中国 国家サイバースペース管理局が発表した最近のサイバーセキュリティ、データセキュリティ、個人情報保護に関する典型的な法執行事例

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、最近のウェブ改ざん、個人情報漏洩等の10の事例を紹介し、注意喚起をしていますね...

事案内容、地域...バランスよく (^^)

 

● 国家互联网信息办公室（国家サイバースペース管理局）

・2025.09.16 国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例

国家网信办发布近期网络安全、数据安全、个人信息保护相关执法典型案例	国家サイバースペース管理局が発表した最近のサイバーセキュリティ、データセキュリティ、個人情報保護に関する典型的な法執行事例
近段时间以来，全国网信系统认真贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规，持续加大网络安全、数据安全、个人信息保护相关执法工作力度，各地网信部门依法查处一批涉网页篡改、数据泄露、违法违规处理个人信息、新技术新应用未经评估上线等违法违规案件。现将典型案例发布如下。	ここ最近、全国のネット情報システムは『サイバーセキュリティ法』『データセキュリティ法』『個人情報保護法』『ネットワークデータセキュリティ管理条例』などの法律・法規を真摯に貫徹し、ネットワークセキュリティ、データセキュリティ、個人情報保護に関する法執行の取り組みを継続的に強化している。各地のネット情報部門は、ウェブページ改ざん、データ漏洩、違法・不正な個人情報の処理、新技術・新アプリケーションのアセスメントなしでの導入など、一連の違法・不正案件を法に基づき取り締まった。ここに代表的な事例を発表する。
1.广东某科技股份有限公司网页篡改案。网信部门工作发现，该企业用于业务审批等的办公协作平台登录页面被篡改为违法有害内容。经查，该企业涉事系统存在任意文件上传漏洞，遭受勒索软件攻击，该企业当天发现后仅重装系统，未修复系统漏洞。其后，攻击者利用该漏洞上传远程控制木马，将登录页面篡改为违法有害内容。该企业未依法履行网络安全保护义务，未采取必要技术措施保障网络安全，未及时修复系统漏洞，造成网页篡改后果，违反《网络安全法》相关规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	1. 広東某科技株式会社ウェブページ改ざん事件。ネット情報部門の調査により、同社の業務審査などに使用されるオフィスコラボレーションプラットフォームのログインページが違法有害な内容に改ざんされていたことが判明。調査の結果、同社の関連システムには任意ファイルアップロードの脆弱性が存在し、ランサムウェア攻撃を受けたことが判明。同社は当日発見後、システムを再インストールしたのみで、システム脆弱性を修復していなかった。その後、攻撃者はこの脆弱性を悪用してリモートコントロール型トロイの木馬をアップロードし、ログインページを違法有害な内容に改ざんした。同社はネットワークセキュリティ保護義務を法的に履行せず、ネットワークセキュリティを確保するための必要な技術的措置を講じず、システム脆弱性を適時に修正しなかったため、ウェブページ改ざんという結果を招き、『サイバーセキュリティ法』の関連規定に違反した。管轄ネット情報弁公室は法に基づき是正を命じ、警告及び罰金処分を科した。
2.新疆某互联网科技有限公司网页篡改案。网信部门工作发现，该企业门户网站及开发运维的8个网站子页面被篡改为涉赌违法信息。经查，该企业上述网站存在安全缺陷和漏洞，相关网页源代码php文件被恶意篡改，出现涉赌违法信息。事件发生时，网站管理员休假不在岗，网站处于无人管理状态。该企业作为网络产品、服务提供者，未及时发现其开发的网站存在安全缺陷和漏洞，未立即采取补救措施，未按照规定及时告知用户并向主管部门报告，违反《网络安全法》相关规定，属地网信办已依法责令其改正，并予以警告处罚。	2. 新疆某インターネット科技有限公司ウェブページ改ざん事件。ネット情報部門の調査により、同社のポータルサイト及び開発・運用・保守する8つのウェブサイトサブページが賭博関連違法情報に改ざんされていたことが判明。調査の結果、同社の上記ウェブサイトにはセキュリティ上の欠陥と脆弱性が存在し、関連ウェブページのソースコードphpファイルが悪意を持って改ざんされ、賭博関連違法情報が表示されていた。事件発生時、ウェブサイト管理者は休暇中で不在であり、サイトは無管理状態にあった。同社はネットワーク製品・サービス提供者として、開発したサイトにセキュリティ上の欠陥や脆弱性が存在することを適時に発見せず、直ちに是正措置を講じず、規定に従ってユーザーに通知し主管部門に報告しなかったため、「サイバーセキュリティ法」の関連規定に違反した。管轄ネット情報弁公室は法に基づき是正を命じ、警告処分を科した。
