全市民の個人情報を保存したUSBメモリ紛失についてまとめてみた - piyolog
2022/06/24 02:44
degucho
いきなりケチがついてブチキレてる人いそう。www.zaikai.jp
2022/06/24 05:31
youichirou
「パスワード」とやらは結局何のパスワードなのかよくわからないな。ZIPの暗号化パスワードかな。ちゃんとした暗号化ソフトのボリューム暗号化だとまだマシだろうけど。
2022/06/24 06:20
nagaminew
“協力会社社員は約20年前から市のシステム管理を担当しており、情報センターへの出入りが自由であったり、システムからデータを抽出する際に必要となるID、パスワードも知っていた。”
2022/06/24 06:27
m_yanagisawa
規則があってもパスワードがバレバレではな。厳しい規準はあっても運用がクソという例を他でも見かけたことはある。
2022/06/24 06:34
sekiryo
“メルカリに「尼崎のUSBメモリ」という名前でUSBメモリと思わしき出品が” さすが盗人市らしいフットワークの軽やかさ。組織犯罪じゃないだろうから金目の物だけ抜いて捨ててるだろうと思うけどねぇ。
2022/06/24 07:00
eos2323
持ち出し関連は似たような運用とか規則でやってるところも多そうだ。
2022/06/24 07:17
yas-mal
一緒に飲みに行ったBIPROGY社員が、USBメモリのことを認識してたかが気になってる。あと、既出だけどUSBメモリのパスワードがどういう意味か(ブルートフォース出来る相手なのかどうか)。
2022/06/24 07:47
augsUK
市の仕事場について勝手知ったる協力会社社員のやらかし案件なのか。いつか起こる事故という運用だな
2022/06/24 07:58
confusion8
メルカリに早速「尼崎のUSBメモリ」が複数出品されてるの、ほんと治安悪いよな
2022/06/24 08:04
afurikamaimai
色んな意味で様式美が詰まってる。
2022/06/24 08:09
zoidstown
もう会社の体質なのでは・・・・“BIPROGYでは作業後の速やかな帰社が決まりだったが守られておらず、居酒屋への立ち寄りもBIPROGY社員より持ち掛けられたものだった。”
2022/06/24 08:34
sktknko
起こるべくして起こった事件という感じ。協力会社側に責任転嫁しているけど、市の体制側に問題があるのは明らか。
2022/06/24 08:35
sekreto
ZIPの暗号化パスワード?にマジレスすると、セキュリティ機能付きUSBメモリってのがあって、USB開くのにPWが必要ってのがある。
2022/06/24 08:40
Mash
“居酒屋への立ち寄りもBIPROGY社員より持ち掛けられたものだった。”/何回読んでも意味がわからない
2022/06/24 08:45
n-styles
毎年パスワードを変えてる、先頭は大文字…みたいなソース不明だけどなぜか大勢が信じてる追加情報が入ってなくて安心した。
2022/06/24 09:01
razokulover
セキュリティ研修の問題文みたいだ...
