長崎県庁のサーバーに同僚61人のIDとパスワード(PW)を無断で使用し不正に侵入したとして、県警は26日午前、50代の県職員の男性を不正アクセス禁止法違反の疑いで長崎地検に書類送検した。捜査関係者への取材でわかった。「人事が不安で、異動先の情報などを知りたかった」と容疑を認めているという。

 捜査関係者によると、男性は2017年1月〜19年2月、県庁の業務用パソコンから、61人分の職員のIDとPWを無断で使い、計324回、県のサーバーにアクセスした疑いがある。

 長崎県では、サーバーにログインするためのPWを、初期設定ではIDと同じ職員番号にしている。男性はその点を悪用し、PWを変更していない職員たちの番号を入力してサーバーに侵入。それぞれの業務内容などをのぞき見していたという。

 県が大量の不審なアクセスを確認し、4月に県警に相談していた。不正アクセスは数万回、ダウンロードされたファイルは百万件以上にのぼるとみられる。外部への情報の流出などは確認されていないという。

 不正アクセスが簡単に行われた背景には、初期設定でIDと同じだったPWを変更せずに使用していた職員が多かったことがあったと、県警はみている。こうした状況が放置されていた点について、情報システムの専門家は「いまどき考えられない」と話している。

 長崎県立大情報システム学部の小松文子教授(情報セキュリティー)によると、初期設定のPWは、予想できない乱数を用いたものが多く、初回のアクセス時にそれを任意のものに改めることが一般的。「県のシステムがどうなっているかわからないが、率直に驚いている」としたうえで、「PWを変更していない職員がいることを、管理者の県は把握していたはず。それが放置されていたことや、不正アクセスが長期間にわたって行われていたことは問題だ」と指摘する。(横山輝)

2019年9月26日12時51分
https://www.asahi.com/articles/ASM9V3S23M9VTOLB002.html?iref=comtop_8_05
https://www.asahicom.jp/articles/images/c_AS20190926001545_comm.jpg