2022年11月28日 尼崎市USBメモリー紛失事案に関する調査報告書
なくなっとる!(2023/10/17)
「本番データを使用していいものなのでしょうか?NGなような気がします。。」
「とりあえず氏名の頭1文字だけ「尼」に変えておきましょうか。。」
「めんどうやなかったらそうしといて!」
尼崎市とB社との間で機密情報をやり取りする際、「amagasaki」「Amagasaki」「AMAGASAKI」や、これらに単に日付を追加するだけの、いわば辞書攻撃をするまでもなく誰でも簡単に思いついてクラックできるパスワード設定が複数みられた。 USBメモリに設定されていた実際のパスワードは本報告書で詳らかにすることはできないが、本件事案発生直後にSNS等で噂されていたような容易に想像がつくパスワードではなく、文字種が多彩でブルートフォース攻撃に対し耐性の高いパスワードが設定されていた。 B社執務室内で稼働する無断再委託先従業員や無断再々委託先従業員が使用するメールアドレスもB社のメールアドレスであった。B社はこれらの者に対し、B社のメールアカウントを付与し、当該メールアカウントを使うように無断再委託先・再々委託先従業員らに指示し、尼崎市職員との間でメールをやり取りさせていたため、市職員からは、無断再委託先従業員のメールも、無断再々委託先従業員のメールも、B社従業員からのメールに見える内容となっていた。B社執務室の管理責任者であるB社従業員も、同執務室内で稼働する再委託先ないし再々委託先の従業員らに対し、B社のメールアカウント(@の右側がB社ドメイン名で、@の左側が英語表記した本人の名前)を使用させていたことを認めている。 B社執務室を管理するB社責任者によると、B社はこれまで再委託先や再々委託先に対し、セキュリティ監査を実施したことがない。B社によるセキュリティ監査の実施については、再委託先も再々委託先もB社は監査したことがないと同様に述べている。