ブログの訪問・閲覧ありがとうございます。
ryoです。
尼崎市役所が全市民の住民基本台帳データが入ったUSBメモリを紛失したことを謝罪会見しました。
USBメモリ紛失し炎上した騒動について記事にまとめて紹介したいと思います。
尼崎市役所が46万人分住民基本台帳データの入ったUSBメモリを紛失!
尼崎全市民の住民基本台帳データの入ったUSBメモリを紛失したことが判明しました。
【データ紛失】尼崎市が全人口相当46万人分の個人情報紛失 市に無断で持ち出しhttps://t.co/NxCikvFZX1
紛失したUSBメモリにはパスワードが設定され、外部への流出は確認していないという。委託業者はデータ移管作業の後、飲食店で飲酒と食事をした際、かばんを紛失した。
— ライブドアニュース (@livedoornews) June 23, 2022
尼崎市の発表によると、紛失したUSBメモリは住民税非課税世帯等に対する臨時特別給付における個人情報を含んだもの。統一コード、氏名、郵便番号、住所、生年月日、性別、住民となった年月日などが記録されていました。
市役所側は紛失したUSBメモリはパスワード設定がされており、今のところ情報漏洩の影響は確認できていないと発表しています。
USBメモリ紛失した経緯をまとめると…
USBメモリ紛失となった経緯を下記にまとめてみます。
尼崎市役所が業務委託した会社の社員が市役所側の許可を得ずに無断で尼崎市民46万人の住民基本台帳データを移したことが事の発端です。
紛失業者の業者社員はBIPROGY(旧社名:日本ユニシス)の社員であることも分かっています。
データを移したUSBメモリはパスワード設定されていました。
まだ、作業後にデータ削除しておけばよかったのですが(市役所側の許可を得ず勝手に重要機密データを私物USBに移す時点で懲戒解雇レベルのセキュリティインシデントですが)、そんな超重要機密データを保持したまま、飲食店で飲酒をしその帰りに路上で酔いつぶれ機密情報の入ったUSBメモリをバッグごと紛失しています。
翌日、紛失に気付いた派遣社員が市役所側に申告し事態が発覚。
謝罪会見する事態となりました。←イマココ
官公庁やJTCには「コンピューターネットワークを分断すればするほどセキュア」という信仰が残っており、その溝を埋めるためにUSBメモリやはたまたフロッピーディスクなどが乱舞する運用が続いているのです。
市が「全市民46万人分の住民基本台帳データ入りUSB」紛失と発表https://t.co/UNtGikl183
— Miyahan (@miyahancom) June 23, 2022
許可を得ない
個人情報をUSBメモリに入れる
データを消さない
酒を飲む
なくすセキュリティで引っかかるポイント全部踏んでるな笑
全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 https://t.co/q67PMb6rqp pic.twitter.com/dFTiRjYAiz
— よっけØ (@yocke46) June 23, 2022
事態は更に悪化することに…
謝罪会見したまではいいですが、会見で釈明する中でパスワードを連想できる発言をしてしまいました。
- パスワードが13桁であること
- 年一回パスワード更新していること
- 英数字込みのパスワード構成であること
謝罪会見でこれらの情報を話してしまったために「amagasaki2022」がツイッタートレンド入りしました。
尼崎の件、教材として完璧。
・BIPROGY(旧・日本ユニシス)の協力会社社員が
・尼崎全市民46万人の個人情報データを
・許可を得ずUSBメモリに入れて持ち出し
・作業後データ消去せず
・居酒屋で泥酔後、路上で寝てしまい
・USBメモリを鞄ごと紛失
・翌日届出
・記者会見でパスワード構成と桁数をばらす pic.twitter.com/J4BW45IDtL— ブラック企業アナリスト 新田 龍(労働マナー講師) (@nittaryo) June 23, 2022
尼崎全市民から恨まれるセキュリティインシデントを起こしてなおパスワード構成をばらすという最悪のセキュリティ事故事例だとネットで総ツッコミ。
USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」https://t.co/LwGvJ0u38q pic.twitter.com/qQ7glUJY4G
— ITmedia NEWS (@itmedia_news) June 23, 2022
尼崎市紛失USBメモリのパスワードが判明?!
尼崎市紛失USBメモリのパスワード構成を市役所側がばらしてしまったことでパスワード候補がツイッターで飛び交いしました。
その中でパスワード候補最有力が「amagasaki2022」です。
ツイッターでamagasaki2022が呟かれるとすぐにツイッタートレンド入りしました。
尼崎市民すべての個人情報が入ったUSBメモリについて会見で「英数文字を含めた13桁のパスワード」「パスワードは一年毎に変えている」と大ヒントを出してしまった結果、「amagasaki2022」がトレンド入りwww pic.twitter.com/OA2ghwNFEN
— みづの (@mizunoman1214) June 23, 2022
パスワードが13桁と言うことと年一回更新しているということでものすごくありそうなパスワードだなと見て私も思いました。
メルカリ出品の尼崎紛失USBメモリは偽物?所在はどこに?
尼崎市が謝罪会見をするとすぐにメルカリに紛失したUSBメモリと思われるUSBが出品されました。
【いたずら出品か】メルカリ「尼崎のUSBメモリ」、ニセモノと判明https://t.co/kbAe2ljY3y
尼崎市が全市民の個人情報が入ったUSBを紛失した問題で、メルカリに「尼崎のUSBメモリ」という商品が出品された。市は「写真のものとは違うものだと確認し、削除依頼をした」と明らかにした。 pic.twitter.com/6EwY8taEyp
— ライブドアニュース (@livedoornews) June 23, 2022
出品されたUSBメモリはすぐに出品が削除され、偽物であることが判明しました!
市が紛失した派遣社員に確認し、紛失したUSBメモリと違うものであることを確認しいらずら出品だと削除依頼したそうです。
価格は45万2600円。
尼崎市の総人口が455872人(2022年5月1日推計人口)なので、市民数を連想させる価格で出品されていました。
紛失USBはどこに?
USBを紛失した派遣社員の証言によると大阪府吹田市にあるコールセンターでのデータ移管作業のためUSBを使用したそうです。
作業終了後もデータ削除をせずに吹田市内の飲食店で酒を飲み路上で泥酔。
泥酔した際にどこにUSB入りのカバンを置いたのかわからなくなり紛失しました。
少なくとも今週火曜日(6/21)には吹田市内にはあったことが分かっています。
6/24日の報道により吹田市内の業者自宅マンション内でUSB入りのかばんごと見つかったことが報道されました。
また、USBデータは残ったままであり情報漏洩は見られていないとBIPROGYは公表しています。
まとめ
過去に類を見ないレベルのセキュリティ事故となった今回のUSBメモリ紛失。
どの企業も私物USBを会社PCに接続しないようにと口を酸っぱくしてセキュリティ教育してると思いますがこんなやつおらんやろレベルのポカをやらかしまくっていますよね。
みなさんもセキュリティ事故にはくれぐれも注意ください。