セキュリティエンジニアが気になったニュースまとめ 2021/11/22~11/28
最近話題になったセキュリティ関連のニュースから、気になるものをピックアップしてお届けします。
2021/11/22
サーバエラーでアプリによる操作が一時不能に、車に乗れなくなる障害発生 – テスラ
https://electrek.co/2021/11/19/tesla-suffers-nationwide-app-server-outage-owners-cant-connect-cars/
Tesla is currently suffering from a nationwide (update: now worldwide) app server outage -resulting in owners not being able to connect to their cars.
(翻訳)
テスラでは現在、全国的に(最新では全世界的に)アプリのサーバーが停止しており、オーナーは車に接続できない状態になっています。
テスラ車はモバイルアプリ経由で車を操作できますが、サーバエラーが発生しドアの開錠などができなくなる障害が発生しました。
車に限らず、自宅の玄関錠をスマートロックにしてスマホから解施錠できるようにしている人もいると思います。
通信障害や不測の事態に備えて、不安な人はカードキーや物理キーも持ち歩くと安心です。
2021/11/26
みずほ銀行及びみずほフィナンシャルグループに対する行政処分について – 金融庁
https://www.fsa.go.jp/news/r3/ginkou/20211126/20211126.html
9. 当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。
(1)システムに係るリスクと専門性の軽視
(2)IT現場の実態軽視
(3)顧客影響に対する感度の欠如、営業現場の実態軽視
(4)言うべきことを言わない、言われたことだけしかしない姿勢これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。
金融庁は、2021年2月から9月にかけて顧客に影響を及ぼすシステム障害を計8回発生させたみずほ銀行及びみずほFGに対して業務改善命令を発出しました。
金融庁はシステム障害が発生した原因の背景として、執行部門がIT現場の実態を軽視し、必要なリスク管理態勢の実態を把握しないまま基幹システム(MINORI)の運用を推し進めたことを指摘しています。
システム障害の直接的な原因は、品質確保のための検証が不十分なことや、保守管理態勢が整備されていないこととしていますが、背景には組織の中で責任が明確化されていないことやマネジメントの欠陥があることが推測されます。
2021/11/26
株式会社NTTドコモに対する電気通信事故に関する適切な対応について(指導) – 総務省
https://www.soumu.go.jp/menu_news/s-news/01kiban05_02000233.html
株式会社NTTドコモが提供する携帯電話サービスについては、令和3年10月14日に2時間20分にわたり約100万人の利用者に影響を及ぼす通信障害が発生し、同年11月10日、総務省は、同社から電気通信事業法(昭和59年法律第86号)第28条に基づく、当該障害に関する重大な事故報告書を受領しました(概要は別紙1PDF参照)。
総務省においては、当該報告書の内容を精査し、本件事故が、緊急通報を取り扱う音声伝送役務に関する事故であることに加え、携帯電話サービスが国民生活の重要なインフラになっている状況を踏まえれば、社会的影響は極めて大きいものと認められるものであり、同様の事故が再発しないよう十分な措置を講ずる必要があるものと考えられます
総務省は、12時間に及ぶ大規模な通信障害を発生させたNTTドコモに対して行政指導を行いました。
NTTドコモは通信障害の原因として、IoT位置情報サーバの切り替え工事で不具合が判明したため切り戻し作業を実施したところ、大量のIoT端末の位置登録信号が発生し、ネットワークに輻輳が発生したためと説明しています。
通信障害はドコモに限らず、他の携帯キャリアでも過去に発生しています。このような事態に備えて利用者としては別会社の回線を追加で契約し、デュアルSIMでの利用を検討すると良いかもしれません。
2021/11/26
ATM 等に関するシステム障害の原因等について – 三菱UFJ信託銀行株式会社
https://www.tr.mufg.jp/emg/pdf/ATM2.pdf
今回のシステム障害は、勘定系システムの一部サービス機能(信託ネット通帳導入に伴い、
本人確認をキャッシュカードで行うサービス)の改善のため、修正したプログラムの不備に起因することが判明しました。プログラムの不備により適正な処理がなされない状況となったため、直ちに修正前のプログラムに戻し復旧に至りました
三菱UFJ信託銀行で、ATMやインターネットバンキングで取引ができなくなるシステム障害が発生しました。
プログラムのリリースにあたって、事前検証が十分でなかったことが原因のようです。
2021/11/26
北國クラウドバンキング障害、3時間45分利用できず – 株式会社北國銀行
https://www.hokkokubank.co.jp/other/notice/index_history.html#t2021-11-26
2021年11月26日 17:00~20:45ごろ、システム障害により、北國クラウドバンキングがつながりにくい状態となっておりましたが、現在は復旧いたしております。
ネットバンキングが利用できなくなる、システム障害が発生しました。
システム障害の原因は公表されていません。
2021/11/28
LINE Payカード(JCB)ご利用のお客様でお支払いが二重に発生した件に関して – LINE Pay株式会社
https://pay.line.me/portal/jp/customer/notice
11月26日(金)20:30頃にLINE Pay カード(JCB)ご利用のお客様でお支払い(お引き落とし)が二重に行われる事象が発生し、11月27日(土)18時20分頃にご返金が完了したことをお知らせいたします。
LINE Pay株式会社は、引き落としが二重に行われた原因として、システム障害により前日処理分の売上データの取込処理を再度行ってしまったためと説明しています。
利用者としては、こまめに利用履歴を確認し心当たりのない決済がないか確認する習慣をつけておきたいです。また、多くの人は複数のクレジットカードや決済サービス、また銀行を利用していると思います。管理が煩雑に感じる人はそれらを一括で管理できるサービスの利用を検討すると良いかもしれません。
2021/11/28
システム不具合の発生により注文した料理届かず – 株式会社出前館
https://corporate.demae-can.com/pr/info/post_644.html
2021年11月28日(日) 12:00頃より、アクセス集中によるシステム不具合により、断続的にサイトへ繋がりにくい状態が発生しておりました。
実際にはサイトに繋がりにくいのではなく、注文・決済までできたにもかかわらず注文データが正常に送られず、商品が届かない状況が発生していたようです。
決済と注文データの送信がひとまとめの処理になっていないことが問題であると推測できます。
また、公式からのアナウンスが障害発生の翌日であることや、詳細な情報が公表されていないことから不信感をもったユーザーも多いようです。
まとめのまとめ
今週は情報セキュリティの3要素「機密性、完全性、可用性」のうち主に可用性を損なうインシデントを取り上げました。
セキュリティというとまず第一に情報漏洩といった機密性の侵害をイメージする人も多いと思いますが、可用性も非常に重要な要素です。
今週取り上げた中には、システム障害を起因として完全性も損なった事例があります。また、認証サーバなどセキュリティ機器の可用性が損なわれた場合、機密性、完全性ともに維持できない可能性があることからも可用性が重要な要素であることがわかると思います。
担当:HT