIT部門は、他の企業でも多いのでは」と濱本氏は指摘する。

この先は会員の登録が必要です。有料会員(月額プラン)は初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら