近年、大企業などのシステムが不正侵入されて、個人情報が流出したというニュースを日常的に目にするようになりました。

 

今回のブログでは、最近の特定の事案を参照して、この事案から生じ得る犯罪発生への危険性について記事にしてみようと思います。

 

日経コンピュータによると、2024年7月～10月に掛けて、健康保険組合データベースへの不正アクセスが複数件発生したとこのことです。

原因は、システムの委託を受けていたヒロケイという会社への不正アクセスだったとのことです。

被害を受けた健康保険組合は、神戸製鋼所健康保険組合や中国しんきん健康保険組合など7つの健康保険組合だそうです。

 

ヒロケイのサーバーには脆弱性があったことと、VPNの設定に不具合があったことから侵入を許してしまったようです。

使用されたランサムウェアは、「Phobos(フォボス)」というもので、このウィルスソフトは、ランサムウェアを実際に開発する部分と実際に社内ネットワークに侵入する役割に分かれているようです。

 

委託契約では、ヒロケイが開発時に使用した個人情報は削除することになっていたようなのですが、ヒロケイがこの義務を怠り、個人情報をサーバー上に保持し続けていたことから、被害が発生したとのことです。

 

こういう個人情報の漏洩があると、不正に個人情報を入手した目的は、リストを作成して、売買の目的とすることもその一つかと思います。

 

近年問題となっている闇バイトなどが関わっている高齢の個人宅への強盗などもこういったリストを元に犯罪の客体が選出されることもあるかと思います。

 

今回のヒロケイの事案でも、不正に取得された個人情報のリストが犯罪者に渡ることも懸念されます。

 

毎日のように企業の情報漏洩の事件をニュースなどで目にするので、なんか当たり前になってきている部分もあるかもしれないですが、個人情報を取り扱う大企業にはもう一度社内システムのセキュリティの拡充の徹底をしてもらいたいです。