2022/06/24 09:02
washi-mizok
「紛失するリスクがあるから暗号化とパスワード管理」で示されたルールを守っているのにやっぱり紛失したら怒られるのは納得できないので呑むど、道で寝るくらいまで呑むど。
2022/06/24 09:06
iasna
口座情報もかよ……尼崎市民じゃなくてよかったわ……
2022/06/24 09:12
toro-chan
フロッピーじゃなくてよかった案件なのかな。この手のデータ移行は今はオンラインストレージ使うのが普通だと思うのだが。セキュリティ知識をアップデートしていくのは難しいのだろう。どちらかといえば同情する
2022/06/24 09:14
dazz_2001
また面倒臭い手続きが増えるんだろうなぁ。というか、どの役所もそうだけど、委託会社に丸投げだから、これにマイナンバーとかで医療情報、個人資産とか紐付けられたら、阿鼻叫喚
2022/06/24 09:21
zgmf-x20a
不謹慎だが、「深夜まで路上で寝込んだ」で何人もの友人が思い起こされた。
2022/06/24 09:25
yamadadadada2
絶対これ裏あるでしょ。何かに利用するためにやったとしか思えない
2022/06/24 09:29
legnum
これ飲み誘いは「慰労=いい事」でルール1つぐらい破ったところで罰は当たらん的発想ぽい。単体ならセーフでも「データ持ち帰り」「泥酔路上で寝る習性」ってコンボが重大インシデントに繋がるから一律禁止なのにな
2022/06/24 09:30
sucelie
BIPROGYって旧日本ユニシスのことだったのか
2022/06/24 09:30
hatahata_chan
これを受けて、今後のデータ持ち出しに関するセキュリティ対策を見直す組織が増えてほしい。ま、個人情報保護研修で毎年言われてるとは思うけどね、、
2022/06/24 09:31
rdfcO
小さな居酒屋の無口なおじさんとかが拾ってくれて、静かに持っててくれたらいいんだけど…
2022/06/24 09:40
counterfactual
尼崎市だから仕方ない/無事でよかったね
2022/06/24 09:41
Ni-nja
早いのによくまとまってる。一次請けの担当者、手を動かさないんだから監督や物品管理ぐらいやればいいのに、とIT傭兵として思う
2022/06/24 09:45
areyoukicking
今回の話は.. 早めに公開してよかったんだという声一色だけど、USBの入ったかばん?を盗んだ人が大事なものだということを気づきやすくしてしまった可能性も..
2022/06/24 09:49
nomitori
“協力会社社員は約20年前から市のシステム管理を担当しており” 全市民データ持っててよく酒が喉を通るなと思ったが、慣れちゃってたのか…
2022/06/24 09:57
quality1
役所で個人情報が入ったPCは外部に接続してないので持ち出す際は外部記憶媒体が必須。というかそもそも持ち出すことは想定してないからね…。
2022/06/24 09:59
pcngk
技術機能的に失われたものはこれ程に綺麗にまとめて頂けて見れるのですが、社会機構的に失われたものは情報としてまとまる事はあるのでしょうか・・・
2022/06/24 10:06
deep_one
ハードウェア暗号化で10回パスワード間違えたら暗号鍵が飛んで読めなくなる仕様(普通にバッファローとかで数千円で売ってる)だったらほぼ確実に安全なんだが。(100回で読めなくなるIOデータのは持ってる。)
2022/06/24 10:10
lascale
一山いくらの底辺人材に重要機密情報を扱わせるな。本質的にバイトテロと大差ない。
2022/06/24 10:12
hazlitt
市が全部公開してしまえば消えたUSBメモリはどうでもよくなる(名案)/試行制限あってもiPhoneみたいに物理コピー作ってブルートフォースしたらダメそう
2022/06/24 10:16
htnmiki
賠償の流れはBIPROGY→尼崎市、尼崎市→市民となるんだろうか。前者はあるだろうけど後者みたいなケースはあるんだろうか。市民が直接BIPROGYに対して集団訴訟でも起こすんだろうか。
2022/06/24 10:20
uunfo
ネットワーク通ってたら通すつもりだったわけ?→「物理的な運搬を行った理由として、コールセンターにはネットワークがひかれておらず」
2022/06/24 10:24
hevohevo
協力会社ってなにさ下請けのこと?→20年前から市のシステム管理を担当。なるほど古くからの市の御用業者なのね。今後取引やめると引き継ぎできなくて大変なことになるパターンかな。
2022/06/24 10:35
caligo
泥酔して路上で寝こけて重要書類紛失する人って本当に存在するんだ…
2022/06/24 10:39
restroom
何重にもあった対策をことごとく破っていった感じ。暗号化が最後の砦になっていて良かったですね。
2022/06/24 10:43
smeg
路上で寝込むほど酩酊することを日常的な楽しみにしてる人は薬物中毒者として扱うべき
2022/06/24 10:44
nejipico
市側の管理体制の不備というか市が情報管理してない。個人情報の持ち出し、受け入れ、媒体の消去は市の情報管理責任者の立ち合いの下行われなければならない。なあなあで業者丸投げにしたツケが回って来たね。
2022/06/24 10:46
koroha-a
システム的に塞いでおけば、と思ったけど管理者がやらかしたら防げないなあ "協力会社社員は約20年前から市のシステム管理を担当" "情報センターへの出入りが自由" "必要となるID、パスワードも知っていた"
2022/06/24 10:52
interferobserver
仕事が早い。
2022/06/24 10:52
ysync
正直、問題は紛失よりも、自治体のデータを業者に任せてる部分ではないかね?/悪意のある従業員が居ればコピって売る事も可能だったわけで。企業とは守秘気味契約あるだろうけど、損害賠償(金)だけで済まんよな?
