3件
Amagasaki2022とは、2022年に発生した尼崎市のUSBメモリ紛失事案において、当該USBに設定されていると多くのネットユーザーによって推測されたパスワードである。
概要
尼崎市の委託先の業者が全尼崎市民の個人情報が含まれたUSBメモリを紛失し、その事案に関する記者会見を尼崎市が開いた際、市の担当者がパスワードのヒントを会見上で発言してしまったため、セキュリティならびに情報漏洩リスクの認識の甘さが問題となった事例である。
USBメモリ紛失事案
2022年6月21日、新型コロナ給付金支給業務を委託されていたBIPROGY株式会社
[1]関西支社(以下B社)の関係社員(当初の報道。実際は後述)が、データセンターでの移管作業を実施するために、全尼崎市民(約46万人)の様々な個人情報が記録されたUSBメモリを無断で市から持ち出した(本来は市の持ち出し許可が必要)。移管作業を終わらせた社員はUSBメモリを入れたカバンを持った状態でそのまま居酒屋へ(本来はすぐさま帰社する・持ち出した場合はUSBメモリの中身は全消去する規定)。すっかり酒に酔った状態になった社員は路上で寝てしまい、目覚めた時にカバンが無くなったことに気づいた[2]。
翌22日、社員は心当たりがある場所を探し回ったが見つからなかったため、同日に紛失届を提出し、B社・尼崎市にも報告した。ただし、B社では本来は紛失したらすぐさま会社に報告する規則だったのだが、実際に紛失を報告したのは午後になってからであった(大事にしたくなかったのか最初は単に欠勤とだけ報告していた)。
このように紛失事案自体がかなり酷く、情報漏洩リスクの認識の甘さが見て取れる。
これだけだったら、B社側に大きな問題があっただけで済んだのだが……。
記者会見
23日、尼崎市はこの紛失事案について公表し、記者会見を行うことにした。
これだけであれば情報漏洩リスクがあるのだから普通の対応であるが、記者からパスワードについて質問された際に、市の担当者はなんとパスワードは英数文字を含めた13桁であると発言したのである[3][4]。
おそらく長い桁数なので簡単にはパスワードは特定できないと言う意味で発言したと見られる。
この13桁発言が大きく話題となった直後に、「毎年変えている」とこの市の担当者が発言した情報が流れたため(ただしこちらは情報元は無く、デマの可能性が高い[5]。仮に毎年変えていることが事実だとしても、実際にパスワードを変えていたのがこの担当者であるとは限らない。デマを信じて安易に批判をしないように注意されたい)、パスワードは「Amagasaki2022」なのでは?とインターネット上で大きく話題になり、Twitterでは一時「Amagasaki2022」がトレンド1位になる事態になった[6]。
「TOKYO2020」や「OSAKA2025」と字面が似ていると言う理由から、尼崎でオリンピックや万博が開催されていると言うネタまで登場する有様。
YouTubeで配信されていた記者会見の生放送はすぐさま非公開になってしまったため、デマが本当にデマであるか確認が困難な状況となってしまったが、少なくともパスワードの桁数については様々な報道機関でニュースとして取り上げられているので間違いはない模様。
こうして、このような記者会見を行った尼崎市は大きく批判を浴びることになった。
その後
当該USBメモリは6月24日にカバンと共に発見され回収された。寝ていた場所の近くのマンションに置かれており、カバンの中身はそのままの状態だったと言う。現在は個人情報流出が無かったかどうか確認中となっている。
なお、当初は紛失したのはB社の委託先の社員とされていたが、実際は委託先の株式会社アイフロントの再委託先の社員であったことが判明。さらにB社の委託もアイフロントの再委託も市の許可が無かったことが発覚。
セキュリティ上のリスクとして問題だらけだったようである。
今後は尼崎市に第三者委員会が設置される予定であり、検証と再発防止に努める予定。また、尼崎市からB社への損害賠償も検討されている。
教訓
まず勝手に情報を持ち出したB社側には大きな責任があるのは間違いないことである。仮に許可を得て持ち出したとしても、その情報はしっかりと管理するべきであり、紛失するようなことは当然あってはならない。