3.山东某医学检验有限公司数据泄露案。网信部门工作发现，该企业某系统相关数据被搜索引擎爬虫爬取。经查，涉事系统开启目录浏览功能，存在目录遍历和未授权访问漏洞，未正确配置防火墙入侵防护策略，未按照规定留存相关网络日志。相关搜索引擎爬虫通过遍历请求爬取了网站组织架构和文件，导致系统相关数据泄露。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取技术措施和其他必要措施保障数据安全，造成数据泄露后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	3. 山東省某医学検査有限公司データ漏洩事件。ネット情報部門の調査により、同社のシステム関連データが検索エンジンのクローラーに取得されていたことが判明。調査の結果、当該システムはディレクトリ閲覧機能を有効化しており、ディレクトリトラバーサルおよび未承認アクセス脆弱性が存在した。ファイアウォールの侵入防御ポリシーが適切に設定されておらず、規定に基づく関連ネットワークログの保存も実施されていなかった。関連検索エンジンのクローラーがトラバーサルリクエストによりサイトの組織構造やファイルを取得した結果、システム関連データが漏洩した。当該企業はネットワークセキュリティ及びデータセキュリティ保護義務を法的に履行せず、問題のシステムは関連ネットワークログを法的に保存せず、データセキュリティを保障するための技術的措置及びその他の必要な措置を講じなかったため、データ漏洩の結果を招き、『サイバーセキュリティ法』『データセキュリティ法』『ネットワークデータセキュリティ管理条例』等の法規に違反した。管轄ネット情報弁公室は法に基づき是正を命じ、警告及び罰金の処分を下した。
4.浙江某科技股份有限公司数据被窃取案。网信部门工作发现，该企业FTP系统相关数据被窃取。经查，该企业为方便共享、打印系统文件，将涉事系统设置为允许匿名访问，并设置云服务器安全组规则不生效，长期存在未授权访问漏洞，导致涉事系统相关数据被窃取。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	4. 浙江省某科技株式会社データ窃取事件。ネット情報部門の調査により、同社のFTPシステム関連データが窃取されていたことが判明。調査の結果、同社はシステムファイルの共有・印刷を容易にするため、当該システムを匿名アクセス許可状態に設定し、クラウドサーバーのセキュリティグループルールを無効化していた。これにより長期にわたり未承認アクセスが可能な脆弱性が存在し、当該システムの関連データが窃取される結果となった。当該企業は、ネットワークセキュリティ及びデータセキュリティ保護義務を法的に履行せず、問題のシステムにおいてデータセキュリティを保障するための技術的措置その他の必要な措置を講じていなかったため、データ窃取の結果を招き、『サイバーセキュリティ法』『データセキュリティ法』『ネットワークデータセキュリティ管理条例』等の法律・法規に違反した。管轄ネット情報弁公室は、法に基づき是正を命じるとともに、警告及び罰金の処分を下した。
5.重庆某科技公司数据被窃取案。网信部门工作发现，该企业用于汽车租赁服务的“OA信息系统”相关数据被窃取。经查，该企业涉事系统3306端口开放MySQL数据库服务，未设置用户密码，存在弱口令漏洞，导致涉事系统相关数据被先后窃取159次。该企业未依法履行网络安全、数据安全保护义务，涉事系统未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	5. 重慶某科技会社のデータ窃取事件。ネット情報部門の調査により、同社が自動車レンタルサービスに使用する「OA情報システム」関連データが窃取されたことが判明。調査の結果、同社の問題システムでは3306ポートでMySQLデータベースサービスが公開されており、ユーザーパスワードが設定されておらず、脆弱なパスワードの脆弱性が存在したため、問題システムの関連データが計159回にわたり窃取された。当該企業はネットワークセキュリティ及びデータセキュリティ保護義務を法的に履行せず、問題のシステムにおいてデータセキュリティを保障するための技術的措置その他の必要措置を講じていなかったため、データ窃取の結果を招き、『サイバーセキュリティ法』『データセキュリティ法』『ネットワークデータセキュリティ管理条例』等の法規に違反した。管轄ネット情報弁公室は法に基づき是正を命じ、警告及び罰金処分を科した。
