電子自治体推進を支援する情報誌「 新風」

【トレンドビュー】

タイトル

 自治体セキュリティ支援室では、平成20年度上半期における国や地方公共団体などの公的機関の「情報セキュリティの事件・事故」の分析結果をまとめた。なお、本分析結果は公表されている情報を独自に収集したもので、すべての事件・事故を網羅したものではないことにご注意いただきたい。

前年比で事故発生件数が倍増

 平成19年度の事故発生件数は214件でしたが、20年度は上半期だけですでに182件も発生しており、昨年同期比ではほぼ倍増しています。また、事故の種別では前年度同様、「情報漏えい」が9割(167件)を超えており、その内訳(図1)は、書類の紛失やUSBメモリーの紛失、電子メールやFAXの誤送信といった人的ミスによる事故が変わらず上位を占めています。

図表

 紛失の理由としては、帰宅途中に酒に酔って、USBメモリーや業務資料を鞄ごと紛失するケースが見受けられました。個人情報を含む資料など重要書類を外部へ持ち出す際は、(1)上司へ許可を得ること、(2)用務が終了するまで関係ない所へは立ち寄らないこと、(3)用務が済んだら確実に返却する──など、基本的なルールを徹底する必要があります。
 さらにファイル交換ソフト「Winny」による情報流出は22件と昨年同時期(18件)より増加しています。同じくファイル交換ソフトの「Share(シェアー)」が関係する事故も2件起きており、改めてファイル交換ソフトの利用を禁じることが肝要です。
 加えて、ホームページへの誤記載も10件発生しています。ホームページへ情報を掲載する場合は、個人情報や機密情報が含まれていないか十分注意しなければなりません。

SQLインジェクションの被害増

 上期の傾向といえるのが、「SQLインジェクション」による不正アクセス被害の増加です。SQLインジェクションとは、データベースと連動したWebサイトで、データベースへの問い合せや操作を行うプログラム言語にパラメータとしてSQL文の断片を与えることでデータベースを改ざんしたり、不正に情報を入手する攻撃です。独立行政法人情報処理推進機構(IPA)の『SQLインジェクション攻撃に関する注意喚起』によると、この攻撃は平成20年3月頃より急増しています。
 実際、A市ではこの攻撃によりホームページを改ざんされ、閲覧するだけで自動的に某国のサイトへ接続させられる不正なコードを埋め込まれました(図2)。すでに復旧していますが、この事例では閲覧した人は某国のサイトにアクセスさせられるだけでなく、「マルウェア(不正なプログラムの総称)」をダウンロードさせられ、パソコン内の情報が抜き取られる危険性もありました。

図表

 また、最近はウイルス対策ソフトにより検知・駆除されないよう、マルウェア自体が攻撃者のサイトへ接続し、新たなウイルスをダウンロードするなど、攻撃手法はますます悪質かつ巧妙化しています。これに対して、ウイルス対策ソフトの会社も対策に努めていますが、亜種が爆発的に増加していることから対応が困難になりつつあります。そのため、ウイルス対策ソフトの定義ファイルは常に最新の状態にしておくとともに、最新のセキュリティパッチを早期に適用し、心当たりのないメールは開かずに削除するなど、基本的なセキュリティ対策を励行することが肝要です。
 なお、当室では、昨年11月から地方公共団体を対象にウェブ健康診断を実施しています。これはウェブアプリケーションの脆弱性12項目について診断し、その結果をレポートで提供するもので、SQLインジェクションの脆弱性についても診断しています。
 また、IPAでは『安全なウェブサイトの作り方(改訂第3版)』のなかで、SQLインジェクションに対する対策を解説しているので、これらを参考に十分な対策を早急に講じることが必要です。
 その他にもB県のホームページが集中アクセスを受け、閲覧できない状態に追い込まれたことがありました。ピーク時には約100万件のアクセスがあったとみられています。このような攻撃を未然に防ぐ有効な策はありませんが、ホームページへのアクセスログを常に確認し、異常が発見された場合は迅速に対策を講じる必要があります。これについては、警察庁がDDOS攻撃(インターネットに接続されている多数のシステムを利用して攻撃)対策をホームページで紹介しています。

緊急時の連絡体制を緊密に

 情報漏えい、不正アクセスともに事前の予防策が重要であることは当然ですが、予め「起きてしまったときの対応」を明確にしておくことも被害を最小化するためには欠かせません。対応を検討すべき主な事項は以下の通りです。

◎情報漏えいの場合
・漏えいした情報(範囲)の特定
・被害を受けた本人や影響のある方々への周知
・報道発表や関係機関への報告
◎不正アクセスの場合
・システム停止や証拠の保全
・関係者への連絡や利用者への周知

 また、迅速な対処を行うためには、日頃から関係部署や保守事業者との連絡体制を緊密にするとともに、被害を想定したマニュアルの整備やそれに基づく訓練を定期的に実施することも重要です。
 事故は必ず起きる(事故前提社会)といわれています。リスクを予見・予防するとともに、対処の手立てを検討するというリスクマネジメント手法が重要となってきています。
〈ご参考〉

●『安全なウェブサイトの作り方(改訂第3版)』(www.ipa.go.jp/

●警察庁「DDOS攻撃の防御対策について」
www.cyberpolice.go.jp/

新型インフルエンザに備えるインコンテンツ ここまで -->