デジタルフォレンジック調査

デジタルフォレンジック調査のピーシーキッド

企業内の不正調査デジタルフォレンジックならピーシーキッド
企業内の不正調査デジタルフォレンジックならピーシーキッド

実際にあったインシデント例

  • CASE1通信会社社員が通信に関わる情報を持ち出し
    大手携帯電話会社に勤務していたAは、携帯電話基地局情報を含む5Gに関わる営業秘密を持ち出し、転職先の競合他社にその情報を流出させたとして不正競争防止法違反(営業秘密領得)に問われた。弁護側は、不正競争防止法第2条6項に定義されている「営業秘密」の3要件「秘密管理性」「有用性」「非公知性」には該当しないとして、無罪を主張していたが、2022年12月、懲役2年執行猶予4年罰金100万円の判決を言い渡された。 判決理由で裁判長は、例え「部外秘」の記載がない、ファイル暗号化の処置がないにしても、5Gへの切り替えに関わる基地局情報なども含んでおり、勤務していた携帯電話会社の将来的なネットワーク構想を窺い知ることができ、十分、不正競争防止法の営業秘密に該当すると結論づけた。Aが勤務していた携帯電話会社は、元社員と転職先の会社に対し、約1000億円の損害賠償請求権を主張する民事訴訟も起こしてる。 Aは、働いていた通信会社の入社時に秘密保持の誓約書に捺印していて、退職時にも、「機密情報を社外に開示、漏洩しない」という誓約を行っていた。
  • CASE2ランサムウェアによる個人情報大量流出

    東京にあるパチンコチェーン店の親会社にサイバー攻撃によって個人情報が33万件流出するという大量流出事件が発生した。2022年9月にサーバに障害が発生したため、原因を調査したところ、外部からの不正アクセスの痕跡があったため、急遽ネットワークを遮断し、本格的な調査を開始した。9月に調査した時点では、3700件弱の流出であったと発表したが、その後の調査により、それ以外にも流出の可能性が否めないということで、詳細な調査を行ったところ、顧客、取引先、従業員、退職者、応募者他の個人情報33万件を超える情報の流出が確認された。

    流出した個人情報データ、氏名、電話番号、性別、生年月日、メールアドレス、口座番号など。流出した個人情報データは、ダークweb上に公開されていたのを確認したが、現状そのwebサイトにはアクセスできない状況。不正アクセス発覚後、直ちに警察、個人情報保護委員会に報告を済ませ、二次被害を防ぐために被害を発表した。再発防止のため、外部の専門家を委員とする調査委員会を立ち上げ、セキュリティの見直しを進めている。

  • CASE3決済システム改ざんでクレカ情報流出

    楽器を扱う会社が2021年8月、webサイトからクレジット決済で商品を購入した1,667件のユーザーのクレジットカード情報が流出した可能性があることを報告した。同社の報告によると、同年2月、クレジットカード会社から、webサイトでカード購入した顧客のクレジットカード情報が流出している可能性があるとの指摘を受け、第三者調査期間に調査を依頼。調査により、webサイトの脆弱性をついた改ざんが認められた。2021年2月、同社は、クレジット決済による支払方法を停止させた。そのうえで、決済代行会社と協議し、顧客に対する迷惑を最小限に食い止める対応準備を整えた。

    クレカ情報流出流出の原因は、webサイトの一部の脆弱性を狙った第三者の不正アクセスによるペイメントシステムの改ざんが行われたためとの調査結果を公表。流出したクレジットカード情報は、カード名義人名、クレジットカード番号、有効期限、セキュリティコードなど。インシデント発覚後、情報が流出した可能性がある顧客に個別にメールを発送し、またクレジットカード会社と連携し情報が漏洩した可能性があるクレジットカードのモニタリングを継続している。また、顧客がクレジットカード再発行の際には、顧客に手数料がかからないよう、配慮している。

    会社は、事態を重く受け止め、再発防止のため、使用していたサーバやシステムは全て破棄。2021年6月に監督官庁である個人情報保護委員会と、所轄警察署に被害を報告。今後はセキュリティ対策及び監視体制の強化に努めると発表した。

