2020年5月に編集部が気になったセキュリティニュースを紹介します。
愛知県、新型コロナウイルス感染者情報495件を誤掲載
愛知県は5月5日、同日午前9時30分頃から午前10時15分頃にかけて、愛知県新型コロナウイルス感染症に関するWebページ上に、患者に関する非公開情報495件を誤って掲載したことを発表しました。
本来は「発表日」「年代・性別」「国籍」「住居地」「接触状況」「備考」を公開するところ、事務作業ミスにより誤って「患者の氏名」「入院先医療機関」「入院日」「転院先医療機関」「転院日」「退院日」「発生届提出保健所」「クラスターの名称及び分類」といった個人情報等を削除せずに掲載していました。
この問題ついて5月28日、氏名が掲載された396人に対して一人当たり4万円、氏名が掲載されていない94人に対して一人当たり2万円の金銭による賠償を行うことを発表しました。賠償金額は過去の裁判例を参考に判断したとのこと。今後同様の事案での賠償金額の基準となる可能性が考えられます。
船橋市、問い合わせフォームを悪用した不正メールに注意喚起
船橋市は5月21日、同市ホームページのお問い合わせフォームを悪用した不正メールへの注意喚起を発表しました。
本事案では、ウェブサイトの問い合わせフォームの自動返信機能を悪用し、氏名入力欄に“悪意のあるサイトのURL”、メールアドレス入力欄に“スパムの送信先となるメールアドレス”を入力することで、船橋市からの自動返信メール本文の氏名表示箇所に悪意のあるサイトのURLを表示させていました。船橋市のメールアドレスから届いたメールとうことで安心させ、騙して悪意のあるサイトへ誘導する巧妙な手口でした。
また、スパム配信の踏み台にされたことで、船橋市からGmail宛てなどに送付しているメールの一部が、迷惑メールとして振り分けられているケースが確認されています。
従業員教育において、不審メールの手口の一例としてご紹介ください。また、同仕様のお問い合わせフォームについては、自動返信メールの氏名部分の削除や機械的な大量入力を防ぐ対策などが求められます。
