尼崎市でUSB紛失委託業者やパスワードを調査「ブルートフォース攻撃」

尼崎市のUSB紛失委託業者やパスワード調査
  • URLをコピーしました!

株式会社BIPROGY(ビプロジー)株式会社関西支社(日本ユニシス)の40代の関係社員が業務終了後ルールを守らず飲酒してUSB2本を紛失させました。尼崎市の全市民の入ったUSBをふんしつさせた業者について調査していきます。また、パスワードやメルカリに出品されたデマ情報も見ていきます。

目次

尼崎USB紛失させた業者を調査「BIPROGY関西支社」

6月23日、兵庫県尼崎市は全市民の住民基本台帳などのデータが入ったUSBメモリーを紛失したと明らかにしました。USBメモリーには全市民約46万人分の氏名、生年月日、住所など住民基本台帳に記載されてる情報のほか生活保護児童手当を受けている世帯の口座情報などが保存されていた。USBを紛失した業者はどこなのか調査していきます。

6月21日に住民税非課税世帯への臨時特別給付金業務で、委託業者の40代の関係社員がUSBを2本カバンにいれて市役所(市政情報センター)から持ち出し、データ移管作業を行いました。その後、飲食店に立ち寄り食事をしたあとに帰宅すると、USBメモリーを入れたカバンを紛失したことに気づいたという。USBだけを無くしたのではなくUSBを入れたカバンごと紛失させてしまったようです。当時この社員は同僚社員と3人と飲食店で3時間ほど飲酒し、帰宅途中で酔って路上で寝込のメモリーの入ったカバンごとなくしたことに気づいたという。尼崎市の全市民のデータを所持しているにも関わず飲酒するなど持ってのほかです。さらに路上で寝てしまうという醜態。責任能力が無さ過ぎます。20年近くこのような業務をしていた。さらに尼崎市によると、業者は外部で作業する許可を得ていたが、今回はメモリーを無断で持ち出したという。USBにはパスワードがかけられ、暗号化処理がされており、市によると現時点でデータの漏えいなどは確認されていない。

尼崎市がUSBを紛失した概要・経緯

尼崎市がUSB2本からもらしてしまった情報は以下です。

  • 統一コード
  • 氏名・住所・郵便番号・性別・住民となった年月日
  • 住民税に関する税情報36万573件
  • 生活保護・児童手当受給世帯の銀行口座情報7万6026件
  • 生活保護1万6765件
  • 児童手当6万9261件
  • 金融機関コード・支店コード・口座区分・口座番号・口座名義
  • 非課税世帯党臨時特別給付金の対象世帯情報
  • 令和3年度分7万4767世帯分
  • 令和4年度分7949世帯分
  • 世帯主の統一コード・申請番号・申請受付日・申請書不達理由・振り込み処理日時
尼崎市が紛失したUSBに入れていた情報一覧

これだけ膨大な情報をUSB2本に集約して管理していた尼崎市ですが、委託業者の関係社員に紛失させられてしまったようです。これまで一部漏洩ということは何度か耳にしたことがありますが市民全員分はなかなかないでしょう。

尼崎市が外部に依頼していた受託者であるBIPROGY株式会社関西支社の住所は大阪市北区大深町にあります。

JR大阪駅や大阪梅田駅から近い場所にあります。

尼崎市USBを紛失させた業者の地図

追記:USBを紛失させた男性は、紛失したことは報告せず、当日会社を休んで1人でかばんを探しに行った。しかし、捜索したが発見には至らなかった。会見で「かばん見つからず、吹田警察の方に紛失届を、そのタイミングで提出したと。(おととい)午後2時ぐらいに本人から、当社の現場責任者に『かばんを紛失した』と連絡があった」と述べた。尼崎市に初めて報告があったのは紛失から12時間余りあとのことだった。6月23日に吹田市のマンションの敷地内で発見された。

尼崎市usbがメルカリで販売「デマだとテレビで報道される」

尼崎市が尼崎市民全員のデータが入ったUSBを紛失したとテレビやネットニュースで報道し大炎上しました。この報道後メルカリにUSBが出品されているという情報が寄せられていました。この情報について調査していきます。

神戸新聞はTwitter上に【新着】「尼崎のUSB」メルカリに・・・価格は人口と同数、紛失報道後に出品とツイートしました。

尼崎のUSBメモリという商品名でメーカーはバッファロー、価格は452600円と尼崎市民の数×1円の値がつけられていました。この事実が判明してすぐに尼崎市は動き確認しましたが、紛失したUSBではないデマだとテレビで報道しました。確認後すぐにメルカリに削除依頼をしてこの商品は削除されました。かなり悪質ないたずらです。また、紛失したUSBは1本ではなく2本ですのでその点も怪しむ点かと思います。