また、勝手に持ち出しが可能であった尼崎市にも問題があったのではと言う指摘もある。
本題のパスワードについては、当たり前な話だがパスワードは本来見破られないように複雑に設定すべきであり、単純な単語や数字を組み合わせただけでは簡単に突破されてしまう。出来るだけ見破られないようにする方法として、複雑な文字列にした上でパスワードの桁数を長くする手法もあるし、記号がパスワードに使えるのであれば記号を組み合わせる手法もある[7]。パスワードが覚えられない人は「password」の記事も見ることをおすすめする。
そしてパスワードの中身について他人に伝えるのは情報セキュリティとしてリスクが大きいのは当然のことであるのだから、共有するにしても公の場で伝えてはいけない(飲食店等でも他人に聞かれるリスクがあるので話してはならないことである)。
近年では暗号化ソフトを導入し、その暗号化を復号化可能な人同士でしか内容を確認できないようにすることも情報漏洩リスクのために必要不可欠とされる。
この記事を見ている人でパスワードを単純な物にしている人は今すぐ変更してほしい。また2段階認証や2要素認証ができるのであれば設定しておくように。
他人に情報を盗まれたり、アカウントを乗っ取られると言うことは大きな問題となることを忘れないように。
その他
この紛失事案が公表された直後に、メルカリで「尼崎のUSB」が45万2600円(税込・送料込み)で出品された。1時間半後に削除され、尼崎市はいたずらであると考えている[8]。
実際、後にUSBメモリは見つかったのでいたずらだったと思われる。
関連動画
Amagasaki2022に関するニコニコ動画の動画を紹介する場合は、パスワードを強固なものにし、セキュリティとして問題が無いかどうかを確認してから紹介してください。(特にない場合はこの部分を削除してください)
関連リンク
- 個人情報を含むUSBメモリーの紛失について - 尼崎市(2022年6月23日。26日更新)
- 【重要なお知らせ】兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」についてのお詫び (PDF) - BIPROGY株式会社(2022年6月23日)
- 【重要なお知らせ】兵庫県尼崎市における「個人情報を含むUSBメモリーの紛失」について (PDF) - BIPROGY株式会社(2022年6月24日)
- 【重要なお知らせ】住民税非課税世帯等に対する臨時特別給付における個人情報を含むUSBメモリの紛失に関する報告の修正について (PDF) - BIPROGY株式会社(2022年6月26日)
- 尼崎市役所様のUSBメモリの紛失事故についてのお詫び - 株式会社アイフロント(2022年6月27日)
関連項目
脚注
- *2022年4月に日本ユニシス株式会社から社名変更した企業。
- *「飲酒後、路上で寝てUSBなくした」尼崎市の個人データ紛失問題、委託業者が会見 - 神戸新聞(2022年6月23日)
- *USBメモリ紛失の尼崎市、記者会見でパスワードの桁数暴露 ネット騒然 「悪例として最高の手本」 - ITmedia NEWS(2022年6月23日)
- *「尼崎市の全住民「個人情報」酒飲んで紛失…会見でパスワード“桁数”明かす失態も…」 - 日テレNEWS(2022年6月24日)
- *5ちゃんねるでは「尼崎市に関係のある英単語の後ろに数字4桁」「先頭だけ大文字」との発言もあった旨の書き込みがされたが、これらもおそらくデマと見られている。
- *あまりにもツイート量が多かったために、Twitterによく使われる単語として判定されてトレンドから除外された模様。
- *ちなみにネット上で話題になっていた時は「am@g@s@ki2022」のように、一部をアットマークとしたネタも見られた。「a」を「@」に置き換えただけだと、それはそれでリスクがありそうであるが。
- *「尼崎のUSB」?メルカリに出品、すぐに削除 市は「いたずら」との見方(『「尼崎のUSB」メルカリに 市民45万人の個人データ紛失報道後に出品 価格は45万円』からタイトル変更) - 神戸新聞(2022年6月23日)
- 10
- 0pt
