職員が他課アカウントで不正アクセス、偶然1時間強で発見 - 伊東市

静岡県伊東市は、同市職員が庁内グループウェアに対して不正アクセスを行ったとして懲戒処分を行った。不正アクセスから1時間ほどで偶然発覚したという。

同市によれば、アクセス権限を持たない職員が、他課のアカウント情報を用いて不正にアクセスし、メールや添付ファイルを閲覧したり、一部ファイルを自身の業務用パソコンに保存していた。

同市では課ごとにアカウントを共有していたが、同職員は他課のIDとパスワードを推測。9月14日に複数回の試行を経たところでパスワードが合致し、同日13時過ぎにログインしていたという。

同市では、監視やログの解析など頻繁に行っているわけではなかったが、同日は別の目的でアクセス状況を確認しており、14時半ごろグループウェアにおける不審なアクセスを偶然発見。ログを調査した結果、不正アクセスと判断し、同日15時半ごろ対象アカウントのパスワードを変更した。

同月16日にはファイルをダウンロードしていたことも発覚し、端末を回収した。閲覧や保存されたデータは、行政に関する文書だが、住民に関する個人情報は含まれていないという。またデータの保存先は同職員の業務用パソコンのみとしており、外部流出は否定している。

（Security NEXT - 2022/10/27 ） ツイート

PR

関連記事

クラウドに不正アクセス、個人情報流出の可能性 - マイナビ
ファイル転送製品「FileZen」にRCE脆弱性 - すでに悪用被害も
JNSA、SecBoK人材スキルマップ2025年度版を公開 - 15の役割に再編
リフト券システムがランサム被害、個人情報流出の可能性 - ガーラ湯沢
手荷物配送サービス予約システムに攻撃、個人情報流出の可能性 - JAL
「SandboxJS」に脆弱性 - 1月下旬以降「クリティカル」7件目
「SandboxJS」に新たなクリティカル脆弱性4件 - 修正実施
「SolarWinds WHD」など4製品の脆弱性悪用に注意喚起 - 米当局
メール誤送信で婚活イベント参加者のメアドが流出 - 鹿児島市
引越し見積もりシステムで個人情報流出の可能性 - アットホーム