最大888社のPマーク審査関連資料が流出した可能性 - 複数ランサムの痕跡も
同審査員は、審査業務のため自宅で個人所有のパソコンを使用することについて事前に申請し、許可を得ていた。しかし未申請の機器を複数用いるなど、申請内容と異なる環境で作業を行っていた。
さらに規定に反して作業終了後も審査関連資料を廃棄せずに保管。同審査員は作業終了後に関連資料をすべて廃棄していると届けており、同協会では信用して確認しておらず、実態を把握できていなかったという。
審査関連資料と審査員名簿を保管していたファイルサーバに関しても適切なセキュリティ対策を講じておらず、インターネット経由で閲覧できる状態だった。
同協会では、同審査員に対する審査業務の委託を停止。11月9日付けで審査員資格を取り消した。対象となる事業者には書面で連絡を取っている。
また今回の問題を受けて、同協会では個人所有のパソコンによる審査作業を全面的に禁止。審査業務委託契約を締結している全審査員に対し、個人所有のパソコンに審査関連資料を保管していないことを確認し、保管している場合は廃棄するよう求めた。
貸与しているパソコンの取り扱い状況について点検、監視するとともに、研修や監査などを実施。各審査機関に対して、同協会と同様のレベルでセキュリティを確保するよう要請している。
(Security NEXT - 2023/11/14 )
ツイート
関連リンク
PR
関連記事
子ども向け「スマートフォン・セキュリティかるた」を提供 - JSSEC
開発用サーバに不正アクセス、フィッシング攻撃の踏み台に - 国立環境研究所
「MS Edge」のアップデートが公開 - 脆弱性3件を修正
「Apache Avro」の「Java SDK」に深刻な脆弱性
先週注目された記事(2024年9月29日〜2024年10月5日)
「Okta」にポリシー回避の脆弱性 - 修正を実施、ログの確認を
「iOS」「iPadOS」に「VoiceOver」でパスワード漏洩のおそれ
【特別企画】有識者や実務者が「JPAAWG」に集結 - 最新脅威動向や対策ノウハウを共有
Cisco、セキュリティアドバイザリ14件を公開 - 一部製品はEOLで修正なし
制度登録企業宛のメールで誤送信、メアド約1500件が流出 - 新潟県