県職員「人事が不安で」…ＰＣで情報盗み見た疑い

　長崎県庁のサーバーに同僚６１人のＩＤとパスワード（ＰＷ）を無断で使用し不正に侵入したとして、県警は２６日午前、５０代の県職員の男性を不正アクセス禁止法違反の疑いで長崎地検に書類送検した。

　捜査関係者への取材でわかった。
「人事が不安で、異動先の情報などを知りたかった」と容疑を認めているという。

　捜査関係者によると、男性は２０１７年１月～１９年２月、県庁の業務用パソコンから、６１人分の職員のＩＤとＰＷを無断で使い、計３２４回、県のサーバーにアクセスした疑いがある。

　長崎県では、サーバーにログインするためのＰＷを、初期設定ではＩＤと同じ職員番号にしている。
男性はその点を悪用し、ＰＷを変更していない職員たちの番号を入力してサーバーに侵入。それぞれの業務内容などをのぞき見していたという。

　県が大量の不審なアクセスを確認し、４月に県警に相談していた。
不正アクセスは数万回、ダウンロードされたファイルは百万件以上にのぼるとみられる。
外部への情報の流出などは確認されていないという。

　不正アクセスが簡単に行われた背景には、初期設定でＩＤと同じだったＰＷを変更せずに使用していた職員が多かったことがあったと、県警はみている。
こうした状況が放置されていた点について、情報システムの専門家は「いまどき考えられない」と話している。

　長崎県立大情報システム学部の小松文子教授（情報セキュリティー）によると、初期設定のＰＷは、予想できない乱数を用いたものが多く、初回のアクセス時にそれを任意のものに改めることが一般的。
「県のシステムがどうなっているかわからないが、率直に驚いている」としたうえで、「ＰＷを変更していない職員がいることを、管理者の県は把握していたはず。それが放置されていたことや、不正アクセスが長期間にわたって行われていたことは問題だ」と指摘する。