住宅ローン情報流出
被害企業がとった
見習うべき
迅速対応のポイント

住宅ローン情報流出 被害企業がとった見習うべき迅速対応のポイント


住宅ローンの情報流出か メール自動転送で3万7千人分

住宅金融支援機構が提供する「フラット35」などの販売を手掛ける「優良住宅ローン」(本社・東京)は26日、顧客3万7247人の個人情報が外部に流出した可能性が高い、と発表した。

(2016年10月26日 朝日新聞デジタル)より抜粋


【概要】
窃取した個人情報を公開しないことと引き換えに
金銭を要求されるも応じず

株式会社優良住宅ローンによると、9月30日(金)18時頃、システム管理責任者が電子メールの管理サーバに対する不正アクセスを発見、役職員5名のメールアカウントが受信したメールを外部の他のメールアドレスに転送する設定になっていることがわかった。
これを受け同社では、即刻、転送設定を削除した上で、電子メール管理サーバの管理者権限のパスワードを変更したが、10月3日(月)、窃取した電子メールデータを開示しないことと引き換えに金銭を要求する内容のメールが届いた。
同社の佐藤考之お客様相談室長に取材したところ、金銭の要求には応じていないという。 また、現在、二次被害は報告されていないとのことだ。

日ごろの対策と専門家のアドバイスにより
早期発見、迅速かつ的確な対応を実現

情報が漏えいした可能性があるのは平成28年9月10日(土)から、不正アクセスが発覚した9月30日(金)までとのこと。比較的早期に発見できている。これは同社が定期的に(月に1~2回)目視による監視を行っていたからだ。
また、インシデント発生後の迅速かつ的確な対応見ると、同社ではインシデント発生時の対応が事前に整備されていたように思えるが、実際にはどうだったのだろうか。
佐藤室長に聞いてみた。

「インシデント対応マニュアルは、特に用意していませんでしたが、不正アクセスが発覚した時点で、(二次被害抑止、原因究明、事実の公表、個人情報が流出した可能性のある方への対応等)すべてにおいて、とにかく迅速に対応していこうということを社内で決め、外部のセキュリティ専門家や弁護士の先生のアドバイスを聞きつつ、早め早め対応をしてきました。なるべく早く事実を公表することは、攻撃者への(さらなる攻撃を抑止するための)アピールにもなるとも思ったからです」と佐藤室長。

10月3日(月)以降、攻撃者からの接触はないという。

■優良住宅ローンの対応

(1)
  • システム管理責任者が 不正アクセスを発見。
  • ・メールの転送設定を削除。
  • ・電子メール管理サーバの管理者権限のパスワードを変更。
  • ・対策会議を実施。
(2)
  • 攻撃者から金銭を要求するメールが届く。
  • 要求に応じず、警察と顧問弁護士に相談。
  • ・電子メール管理サーバの管理会社にログの開示を要請。
(3)
  • ・情報セキュリティ会社にシステムの調査を依頼。
(4)
  • ・監督官庁及び住宅ローン「フラット35」に係る債権管理回収業務の委託元である独立行政法人住宅金融支援機構に報告。
  • ・全社員の電子メールを含む社内システム全てのパスワードを変更。
(5)
  • ・顧客対応のため「お客様相談室」を設置。
(6)
  • ・ホームページ上で、個人情報漏えいの可能性について公表。
(7)
  • ・個人情報が漏えいした可能性のある顧客へのダイレクトメールによるお知らせを発送。
(8)
  • ・お客様特別相談室を稼働。

サイバー攻撃の被害に遭った場合は
直ちに最寄りの警察等に相談を!

今回、優良住宅ローンがとった対応で最も参考にしていただきたいのは、金銭の要求には応じず、直ちに警察と顧問弁護士に相談したことだ。
金銭の要求に応じても攻撃者が約束を守るという保証はない。しかも、それが犯罪の資金源になることを考えると、安易に要求に応じることは、避けるべきである。警察、弁護士、セキュリティの専門家への相談が必要な場合は、下記を参考にしてもらいたい。

●都道府県警察本部のサイバー犯罪相談窓口 詳しくはこちら>>
●日本弁護士連合会 法律相談予約・窓口 詳しくはこちら>>
●IPA 情報セキュリティ安心相談窓口 詳しくはこちら>>

避けられない攻撃に備えて
「インシデント対応マニュアル」の整備を

サイバー攻撃の被害に遭わないためには、予防策を施すことが肝心だ。しかし、いくら最新の予防策を取り入れても絶対とはいえない。
優良住宅ローンでも、金融業界の会社としては当然の、さまざまな予防策をとっていたとのことだが、攻撃を避けることはできなかった。そんな中、同社には身近に相談できる専門家や弁護士がいたお陰で的確な事後対応ができたといえる。
しかし、どのような企業にもそのような環境が整っているとは限らない。そこで、準備しておきたいのが、インシデント発生時の被害の拡大を迅速に食い止め、二次被害を抑止するための「インシデント対応マニュアル」だ。 特に、身近に専門家のいない中小企業では、ぜひ準備しておくことをおすすめする。

「インシデント対応マニュアル」の作成にあたっては、JPCERTコーディネーションセンターの『組織内 CSIRT 構築の参考資料 インシデント対応マニュアルの作成について』を参考にするとよいだろう。
●『組織内 CSIRT 構築の参考資料 インシデント対応マニュアルの作成について』 
 ダウンロードはこちら>>