  • CASE4国立研究機関でUSBメモリ紛失

    2022年4月、国立の研究機関の職員が個人情報を含むUSBメモリを紛失。職員は、研究機関が貸与したUSBメモリを使用して職員採用に係る応募書類等の情報を保存していたが、当該USBメモリは暗号化されていなかった。自席の引き出しで保管していたが、引き出しは施錠されておらず、最後にUSBメモリを確認したのは、2021年11月。2022年4月職員が自席の引き出しからUSBメモリが紛失しているのに気がつき、上長に報告した。USBメモリには、会議資料や1000件を超える個人情報が保存されていた。

    2022年12月時点においてまだUSBメモリは見つかっていない。個人情報の不正利用は確認されていないが、研究機関では、今回の事態を招いたことを重く受け止め、個人情報等機密性の高い情報の適切な取り扱いについて全職員に周知を徹底。本件により、情報漏洩の可能性がある人々に向けて特定記録郵便や電子メールで本件に関する概要の説明と謝罪が行われた。

    今後の対応として、職員に貸与する媒体は暗号化対応媒体とし、情報セキュリテイポリシー遵守を徹底するよう、最高情報セキュリティ責任者から、当該職員と全役職員に対しての指導を行った。

  • CASE5記憶媒体の不正転売

    2019年12月パソコンの買い取り・処分を請け負っている会社の社員が、処分する予定の記憶媒体を会社に無断で転売、情報が流出した。社員Aがメルカリやヤフオクに転売していたのは、自治体のサーバのHDD18本。2019年11月にその一部をIT企業の男性が中古購入し、エラーメッセージが出たので、HDD内のデータを取り出してみたところ、自治体の公文書情報が出てきたことに驚き、朝日新聞に情報を提供したことから大量情報流出事件が明るみになった。

    2019年12月自治体が情報流出についての記者会見を行い、パソコンの処分を行っていた会社が問い合わせ窓口を設置し、記者会見を行い事の詳細を述べたると同時に落札者に連絡・回収のお願いをした。ヤフオクを運営するYahoo!Japanからも落札者にメールが送られ、自治体のサーバのHDDは全て回収された。社員Aは解雇され、懲役刑と罰金計に処された。捜査の結果、入社の翌年以降廃棄予定の記憶媒体などを繰り返し転売していた。他の社員が出勤する前に毎日持ち出しをし、800回以上繰り返した。データは自宅で消去し、架空の住所を使って発送していた。

    パソコン処分会社は事件以降、新しく安全基準を設け、セキュリティゲートを設置。監視カメラを増設。再発予防に努めている。また、セキュリティコンプライアンス研修教育も行っている。

  • CASE6証券会社社員が金銭目的で顧客情報を売却

    2009年1月、証券会社のシステム部部長代理Aが顧客情報のデータベースから148万人分の個人情報をCD-ROMにコピーし、名簿業者4社に50,000人分の個人情報(氏名、電話番号、住所、職業、年収など)を横流しした。さらに同年3月、122万件の企業情報も盗み出し売却した。3月中旬以降、顧客からの問い合わせが相次ぎ、証券会社は調査を開始した。すぐに犯人がわかり、Aは懲戒解雇された。Aは、他の社員のIDを使用して不正アクセスを行い顧客データを名簿業者に売却した不正アクセス禁止法違反と窃盗の罪で6月に逮捕された。社内調査の結果、少なくとも98社に顧客データが不正に売却されていた。

    Aは情報売却益35万円を弁済すると申し出たが、証券会社はこれを拒否。Aに対して損害賠償請求を起こす準備をした。 事件の余波は、証券会社の企業イメージと信用を失墜させ、多大な金銭的被害を拡大させた。結果的に同社の損害額は70億以上に上り、杜撰な管理体制が明らかになったことで、目に見えない損害も大きい。3月末から6月までに、証券会社が設置した緊急電話窓口で苦情処理にあたった従業員は約2,000人。苦情は16,000件にも及んだ。情報漏洩があった50,000人に対してわび状と10,000円の商品券を送付した。