2022/06/24 10:56
hetarechiraura
それ言い始めたら役所の職員の大半が「一山いくらの底辺人材」と言えるんですがそれは/人の質関係なく未然に防ぐ仕組みがなかった事が問題。
2022/06/24 10:57
kikutiyox
“協力会社社員は約20年前から市のシステム管理を担当しており” 末端ではありがちな話だけど、現場レベルでは上下関係ひっくり返ってそうだなぁ。
2022/06/24 11:18
You-me
パスワード毎年変更という話はやっぱソースなしね
2022/06/24 11:27
sabinezu
いいまとめ。そういう時に限って泥酔して路上で寝るかぁ?偶然が重なりすぎじゃないの?鞄の中に何が入ってたかも明らかにすべきだな。長いパスワードを記憶できる人いる?
2022/06/24 11:32
honeybe
パスワード要件をペラペラ喋った市側もそれを聞き出したマスコミ側も双方意識低すぎだろ。実は聞き出した記者がUSBメモリを取得していて…とかならソーシャルハック事例として大変面白いんだけど。
2022/06/24 11:40
doksensei
ケータイショップのアルバイトでも初日にオリエンテーションで言われてヤバいからやらないであろうと思うようなことだけど、その後の行動とか聞くとどうも特別感が薄くて第三者機関でも入れた方が良さそうなかんじ
2022/06/24 11:45
wataken44
HW的に暗号化されたUSBメモリなのか、単に内容物を暗号化していただけ(e.g. パスワード付きzip)なのか、それが問題だ
2022/06/24 11:51
letra
元請がいたなら、元請が誘って断れなかったんじゃないのかなってのもあるな、、、下請けも、気の毒
2022/06/24 12:03
crexist
日本ユニシス、一緒に仕事した際、全く技術的な話が通じなかったのであまりいい印象がない
2022/06/24 12:08
UhoNiceGuy
まだコロナ禍が油断できないのに飲み会かよ//コメの「なんでこんな時に限って…」←日常的に個人情報持ったまま飲み会してるんでしょ//BIPROGYは元日本ユニシスとのこと。名門だね
2022/06/24 12:13
wakwak_koba
インボイスの適格事業者リストの全公開もそうだけど、照合する必要があるからと言って、生データを全件渡すの、ちょっと思想がおかしい。True/False を返す照合用の WebAPI を用意して、それを外部に叩かせるべきじゃ?