6.广东某保险代理有限公司数据被窃取案。网信部门工作发现，该企业提供保险代理服务的后台系统相关数据被窃取。经查，该企业涉事系统存在越权遍历访问漏洞，攻击者可通过遍历URL ID的方式批量获取数据，且该企业购买的云防火墙服务已过期，未按照规定留存相关网络日志，导致涉事系统相关数据被窃取。该企业未依法履行网络安全、数据安全保护义务，涉事系统未依法留存相关网络日志，未采取技术措施和其他必要措施保障数据安全，造成数据被窃取后果，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	6. 広東省某保険代理有限公司データ窃取事件。ネット情報部門の調査により、同社が提供する保険代理サービスバックエンドシステムの関連データが窃取されたことが判明。調査の結果、当該システムには権限越境アクセス脆弱性が存在し、攻撃者はURL IDを遍歴する手法でデータを一括取得可能であった。さらに同社が購入したクラウドファイアウォールサービスは有効期限切れで、規定通り関連ネットワークログを保存しておらず、これがシステム関連データの窃取を招いた。当該企業は、ネットワークセキュリティ及びデータセキュリティ保護義務を法的に履行せず、問題のシステムは関連ネットワークログを法的に保存せず、データセキュリティを保障するための技術的措置及びその他の必要な措置を講じていなかったため、データ窃取の結果を招き、『サイバーセキュリティ法』『データセキュリティ法』『ネットワークデータセキュリティ管理条例』などの法律・法規に違反した。管轄ネット情報弁公室は法的に是正を命じ、警告及び罰金処分を科した。
7.湖南某科技股份有限公司数据存在泄露安全风险案。网信部门工作发现，该企业内网数据库相关数据存在泄露安全风险。经查，该企业内网数据库存在未授权访问漏洞和弱口令漏洞，某软件研发工程师为工作便利，将合作项目中掌握的大量用户数据拷贝至企业内网数据库，并打开企业内网的公共互联网访问端口，导致内网数据库相关数据暴露在互联网上。该企业未依法履行网络安全、数据安全保护义务，未建立网络安全和数据安全管理制度，涉事系统未采取技术措施和其他必要措施保障数据安全，存在数据泄露安全风险，违反《网络安全法》《数据安全法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告、罚款处罚。	7. 湖南省某科技株式会社におけるデータ漏洩リスク事件。ネット情報部門の調査により、同社の社内ネットワークデータベースにデータ漏洩リスクが存在することが判明した。調査の結果、社内データベースには未承認アクセス脆弱性と脆弱なパスワード脆弱性が存在し、あるソフトウェア開発エンジニアが業務上の便宜を図るため、共同プロジェクトで入手した大量のユーザーデータを社内データベースにコピーし、社内ネットワークのインターネット公開ポートを開いたことで、社内データベース関連データがインターネット上に晒される事態を招いた。当該企業は、ネットワークセキュリティ及びデータセキュリティ保護義務を法的に履行せず、ネットワークセキュリティ及びデータセキュリティ管理制度を確立しておらず、問題のシステムはデータセキュリティを保障するための技術的措置その他の必要な措置を講じておらず、データ漏洩のセキュリティリスクが存在し、「サイバーセキュリティ法」「データセキュリティ法」「ネットワークデータセキュリティ管理条例」などの法律・法規の規定に違反していた。管轄のネット情報弁公室は、法に基づき是正を命じるとともに、警告及び罰金の処分を下した。
8.北京某科技有限公司运营的App超范围收集个人信息案。网信部门工作发现，该企业运营的App违反必要原则，收集与其提供的服务无关的个人信息。经查，该企业开发的App在用户未使用任何功能情况下，后台运行时收集上传用户应用程序安装、卸载信息。用户使用上传AI头像等功能时，调用非必要存储权限。相关行为超出了实现个人信息处理目的最小必要范围，违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规。属地网信办已依法责令其改正，并予以警告、罚款处罚。	8. 北京某科技有限公司が運営するアプリにおける個人情報収集範囲超過事件。ネット情報部門の調査により、同社が運営するアプリが「必要性原則」に違反し、提供するサービスと無関係な個人情報を収集していることが判明した。調査の結果、同社が開発したアプリは、ユーザーが一切の機能を使用していない状態でもバックグラウンドで動作し、ユーザーのアプリケーションインストール・アンインストール情報を収集・アップロードしていた。ユーザーがAIアバターアップロード等の機能を使用する際には、不要なストレージ権限を要求していた。関連行為は個人情報処理目的達成の最小必要範囲を超え、『サイバーセキュリティ法』『個人情報保護法』『ネットワークデータ安全管理条例』等の法規に違反していた。管轄ネット情報弁公室は法に基づき是正を命じ、警告及び罰金処分を科した。