    Aが犯行に及んだ動機は、借金返済のためで、犯行当時500万円を超える借金があり、顧客情報を売って返済に充てようとした。金融庁は、この事件を受け、証券会社の内部管理体制が杜撰であるとして、業務改善命令を発動した。

  • CASE7生命保険会社社員巨額不正送金

    2021年5月、生命保険会社社員のAは、海外完全子会社から約168億円を不正に引き出し暗号資産(ビットコイン)に交換して隠した。稀に見る規模の巨額横領詐欺事件である。Aは業務上の職務を利用し、正規の業務を装って、生命保険会社の海外子会社から別の銀行口座に168億円相当の送金を指示、ビットコインに交換して保管していた。Aが保管していたビットコインはFBIが押収。2022年8月に生命保険会社の海外子会社に返還された。返還額は、ビットコインの値上がりやドル高の影響で詐取された168億円を53億も上回る221億円に上った。

    Aの弁護人は、「Aはビットコインへの投資傾向を研究しており、ビットコインに投資して十分な利益が出たら全額を返金し、利益の一部をもらおうと考えていただけで、詐取するつもりではなかった。」などと主張し寛大な判決を求めたが、裁判長は「被害は巨額で、半年以上前から準備した計画的な犯行である」として懲役9年を言い渡した。判決理由として、「返金よりも刑事事件になることの回避を重視したことはあきらかで、子会社の清算業務を担当する立場を悪用した犯行」と指摘した。

    被害金額168億円を53億も上回る221億円が返還された生命保険会社は、返還された資金の一部を犯罪防止や人道支援のために寄付したいと発表している。

  • CASE8大手券売機製造メーカー子会社社員の巨額横領
    2022年3月、券売機や両替機を販売する大手メーカーの子会社の元社員Aが長期にわたる横領を繰り返し、その総額は13年間で約21億5,500万円に上ると発表した。Aは2009年頃から横領をはじめ、競馬や飲食に使っていたが、2020年からその横領額が急増した。原因は親会社が導入したキャッシュマネジメントシステムで、子会社社員であったAは、経理を担当しており、このキャッシュマネジメントシステムを使い子会社が4~5億を限度にいつでも資金融通が可能なことに加え、限度額とは別に必要額を貸し付ける特例措置も導入していたため、横領額が急増したと見られている。Aは現金を金庫から抜き取ったり子会社の預金をインターネットバンキングで自身の口座に振り込むなどし、帳簿や残高証明書を改ざんして発覚するのを免れていた。元社員Aは大手メーカーの子会社で総務課長代理として1人で経理を担当しており、帳簿を改ざんして上司に報告していた。上司は、書類を確認するのみで、残高の確認などは行っていなかった。2022年1月に子会社の口座残高がマイナスになっていることを不審に思った親会社の財務担当が取引明細を精査して不正が発覚。2月に弁護士他外部専門家を交えた調査委員会を立ち上げた。結果的にAは、競馬に17億、それ以外の飲食や遊興費に4億あまりを使っていた。 2022年9月親会社である大手メーカーは、連結子会社の元社員が業務上横領容疑で逮捕された旨をwebサイト上のニュースリリースにて公表。関係者、株主にお詫びし、グループ全体のガバナンス強化と内部統制の実効性向上に努めると発表した。
  • セキュリティ

    当社は個人情報保護法を遵守し、お客様の個人情報を大切に取扱います。

    国際標準規格であるISO27001情報セキュリティマネジメントシステム
    国際標準規格であるISO27001情報セキュリティマネジメントシステム
    株式会社ピーシーキッド 東京本社
    • 住所 : 東京都千代田区外神田5-1-5 ACN 秋葉原PLACE 3F(旧: 国際ビルディング 3F)
    • 電話番号 : 03-6240-1860
    • FAX : 03-6240-1861
    • フリーダイヤル: 0120-56-2982
    top