2022/06/24 12:16
manaten
こういうのを「管理が杜撰だ!」って怒るのは簡単だけど、人間という種の抱えた欠点でもあると思うので難しい。常態化を避ける(常に緊張感をもたせる)のが一つの方法な気はするけど、効率化と真逆なんだよな
2022/06/24 12:18
carios
“文字列を推測”がトレンドってそれもどうなのか。恐ろしいな、、、
2022/06/24 12:19
nora-inuo
尼崎市はBIPROGYに対して民事訴訟しないの?多額の賠償金が請求されたら良いのに。
2022/06/24 12:19
miquniqu
解読できたとして、拾った側の換金手段は気になる。そのデータを売りつける先へのツテがなかったらどうにもならんから、一部サンプルデータを海外サバにあげて本データの換金しか思いつかんが。
2022/06/24 12:20
scorelessdraw
このぐだぐだっぷりで今まで事故がなかったのが不思議だなぁ。
2022/06/24 12:20
hatayasan
再委託の禁止の規定には引っかからなかったか、但し書きで回避していたか。末端まで管理することの難しさ。
2022/06/24 12:24
kkobayashi
データが暗号化されていたのがせめてもの救いだが起こるべくして起こった人災なのでちゃんと改善してほしいですな
2022/06/24 12:24
grusonii
今回の件で広告費を掛けずにBIPROGYが元日本ユニシスと周知できたな
2022/06/24 12:36
ys0000
NWが引かれていないならUSBメモリーでの運搬そのものは予定調和だろう。市側が説明されてないというのは些事でSSDだろうがHDDだろうが物理運搬しか方法がない。運搬サービスを使わなかったのと飲みに行ったのがアウト。
2022/06/24 12:42
REV
過失の競合に故意を想定しネタにするっていうのは結構スキなのだが、4630万円事件で関係者が誹謗中傷されたという話を聞いてから自粛傾向
2022/06/24 12:48
mionosuke
自社メンバーの飲み会さえまだ開催出来ないのに。いろいろとクズだな。
2022/06/24 12:48
T_Tachibana
仕事に慣れ過ぎたのか業務がおざなりになっていた協力会社社員もダメだし、その人に長年任せっきりでまともなセキュリティ担当者を役所内に置いていなかった尼崎市もダメ。
2022/06/24 12:50
toshiyam
46万人の所得を丸々賠償請求額にしよう。
2022/06/24 13:16
maicou
酩酊して路上で寝るなよ…。
2022/06/24 13:21
hiroshe
こんな重要な仕事を20年も孫請けの協力会社に出してるのが日本のITがダメな理由。
2022/06/24 13:31
puyop
これまんま情報セキュリティの教材になるやつ。①持ち出しの許可取ってない②作業終了後に消してない③データ持ち歩いているのに飲みに行っている。/教材ビデオでは路頭に迷うケースなので、やらかした人が心配
2022/06/24 13:33
shiketanotsuna
カバンごと盗まれてるのにUSBメモリしか話題にあがらないの他に入ってたものは本当にとるに足らないものなのだろうか
2022/06/24 13:42
saikyo_tongaricorn
まさに三方悪し
2022/06/24 13:48
comoselab
好き。何回でも読める。
2022/06/24 13:53
gooeyblob
日本ユニシスにいた知人が「社名も訳わからんのに変わるし、将来性が見えない」とか言って半年くらい前に転職してたけど、鼻が利くというか何と言うか
2022/06/24 14:04
hiroyuki1983
市役所員の悪口いいながら盛り上がったんだろうな。酔い潰れるのもしょうがない
2022/06/24 14:05
beat_sweet
市の職員も業務受託した企業も担当者はコロコロ変わるが、隠れたところで長年活躍してるのは協力会社の社員で、属人化しすぎて当たり前のこともできなくなってるという。悪いこと考えるやつもでてくるな、これは。
2022/06/24 14:06
ashitaharebare
長年やっててマヒしちゃってたのかね。
2022/06/24 14:20
amberjack115
もはや突っ込みが追いつかない
2022/06/24 14:26
kzm1760
昨日までは他人事と思っていたが、これを見るにルールで縛った結果招いた事象とも思えるので、ITに従事する身としてはこれを他山の石として日々手段で解決することを考えていかねばと感じる。
2022/06/24 14:30
tockri
一人のときに私物のUSBメモリ紛失したっていうの、この人よく報告したなあ。
2022/06/24 14:30
hobbling
カバンごと見つかったみたいだね
2022/06/24 14:38
daruyanagi
面白い要素しか詰まってないな、この事件……
2022/06/24 14:41
call_me_nots