9.上海某科技有限公司违法违规收集人脸信息案。网信部门工作发现，该企业运营的自动售货机存在违法违规收集人脸信息等问题。经查，该企业运营的自动售货机在用户支付环节存在未经同意收集人脸信息等问题，同时该企业存在未建立个人信息保护影响评估制度、相关系统存在SQL注入高危漏洞等问题，违反《网络安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规规定。属地网信办已依法责令其改正，并予以警告处罚。	9. 上海某科技有限公司による違法な顔情報収集事件。ネット情報部門の調査により、同社が運営する自動販売機において違法な顔情報収集等の問題が発見された。調査の結果、同社が運営する自動販売機では、ユーザーの決済段階で同意なしに顔情報を収集するなどの問題が確認された。同時に、同社は個人情報保護影響アセスメント制度を確立しておらず、関連システムにSQLインジェクションの高危険性脆弱性が存在するなどの問題があり、「サイバーセキュリティ法」「個人情報保護法」「ネットワークデータセキュリティ管理条例」などの法律・法規に違反している。管轄のネット情報弁公室は、法に基づき是正を命じるとともに、警告処分を科した。
10.浙江某科技有限责任公司运营的App提供深度合成服务未按规定进行安全评估案。网信部门工作发现，该企业运营的App提供AI换脸服务未按规定进行安全评估。经查，该企业运营的App是一款深度合成类服务产品，提供视频换脸、图片换脸、照片舞动配音等图片处理功能，用户可对上传图片、视频中的人物进行换脸，但未按规定落实安全评估要求，相关深度合成内容也未作显著标识，存在较大安全风险，违反《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》等规定。网信部门已依法责令移动应用程序分发平台依规依约对该App予以下架处置。	10. 浙江省の某科技有限責任会社が運営するアプリが深度合成サービスを提供しながら規定に基づくセキュリティ評価を実施しなかった事件。ネット情報部門の調査により、同社が運営するアプリがAI顔交換サービスを提供しながら規定に基づくセキュリティ評価を実施していなかったことが判明した。調査の結果、同社が運営するアプリは深度合成サービス製品であり、動画顔交換・画像顔交換・写真ダンス動画作成等の画像処理機能を提供。ユーザーはアップロードした画像・動画内の人物の顔を交換可能だが、規定に基づくセキュリティ評価を実施せず、関連深度合成コンテンツにも明確な表示がなされておらず、重大な安全リスクが存在。これは『インターネット情報サービス深度合成管理規定』 『生成型人工知能サービス管理暫定弁法』『インターネット情報サービスアルゴリズム推薦管理規定』『言論属性または社会動員能力を有するインターネット情報サービスセキュリティ評価規定』などの規定に違反している。ネット情報部門は既に法に基づき、モバイルアプリケーション配信プラットフォームに対し、規定と契約に従って当該アプリを配信停止処分するよう命じた。
国家网信办有关负责人表示，网络空间已经成为人们生产生活的新空间，让互联网在法治轨道上健康运行是全社会的共同责任。网信部门将认真贯彻习近平新时代中国特色社会主义思想，特别是习近平法治思想和习近平总书记关于网络强国的重要思想，深入推进依法治网，依法查处相关违法违规行为，切实维护国家网络安全、数据安全，保护人民群众合法权益。	国家インターネット情報弁公室の責任者は次のように述べた。ネットワーク空間はすでに人々の生産と生活の新たな空間となっており、インターネットを法治の軌道の上で健全に運営させることは全社会の共通の責任である。ネット情報部門は習近平新時代中国特色社会主義思想、特に習近平法治思想と習近平総書記のネットワーク強国に関する重要な思想を真摯に貫徹し、法に基づくネット管理を深く推進し、関連する違法・違規行為を法に基づき取り締まり、国家のネットワークセキュリティとデータセキュリティを確実に守り、人民の合法的権益を保護する。