東京海上グループ、委託先がランサムウエア被害 個人情報流出の恐れ 対象は21社6万3000件
日刊自動車新聞 7/10(水) 18:18 配信
https://news.yahoo.co.jp/articles/95af233a59df3d02565b38fca70f2d702a30e8a4
記事(要約)
東京海上グループの委託先である税理士法人がランサムウェア攻撃を受け、21社約6万3千件の個人情報が流出の恐れがあることが分かった。
流出した情報についての不正利用は確認されていない。
情報には契約者の氏名や住所、損害調査内容などが含まれており、社員や元社員の情報も流出している可能性がある。
調査中で全容把握を行っているとしている。
(要約)
流出した情報についての不正利用は確認されていない。
情報には契約者の氏名や住所、損害調査内容などが含まれており、社員や元社員の情報も流出している可能性がある。
調査中で全容把握を行っているとしている。
(要約)
コメント(まとめ)
・不正利用されてないかこの規模で確実に確認するのは不可能だし、まぁどこかしらで悪用されるのは間違えないんだろうけど。
ところで委託先の企業は一体どう責任を取るんだろうか。
東京海上は謝っているけれど、100%会計事務所の責任ですよね。
大手レベルの会社は、重要情報系の委託先を自社内や自社グループ会社レベルでとどめておく必要があるのかもしれませんね。
・もはや個人情報を守ろうと思ったらデータをオフラインで運用するしかない。
外部を遮断したイントラネットで物理的に防ぐ以外に方法は見当たらない。
・民間の会社員も公務員もまあITリテラシーが低い人が多い。
一度訓練メールでもあえて送って社内テストしてみるといい。
偽物のウイルスメール、フィッシングメールを送ってきちんと開かずに処理できる人が何人いるか。
恐らく大多数の人が普通にクリックして開くものと思われる。
訓練メールだから感染や情報漏洩はないけど、もし本物のウイルスメールやフィッシングメールだったら即セキュリティ事故発生となる。
少しは危機意識でも持ったらどうなんだろうか。
というか情報システム部門が社員職員にそういう意識を持つように持っていかなければならないのだが。
・過去も含めて、これだけ情報漏えい事故があるのに、企業は未だに、内部情報系とインターネット系を分離してないんだな。
・結局個人情報を扱う企業で脆弱性も無く守秘義務を遂行できる企業なんて無いので、各企業はむやみに必要以上の顧客の個人情報や事細かなデータの保存をするべきでは無い ・東京海上グループは立派な被害者でしょうが今回の問題で露呈したのは発覚から発表までの経過時間の長さと考えます •記者さんは頑張ってくださったようですが、書きづらいことがあるんでしょうね ・個人情報って金になるん?例えばみんながみんな開示してたら逆に個人情報じゃないってなるよなそれ。
実は昨日みかんジュース飲んだんだよね。
って言って、大多数はどうでもいい情報に思えるけど、いつ誰がどこでその製品を購入後、どのタイミングで飲んだのか、なんて言われたら「もしかしたらかそれ個人情報なんじゃない?」って感じるかもしれない。
だから情報ってものの怖さと容易さ、そして本質的な必要性についてもっと認識を高めた方がいいのかもね……? ・インターネットに接続してれば、危険は付きまとう重要なファイルは外付けのSSD&HDD等に落として保管、ネットに繋がない事だ、OSが仮にランサムウェア被害を受けたら、完全消去コマンドを打ち、完全にフォーマットを掛け、バックアップOSで修復すれば問題は起こらない。
数台のPCでのネットワークは組まない事だ。
•ランサム用の保険を創れば。
もちろん脅迫されたことによる身代金の支払いではなく、被害金額の賠償で。
脅迫されたことによる保険では、ランサムの思うつぼだし、被害金の賠償ならランサムに対する抑止力になるから。
・個人情報流出の恐れと実際の被害について議論するコメントや、セキュリティ意識の低さや企業の責任、委託業者の管理などに関する指摘が多く見られます。
ランサムウェアへの対策や個人情報の扱い方などについても懸念を示す声が挙がっています。
総じて、情報保護やセキュリティ意識の向上が求められている様子が伺えます。
(まとめ)
ところで委託先の企業は一体どう責任を取るんだろうか。
東京海上は謝っているけれど、100%会計事務所の責任ですよね。
大手レベルの会社は、重要情報系の委託先を自社内や自社グループ会社レベルでとどめておく必要があるのかもしれませんね。
・もはや個人情報を守ろうと思ったらデータをオフラインで運用するしかない。
外部を遮断したイントラネットで物理的に防ぐ以外に方法は見当たらない。
・民間の会社員も公務員もまあITリテラシーが低い人が多い。
一度訓練メールでもあえて送って社内テストしてみるといい。
偽物のウイルスメール、フィッシングメールを送ってきちんと開かずに処理できる人が何人いるか。
恐らく大多数の人が普通にクリックして開くものと思われる。
訓練メールだから感染や情報漏洩はないけど、もし本物のウイルスメールやフィッシングメールだったら即セキュリティ事故発生となる。
少しは危機意識でも持ったらどうなんだろうか。
というか情報システム部門が社員職員にそういう意識を持つように持っていかなければならないのだが。
・過去も含めて、これだけ情報漏えい事故があるのに、企業は未だに、内部情報系とインターネット系を分離してないんだな。
・結局個人情報を扱う企業で脆弱性も無く守秘義務を遂行できる企業なんて無いので、各企業はむやみに必要以上の顧客の個人情報や事細かなデータの保存をするべきでは無い ・東京海上グループは立派な被害者でしょうが今回の問題で露呈したのは発覚から発表までの経過時間の長さと考えます •記者さんは頑張ってくださったようですが、書きづらいことがあるんでしょうね ・個人情報って金になるん?例えばみんながみんな開示してたら逆に個人情報じゃないってなるよなそれ。
実は昨日みかんジュース飲んだんだよね。
って言って、大多数はどうでもいい情報に思えるけど、いつ誰がどこでその製品を購入後、どのタイミングで飲んだのか、なんて言われたら「もしかしたらかそれ個人情報なんじゃない?」って感じるかもしれない。
だから情報ってものの怖さと容易さ、そして本質的な必要性についてもっと認識を高めた方がいいのかもね……? ・インターネットに接続してれば、危険は付きまとう重要なファイルは外付けのSSD&HDD等に落として保管、ネットに繋がない事だ、OSが仮にランサムウェア被害を受けたら、完全消去コマンドを打ち、完全にフォーマットを掛け、バックアップOSで修復すれば問題は起こらない。
数台のPCでのネットワークは組まない事だ。
•ランサム用の保険を創れば。
もちろん脅迫されたことによる身代金の支払いではなく、被害金額の賠償で。
脅迫されたことによる保険では、ランサムの思うつぼだし、被害金の賠償ならランサムに対する抑止力になるから。
・個人情報流出の恐れと実際の被害について議論するコメントや、セキュリティ意識の低さや企業の責任、委託業者の管理などに関する指摘が多く見られます。
ランサムウェアへの対策や個人情報の扱い方などについても懸念を示す声が挙がっています。
総じて、情報保護やセキュリティ意識の向上が求められている様子が伺えます。
(まとめ)
