Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

保健所職員が個人情報を私用端末に、同期クラウドが乗っ取り被害 - 大阪市

大阪市の保健所職員が個人端末に業務情報を保存しており、データを同期していたクラウドサービスのアカウントが第三者に乗っ取られたことがわかった。

同市によれば、保健所職員が許可なく個人の端末で保健所の業務資料、職員名簿、関係団体などを撮影し、保持していたもの。

端末内部のデータは、職員が個人で契約するクラウドサービスと自動で同期されていたが、同職員がフィッシング詐欺の被害に遭い、同サービスのアカウントを乗っ取られ、情報が流出した。

4月22日に職員が乗っ取り被害に気づき、4月25日に同市へ報告した。業務資料には、個人情報495件や法人情報2件が記載されいた。個人の氏名、住所、電話番号、生年月日のほか、保健所にて扱う情報が含まれるが、二次被害の防止を理由に具体的な内容は明らかにしていない。

その後対応を進めてきたが、問題のアカウントは第三者に乗っ取られた状態のままで、取り戻せていないという。個人情報などへアクセスしているかも不明。同市では、8月3日にかけて順次対象となる関係者に連絡を取り、経緯の説明と謝罪を行っている。

同市では、業務用端末であれば許可のもと個人情報を持ち出すことが可能だが、個人の端末へ保存することは禁止されており、個人情報の取り扱いに関する認識が不十分だったという。同市では情報を共有して注意喚起を行い、再発防止を図るとしている。

(Security NEXT - 2022/08/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

複数テナント管理やSBOM読込に対応した脆弱性管理ツール
WAFルールセット「OWASP CRS」に深刻な脆弱性 - 「ModSecurity」とあわせて更新を
モジュール型WAF「ModSecurity」がアップデート - セキュリティ上の複数問題へ対処
「GMOクリック証券」を装ったフィッシングに注意
「Security Days Fall 2022」を10月にリアル開催 - 配信なし
ファイルサーバがランサム被害、情報流出の可能性 - みんな電力
都立高から消えた「生徒個人カード」、一部を河川敷で発見
Google、「Chrome 106」をリリース - セキュリティ関連で20件の修正
「FFmpeg」に脆弱性、悪意あるmp4ファイルでコード実行のおそれ
ジブリパークのスタッフ情報が流出か - 派遣元にサイバー攻撃