Amagasaki2022とは、2022年に発生した尼崎市のUSBメモリ紛失事案において、当該USBに設定されていると多くのネットユーザーによって推測されたパスワードである。
尼崎市の委託先の業者が全尼崎市民の個人情報が含まれたUSBメモリを紛失し、その事案に関する記者会見を尼崎市が開いた際、市の担当者がパスワードのヒントを会見上で発言してしまったため、セキュリティならびに情報漏洩リスクの認識の甘さが問題となった事例である。
2022年6月21日、新型コロナ給付金支給業務を委託されていたBIPROGY株式会社[1]関西支社(以下B社)の関係社員(当初の報道。実際は後述)が、データセンターでの移管作業を実施するために、全尼崎市民(約46万人)の様々な個人情報が記録されたUSBメモリを無断で市から持ち出した(本来は市の持ち出し許可が必要)。移管作業を終わらせた社員はUSBメモリを入れたカバンを持った状態でそのまま居酒屋へ(本来はすぐさま帰社する・持ち出した場合はUSBメモリの中身は全消去する規定)。すっかり酒に酔った状態になった社員は路上で寝てしまい、目覚めた時にカバンが無くなったことに気づいた[2]。
翌22日、社員は心当たりがある場所を探し回ったが見つからなかったため、同日に紛失届を提出し、B社・尼崎市にも報告した。ただし、B社では本来は紛失したらすぐさま会社に報告する規則だったのだが、実際に紛失を報告したのは午後になってからであった(大事にしたくなかったのか最初は単に欠勤とだけ報告していた)。
このように紛失事案自体がかなり酷く、情報漏洩リスクの認識の甘さが見て取れる。
これだけだったら、B社側に大きな問題があっただけで済んだのだが……。
23日、尼崎市はこの紛失事案について公表し、記者会見を行うことにした。
これだけであれば情報漏洩リスクがあるのだから普通の対応であるが、記者からパスワードについて質問された際に、市の担当者はなんとパスワードは英数文字を含めた13桁であると発言したのである[3][4]。
おそらく長い桁数なので簡単にはパスワードは特定できないと言う意味で発言したと見られる。
この13桁発言が大きく話題となった直後に、「毎年変えている」とこの市の担当者が発言した情報が流れたため(ただしこちらは情報元は無く、デマの可能性が高い[5]。仮に毎年変えていることが事実だとしても、実際にパスワードを変えていたのがこの担当者であるとは限らない。デマを信じて安易に批判をしないように注意されたい)、パスワードは「Amagasaki2022」なのでは?とインターネット上で大きく話題になり、Twitterでは一時「Amagasaki2022」がトレンド1位になる事態になった[6]。
「TOKYO2020」や「OSAKA2025」と字面が似ていると言う理由から、尼崎でオリンピックや万博が開催されていると言うネタまで登場する有様。
YouTubeで配信されていた記者会見の生放送はすぐさま非公開になってしまったため、デマが本当にデマであるか確認が困難な状況となってしまったが、少なくともパスワードの桁数については様々な報道機関でニュースとして取り上げられているので間違いはない模様。
こうして、このような記者会見を行った尼崎市は大きく批判を浴びることになった。
当該USBメモリは6月24日にカバンと共に発見され回収された。寝ていた場所の近くのマンションに置かれており、カバンの中身はそのままの状態だったと言う。現在は個人情報流出が無かったかどうか確認中となっている。
なお、当初は紛失したのはB社の委託先の社員とされていたが、実際は委託先の株式会社アイフロントの再委託先の社員であったことが判明。さらにB社の委託もアイフロントの再委託も市の許可が無かったことが発覚。
セキュリティ上のリスクとして問題だらけだったようである。
今後は尼崎市に第三者委員会が設置される予定であり、検証と再発防止に努める予定。また、尼崎市からB社への損害賠償も検討されている。
まず勝手に情報を持ち出したB社側には大きな責任があるのは間違いないことである。仮に許可を得て持ち出したとしても、その情報はしっかりと管理するべきであり、紛失するようなことは当然あってはならない。
また、勝手に持ち出しが可能であった尼崎市にも問題があったのではと言う指摘もある。
本題のパスワードについては、当たり前な話だがパスワードは本来見破られないように複雑に設定すべきであり、単純な単語や数字を組み合わせただけでは簡単に突破されてしまう。出来るだけ見破られないようにする方法として、複雑な文字列にした上でパスワードの桁数を長くする手法もあるし、記号がパスワードに使えるのであれば記号を組み合わせる手法もある[7]。パスワードが覚えられない人は「password」の記事も見ることをおすすめする。
そしてパスワードの中身について他人に伝えるのは情報セキュリティとしてリスクが大きいのは当然のことであるのだから、共有するにしても公の場で伝えてはいけない(飲食店等でも他人に聞かれるリスクがあるので話してはならないことである)。
近年では暗号化ソフトを導入し、その暗号化を復号化可能な人同士でしか内容を確認できないようにすることも情報漏洩リスクのために必要不可欠とされる。
この記事を見ている人でパスワードを単純な物にしている人は今すぐ変更してほしい。また2段階認証や2要素認証ができるのであれば設定しておくように。
他人に情報を盗まれたり、アカウントを乗っ取られると言うことは大きな問題となることを忘れないように。
この紛失事案が公表された直後に、メルカリで「尼崎のUSB」が45万2600円(税込・送料込み)で出品された。1時間半後に削除され、尼崎市はいたずらであると考えている[8]。
実際、後にUSBメモリは見つかったのでいたずらだったと思われる。
Amagasaki2022に関するニコニコ動画の動画を紹介する場合は、パスワードを強固なものにし、セキュリティとして問題が無いかどうかを確認してから紹介してください。(特にない場合はこの部分を削除してください)
掲示板
急上昇ワード改
最終更新:2024/04/25(木) 00:00
最終更新:2024/04/25(木) 00:00
ウォッチリストに追加しました!
すでにウォッチリストに
入っています。
追加に失敗しました。
ほめた!
ほめるを取消しました。
ほめるに失敗しました。
ほめるの取消しに失敗しました。