尼崎市USBがメルカリに出品されたというデマ情報

Twitter上では滝沢ガレソ氏などがこのニュースを取り上げいじっていました。「全市民の個人情報か?ほしけりゃくれてやる。探してみろこの世の全てを飲食店に置いてきた」とワンピースのシーンを利用して面白おかしく取り上げていました。細かいこと言うと飲食店でなくしたのではなく路上で寝てからUSBを無くしています。そこら辺の道端に尼崎市のUSBが落ちているかもしれません。

USBを許可なく勝手に持ち出したあげく、作業後はすぐに帰社するというルールも無視して関係社員は居酒屋に向かいました。そして酒に酔い路上で寝てUSBを紛失するという失態。再発防止するとともに社員の処分を検討しなければいけませんね。皆様も時間があったらUSBを探してあげてください。

尼崎USBパスワードの桁数「英数文字を含めた13桁」

Twitterでは尼崎市のセキュリティ体制への批判が続出している。ある文字列の組み合わせがちょうど13文字になることから、一部では「これがパスワードではないか」などと話題になっている。尼崎で紛失したUSBのパスワードについて調査していきます。

尼崎市は記者会見でパスワードについて話してしまいネット上で批判が続出しています。「英数文字を含めた13桁のパスワードを設定している。だから解読は難しい」と発言していました。使う文字の種類そしてパスワードの桁数が分かってしまうと、パスワードの組み合わせを総当たりで試す「ブルートフォース攻撃」がしやすくなってしまいます。USBを拾った人がIT系に詳しい人物であればすぐにパスワードの解析し解除してしまうでしょう。

ネット上では紛失したUSBのパスワードを当てようといろいろな案が出ているようです。ネット上で出ているパスワード候補を一部抜粋して紹介していきます。

尼崎市の市町村コードが28202であること。本年度が西暦2022年であること。そして年老いた人でも忘れないローマ字を使用しているのではないかと推測されています。この3つのうち1つは必ず入っている可能性は高いです。入っているデータと照らし合わせて連想できる文字と言えばやはり、尼崎=amagasakiです。これをローマ字で入れるとだれでもわかりやすなります。

尼崎市USB紛失パスワードや桁数調査

尼崎市は毎年パスワードを変更しているということなで西暦やファイルを作成した日などをパスワードに入れている可能性もあります。覚えやすい文字列+変更しやすい数値(西暦や作成日)というパターンがありそうです。

尼崎市USB紛失パスワードや桁数調査

実際にネット上では「amagasaki2022」ではないかと推測されています。「amagasaki」で9文字、「2022」で4文字、合計13文字と桁数は一致します。しかし、こんな簡単なパスワードでいいのか?という疑問もあるようです。

尼崎市USB紛失パスワードや桁数調査

また、尼崎市は記者会見でパスワードは13桁だと公表しましたが、本当は14桁ではないかと仮説を立てる人もでてきました。市町村コード+都市名=「28202amagasaki」だと自身満々に書きこんでいました。

尼崎市USB紛失パスワードや桁数調査

しかし、どのような文字列のパスワードなのかは実際のところ不明です。引き続き調査していきます。

尼崎市の今後の対応「チェックを強化・職員研修も啓発していく」

尼崎市側は原因について、個人情報データを保存したUSBメモリーを運送会社のセキュリティ便などを使用せず、委託者の関係社員が個人で事業所外に持ち歩いたこと、さらに、事業所外でのデータ移管作業終了後、その場で速やかにUSBメモリーのデータを消去しなかったこと、USBメモリーを持ち運んだまま店舗で飲酒や飲食をした点などを挙げた。

今後はUSBメモリーなどの電子記録媒体を事業所外へ持ち出す場合は、具体的な運搬方法を含めて個別に許可したうえで、暗号化などを行い、複数人での配送や運送会社のセキュリティ便を使用するなどセキュリティマネジメントを徹底するという。また、住民税非課税世帯等に対する臨時特別給付金の支給は滞りなく実施するとしている。

新野りなの死因「ハードSM監禁プレイによる絞殺」常陸太田市殺人事件

新野りなさんのFacebook「歯を矯正し涙袋がかわいい」常陸太田市別荘事件

三瓶博幸フェイスブック「常陸太田市大中町に別荘」監禁殺人事件

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

CAPTCHA


目次
閉じる