Winnyで原子力発電所の機密情報が流出--IPAが緊急対策を公表

　三菱電機は6月23日、同社が受託した原子力発電所や火力発電所、水力発電所の電機設備保守に関する点検報告書などの企業機密情報が、ウィルス感染によってWinnyネットワーク上に流出していた事実が6月22日に判明したと発表した。

　100％子会社である三菱電機プラントエンジニアリングの技術者の個人PCがウィルスに感染し、このPCに保存されていた文書ファイルがWinnyネットワークに流出したためだ。流出したファイルは、電力会社設備などの保守報告書やそれらに関する企業機密情報で、データ容量は約44Mバイトあった。情報が流出した顧客は、北海道電力や日本原子力発電をはじめ12社。

　三菱電機では、「社内および関係会社における企業機密情報の管理状況について総点検を実施し、併せて企業機密情報の社外持ち出しについての手続きを厳格化し、流出の再発防止にグループを挙げて取り組んでいく」としている。

　こうした事件を受けて、独立行政法人 情報処理推進機構（IPA）は同日、ファイル交換ソフトの悪用による被害を回避するための対策のポイントをウェブサイトで公表して警告した。

　IPAは「個人情報や機密情報などが、いったんインターネットに漏えいしてしまうと、その情報を回収することは技術的にほとんど不可能といえ、重大なトラブルに発展する」として、以下の対策ポイントを挙げている。

対策のポイント

■ファイル交換ソフトの使用条件は決められているか

1. 業務で必要ということで入れていたのか
2. 使用することを許可されていたのか
3. 管理は充分であったのか

■クライアントにおけるウイルス対策の実施状況を把握しているか

1. クライアントのPCにウイルス対策ソフトを装備しているか
2. パターンファイルを更新しているか

　さらに、IPAはこれと同時に、ウェブサイトの脆弱性が悪用された情報漏えいやウェブページ改ざんなどが頻発していることから、「ウェブサイトの脆弱性対策の緊急チェックポイント」も公表した。ウェブサイトの脆弱性の悪用による被害を回避するためには、以下の点が必要で、このどれが欠けてもセキュリティは確保できないとしている。

• ウェブアプリケーションのセキュリティ対策
• ウェブアプリケーションが稼動しているウェブサーバのセキュリティ対策
• ウェブサーバが設置されているネットワーク（ルータやファイアウォール）のセキュリティ対策

　緊急対策情報としてこれらの対策の実施状況を確認するためのチェックポイントは14項目設けられており、情報システムを使用している企業や組織のウェブサイト運営者、システム、ネットワーク管理者がに早急に対処するよう促している。