23日、問題を受けて記者会見をする稲村和美市長(写真/時事通信フォト)
兵庫県尼崎市が6月23日、全市民約46万人の個人情報が入ったUSBメモリを紛失したことを発表した。USBメモリには、市民の氏名、住所、生年月日のほか、住民税に関する情報、生活保護受給世帯と児童手当受給世帯の口座情報なども収められていた。
6月21日、委託業者が作業のため、市の許可なくデータを記録したUSBメモリを市政情報センターから持ち出した。作業完了後にデータをすぐ消去せず、USBメモリを持ったまま飲食店に立ち寄った結果、カバンごと紛失した。翌22日、委託業者が警察署に遺失物届を提出するとともに、尼崎市にUSBメモリ紛失の報告がされた。
「前代未聞の出来事で、あまりに個人情報の扱いが杜撰(ずさん)すぎます。しかし、ここまでは尼崎市もまだ“被害者”と言えたかもしれません。なのに23日に行われた記者会見で、担当者が“USBメモリにかけられたパスワード解読のヒント”をもらしてしまったのです」(全国紙記者)
USBメモリにはパスワードがかけられ、内容については暗号化処理が施されているとのこと。会見で記者からの「第三者がパスワードを解いてしまうことは?」という質問に回答するなかで、担当者はパスワードの桁数や文字種について触れてしまった。
一連の発言に対して、ネット上を中心に批判が殺到。担当者の発言をヒントに〈これがパスワードではないか〉と大喜利のような流れが生まれ、「amagasaki2022」がTwitterでトレンド入りする事態となった。
ITジャーナリストの三上洋氏が、今回の騒動について解説する。
「何度か間違ったパスワードを入力するとロックがかかる仕様のUSBメモリであれば、リスクはあまりないと言えるかもしれません。しかし、何度もパスワードを試せる仕様であれば、総当たり攻撃(※暗号解読方法のひとつで、可能な組み合わせをすべて試す方法)が有効になりかねない。パスワードに総当たり攻撃を仕掛けるとき、それが何桁なのかわからない場合と、桁数がわかっている場合とでは大違いです」(三上氏、以下同)
三上氏は、「甘いパスワードが使われていた可能性がある」とも指摘する。
「データを外部に持ち出す際のルールを市が細かく定めていたわけではなく、委託業者が勝手にやったことです。そのためUSBメモリのパスワードも社員個人の裁量で決めていた可能性が高く、入力しやすさを優先した“甘いパスワード”になっていたかもしれません。
本来であれば現金輸送と同じくらいの警戒度が必要なはずなのに、セキュリティの教科書に出てくる悪い見本を現実に起こしてしまった騒動と言えます。ただ一点、頭に入れておきたいのは、データが流出したわけではなく、USBメモリの“紛失”であること。当該メモリを手にした人に知識がなければ、パスワード解読にまでは至らないかもしれません」
一体USBメモリはどこへ消えたのか。第三者の手に渡っているとしたら──。不安にかられる尼崎市民のためにも、早期の問題解決を願う。
