こんばんは。先週は情報処理技術者試験直前ネタを書きましたので、通常モードネタが先送りになりました。<(_ _)>

　今回は兵庫県播磨町教育委員会で発生した情報漏洩事件について書いてみます。こちらは産経新聞からの記事です。

www.sankei.com

　マルウェア感染が確認されたようです。「個人情報については別のサーバで管理しているので、情報漏洩は確認されていない」と伝えられています。続報がないかを先ほど調べてみたのですが、どうも見当たりませんでした。

　「個人情報は別のサーバで管理されているから大丈夫」という物言いはどうも信用ならないんですよね。最近どこかで聞いた記憶はありませんか？そうです。前橋市教育委員会ですね。当初の発表では「個人情報を保管しているサーバではないので、個人情報の漏洩はない」と言ってましたね。その後、47,000人の情報漏洩が公表されましたね。物理的に別であっても、ネットワークでつながっていてアクセス制御されてなければ、それは言い訳にはならないということなんですが…。そのへんが理解されていなさそうなのが残念でもあります。

　こちらの記事はSecurity-NEXTです。

www.security-next.com

　マルウェア感染とあります。詳しいことは分かりませんが、感染はこのサーバだけで済んだのか、具体的被害状況までは分かりません。この記事に書かれている原因や被害状況の調査結果の公表は可能な範囲で構わないのでお願いしたいところではあります。合わせて、保守体制をどのように見直したかについても公表してほしいものです。

　同記事によるともう少し詳しい内容が記載されています。感染したマルウェアはランサムウェアだそうです。校務支援システム管理サーバが感染したそうですが、このサーバには個人情報は保存されてないそうです。別のサーバには保存されているそうですが、これらのサーバからは個人情報漏洩は確認されていないそうです。