“22日 2時~3時頃 協力会社社員が目を覚まし、鞄を紛失していることに気づく。 同日 協力会社社員が周辺を捜索するも見つからず、大阪府警へ遺失物届を提出。 同日14時頃 協力会社社員がBIPROGYへUSBメモリの紛失を報告”
2022/06/24 14:44
natu3kan
確かにセキュリティの教科書に載りそうなケーススタディ。無許可のデータ持ち出しも、呑みに行くのも、片方だけなら大事件にならない可能性あったし。まあ、そもそも無許可でデータ持ち出すなって話だが。
2022/06/24 14:53
hironagi
そもそも生データを庁舎外のコールセンターに移してる運用そのものがどうかと思うんだけど、そこは問題視されてないのね……
2022/06/24 15:11
tsuboty
個人情報の扱いは免許制でもいいかと思ってる。 持ってる時は車運転している時と同じよ。
2022/06/24 15:18
kurotsuraherasagi
現実に起きた事件なのがアレだけど、事例としてはかなり読み応えあった。小さい注意の積み重ね、大事ですね…
2022/06/24 15:23
evergreeen
「無許可で」って問題視されてるけど、形式的な許可で防げる事故だろうか?紛失後に隠蔽してるならともかくちゃんと報告してるわけだから、漏えい防止の実効性はあまりないように思うけど。
2022/06/24 15:28
niramoyashi
個人情報が話題のパスワードで解除されて晒されるのが楽しみでもある
2022/06/24 15:35
d6rkaiz
もうUSBメモリ自体を使うこと禁止にしたら?指したら警告出すくらいできるでしょ。
2022/06/24 15:37
robo_pitcher
BIPROGY側にも相当な瑕疵が見受けられるのが本当にもう…
2022/06/24 16:21
chamehachi
日本史
2022/06/24 17:12
timetosay
流出で思い出したけど、共通テスト流出ってどうなったんだろ?ジャミングは不可能ってとこまでしか追ってないや…
2022/06/24 17:35
cogen
ダメなところしかない酷い事例だけど、そもそもこんな重要なデータを丸っと外部ストレージに書き出せる事自体が恐ろしい。他の自治体もこんなものなのか?
2022/06/24 17:55
xlc
実は過去にも漏れてそうな事案だな。個人情報を定期的に外に運搬してたのね。そりゃあ事故もあるだろ。運用方法が杜撰すぎる。
2022/06/24 18:00
TakayukiN627
市と旧日本ユニシスがダメダメでした。
2022/06/24 18:23
manFromTomorrow
ここから学ぶべき事柄が沢山ある。上から目線で揶揄してる人たちは大丈夫かな?
2022/06/24 19:46
hiroomi
“BIPROGYでは作業後の速やかな帰社が決まりだったが守られておらず、居酒屋への立ち寄りもBIPROGY社員より持ち掛けられたものだった。”水もやらかしもするするっとすり抜けていくと。
2022/06/24 20:28
tech_no_ta
似たような事案(知ってる人が呑んだ挙句にそれ持ってることで不正も行えうる資格の資格証が入った鞄ごと紛失)を知ってて笑えない。しかし、そんなものを持っててよく前後不覚になるまで酒飲んで帰ろうと思うよな…
2022/06/24 20:49
hkstd_rock
メルカリってちゃんと対応してくれるんだ。びっくり。
2022/06/24 21:51
Mystica_another
IT現場猫
2022/06/24 22:58
magnitude99
自治体の個人情報管理部門と管理者たち全てが、安全基礎知識と責任感を持っていると考えるか?(笑)高齢者程それは皆無だ。セキュリティニュース|サイバーセキュリティ.com (cybersecurity-jp.com)→cybersecurity-jp.com
2022/06/24 23:19
poipoi3
協力会社社員がなくしたことわかってからすぐBIPROGYに連絡せず、休暇連絡→自分で探す→警察に届出してからBIPROGYに連絡してるの、インシデント時のレポートラインどうなってんの?この人や上司が守ってないだけ?
2022/06/24 23:50
adsty
経緯から発表まで行動や言動の大ミスばかりの全容。
2022/06/25 00:21
tanakh
なるほどこういうののためにハードウェア暗号化機能付きのUSBメモリとかがあるのか(´・_・`)
2022/06/25 12:32
diveintounlimit
BIPROGYは旧日本ユニシスで、年収平均800超えなので、底辺とはちょっと言えないと思うよ。おそらく企業の体質なので今後も起こり得ると考えることには賛成。
2022/06/25 21:14
rryu
前回は重要情報の輸送サービスを使っていたのか。決定が木曜で実施が火曜で2営業日ちょいしかないから手続が間に合わなかったとかだろうか。
2022/06/28 08:58
ohesotori
堺市の時のUSB接続口封鎖対策を思い出すなどした