本特集は、日経コンピュータの看板コラム「動かないコンピュータ」の過去記事の中から、セキュリティー関連の事例を14本取り上げていく。トラブルの真相から、今後のリスク回避につなげてほしい。

 情報処理推進機構が主催するIT試験の会員サイトから個人情報が漏洩した。団体受験した企業が自社の受験者リストをダウンロードすると、他社の受験者情報が混入するトラブルが起こった。排他制御をかけ忘れるという初歩的なミスがあった。複数の企業がほぼ同時に操作した時に限って表面化するバグが原因だった。

 「誰だろう、この松橋竹夫(仮称)という人は。当社の従業員ではないようだが」―。

 従業員のITスキル向上に力を入れている、ある企業(仮にA社とする)の担当者は首をかしげた。「ITパスポート試験」を受験する自社社員のリストを申し込み用のWebサイトからダウンロードしたところ、見慣れない名前が数十件混じっていたからだ。

 情報処理推進機構(IPA)は2018年3月13日、企業などの団体がITパスポート試験を申し込む際のWebサイトに不具合があり、個人情報が漏洩するトラブルが発生したと明らかにした。試験を申し込んだ企業はこのWebサイトから自社の受験者リストをダウンロードできる。そのリストに本来含まれているはずのない他の企業の受験者と思われる情報が混入していた。

 漏洩したのは名前や受験日、「チケット番号」と呼ぶ受験料の支払いを証明する番号などで構成する120件ほどのリストだ。住所や決済情報は含まれていなかった。

 漏洩したチケット番号を使うことで、受験料を支払わずに不正受験ができてしまう恐れがある。IPAによると現在までに不正受験の形跡は確認されていないという。

他社情報が見えるなら自社情報も

 ITパスポート試験はIPAが主催する代表的な資格試験の1つだ。ITに関する基礎的知識を問うもので、2009年に開始。ITを業務で活用する非エンジニア職のほか、商業高校、IT系コースを専攻する学生などに受験者層を広げ、2017年度の受験者数は9万4298人と昨年より8000人ほど増えた。企業や学校法人が団体で申し込むことも多い。

 受験申込者用のWebサイトは試験情報の発信に加えて、受験の申し込みや支払い手続き、合否確認などがオンラインでできる機能を提供している。団体が一括で申し込んだり、受験状況などをリストとして一括ダウンロードしたりする機能も備える。

 A社の担当者も社員の受験状況を確認するためリストをダウンロードした。2月26日午前9時ごろのことだ。この日はリストの内容が明らかにおかしかったため、内容を印刷して確認。そのうえでもう一度Webサイトから同じ手順でリストをダウンロードしてみた。

 すると先ほどの知らない名前は消えていた。ファイルは一時的なエラーだったようだ。担当者は当初、この現象を深く追及する気はなかった。

 しかし、印刷していた最初のリストを見返すと、疑問が頭をもたげてきた。「この知らない名前は他社の受験者情報ではないか」。A社の担当者はサポート担当のコールセンターに電話をかけ、印刷したリストを手にこの問題を訴えた。「別の会社の受験者リストが漏洩している可能性がある」。受験者リストに自社とは無関係な個人情報が混入していたこと、同じ現象は2度目からは再現していないことを伝えた。

 同じ頃、別の企業(仮にB社とする)も同じ問題に突き当たっていた。B社の担当者がダウンロードしたファイルに知らない個人名などが混入していたのだ。再度ダウンロードすると今度は正しい一覧だった。A社と同じ事象である。同様のエラーが再び起こるかもしれないと考え、コールセンターに連絡を取り、問題を報告した。

 A社とB社の報告はコールセンターを経てシステムの構築・運用を担当している日立製作所に伝えられた。日立はIPAに対し、情報流出の可能性があるとただちに報告。その日のうちにIPAが原因究明に動いた。

 IPAはA社とB社に連絡を取り、訪問の約束を取り付けた。2社ともに最初のファイルは上書きしたか削除したかして手元に残っていなかった。ただし、その内容は印刷していた。IPAの担当者は2月26日にA社、翌27日にB社を訪問して、印刷物からファイルの内容を確認した。するとA社とB社の一部受験者の情報が互いのリストに混入していると分かった。印刷はリストの一部だったため断定はできないものの、2社の受験者情報が混在した同一のファイルをそれぞれダウンロードした公算が高い。A社とB社がほぼ同時刻にサイトから自社の受験者一覧をダウンロードしていた事実も判明した。

図 漏洩した情報とITパスポート試験のWebサイト
ファイルのダウンロード機能から漏洩
[画像のクリックで拡大表示]

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら