情報漏えいは企業だけでなく、個人レベルでも力を入れなければならない状況になってきています。情報漏えいの具体的な対策を考えるにあたっては、実際にどのような情報漏えいのトラブルが起きているか知ることが重要です。
では、サイバー犯罪で頻発する情報漏えいとはどのようなものがあるのでしょうか。実際にあった情報漏えいの被害を知ることで、企業の担当者は周りに伝えることができます。
今回は、インターネットニュースやセキュリティ会社・日本ネットワークセキュリティ協会の公表するものから、今後知っておいて損のない多大な被害を出したアクシデント及び大惨事になる可能性があった情報漏えいのインシデント事例とその原因について紹介します。
企業が意識すべきwebセキュリティの目的は、「情報漏えい」を防ぐことにつきます。企業が保管している顧客データは、犯罪者が悪用してお金に換えることができる情報にあふれています。顧客の住所や性別、勤務先に限らず、場合によって銀行口座やクレジットカード等の重要な情報が漏えいするリスクがインターネット上に潜んでいます。
銀行口座やクレジットカードの情報を預かっていない企業では特に、webセキュリティは重要です。近年トラブルが多くなっている「なりすまし」という不正ログインの事件があります。実は、この原因も情報漏えいによるものが多いです。関係ないサイトや企業HPから漏えいしたIDやパスワードが、他サイトで犯罪者が用いることで発生するトラブルです。顧客自身のID・パスワードの使いまわしが原因ですが、注意が必要です。メディアで報道されている情報漏えいのニュースは、この危険をはらんでいるものだという認識が求められます。
2014年に教育サービスを提供している企業ベネッセコーポレーションが、顧客の情報を漏えいした事件があります。同社のグループ企業に務める派遣社員による故意の犯行でした。システムエンジニアとして働いていたため、職務上、付与されていた権限を悪用して顧客情報を盗み出しました。事件発覚後は、この教育サービスを提供する企業は顧客にお詫びをするための対策費用に200億円を要すると報道されました。
https://www.nikkei.com/article/DGXNASDZ17074_X10C14A7000000/
2011年には、世界規模で暗躍しているハッカー集団のサイバー攻撃により、電機メーカーソニー株式会社と株式会社ソニー・コンピュータエンタテインメントが7700万件以上の顧客情報を漏えいしたアクシデントがありました。システムの脆弱性をついたサイバー攻撃で、情報漏えいによる被害は2兆円以上と報道されました。さらにイメージダウンを恐れたソニーは、被害の情報公開を遅らせたことも発覚し、批判を集める結果にもなりました。
2014年には、顧客情報を多く抱えている企業の職員が引き起こした情報漏えいがあります。コミュニティサイトの委託業務を行っているワイモバイル社員が業務用のパソコンを紛失しました。ロックがかけられているパソコンでしたが、1000人以上の顧客情報がパソコンには含まれていました。同年に同様の事件として、亀田総合病院に勤める職員が、入院患者のカルテデータを紛失したという騒ぎもありました。職員がUSBメモリにデータを入れて持ち出したことが原因です。またUSBメモリにパスワード設定がなされていなかったことも非難が集中しました。ともにインシデント案件で表立った被害にはつながりませんでした。
2013年には、地方銀行でも情報漏えいのアクシデントが発生したと日本ネットワークセキュリティ協会(JNSA)により公表されています。誤って情報が記載されている資料を破棄した可能性が高いと報道されています。資料にはおよそ3万8千人近い顧客情報が記載されていました。住所や電話番号だけではなく、利用している銀行口座の番号まで網羅されていたこともあり、反響は小さくありませんでした。
2014年には鳥取県の地方自治体主催の婚活イベントが悲劇を呼ぶことになりました。通常であれば申込者に対するメールは、BCCで送信することが一般的です。BCCにすることで、届いたメールが自分以外の誰に届いたかはわかりません。しかし、そのまま宛先に個人メールアドレスを入力した為、参加者の情報がお互いに分かることとなりました。
http://db.pref.tottori.jp/pressrelease.nsf/0/42FE582F10B90FCF49257CB40023CFE6
住宅の賃貸を請け負う企業の大和リビングは、車上荒らしのアクシデントがあったことから顧客情報の漏えいのインシデントに発展する事態となりました。同企業に勤める職員が、ランチタイムの休憩時に飲食店まで顧客資料を置いたまま出かけたことが原因でした。車上荒らしに遭い、被害を調べたところ100人近い顧客の情報が記載されている書類が紛失されていることが判明しました。
https://scan.netsecurity.ne.jp/article/2013/06/28/31965.html
2017年には知名度の高い国立大学の一つ、大阪大学でも情報漏えいによる規模が大きなインシデントが起きてしまいました。大阪大学では6週間にわたり、海外サーバーを経由して大学サーバーがサイバー攻撃を仕掛けられていました。その攻撃による被害として、不正アクセスにより7万人の個人情報を盗み出されてしまいました。名前が知られる施設や企業は、サイバー攻撃の対象になりやすいです。
NHKでは 委託先従業員による個人情報の紛失インシデントがありました。2017年の秋に、同従業員が顧客情報について記載されていた書類を紛失したと報道されました。紛失した書類には3300人分の個人情報が記載されていました。住所や氏名、電話番号、さらには支払いに用いるクレジットカードの情報もあったことから事の深刻度は低くはありません。
クレジットカード会社のコールセンター「ベルシステム」に勤める契約社員が、顧客の情報を不正に使用する犯罪もありました。コールセンターの業務で知り得た顧客のクレジットカード番号とセキュリティコードなどを、悪用目的で盗み出したというものです。顧客のクレジットカードにより購入した商品の額は900万円近くにのぼりました。情報セキュリティ部門に関連する部署の職員犯行により、社会的にも大きく騒がれました。
https://ja.wikipedia.org/wiki/ベルシステム24事件
2017年の夏には、盗まれたクレジットカード情報で不正利用される事件もありました。ECサイトのサービス提供を行っているジェネシス・イーシーが一万人以上の顧客クレジットカード情報を盗まれました。有効期限やセキュリティコードも含まれており、実際にはカードを不正利用される被害者も出ました。さらに、情報公開や対策を二週間近く遅らせた対応にも大きな波紋が広がりました。
任天堂株式会社が提供するサービスの「ニンテンドーネットワークID(NNID)」のユーザーアカウント約30万件が不正ログインされ、個人情報が第三者に閲覧された可能性がある事件もありました。個人情報などを閲覧されただけでなく、不正な取引を行われる被害も出てしまいました。
https://www.nintendo.co.jp/support/information/2020/0424.html
独立行政法人国際協力機構(JICA)が一般財団法人日本国際協力センター(JICE)に運営業務を委託していた「ABEイニシアティブポータルサイト」に対して、脆弱性診断を実施したところ、過去に不正アクセスがあったことが確認される事件もありました。この不正アクセスによって、1984名の個人情報が漏えいしてしまいました。
https://www.jica.go.jp/information/info/2020/20200612_10.html
一般財団法人蔵王酪農センターが運営する「蔵王チーズオンラインショップ」において2019年12月、不正アクセスによってクレジットカード情報が漏えいしていることが判明しました。この情報漏えいの被害は「蔵王チーズオンラインショップ」で商品を購入しようとしたユーザが正規の決済フォームではなく偽決済フォームへ誘導され、クレジットカード情報を入力させることによって、情報を抜き取る手法の攻撃でした。
情報漏えいに関する事件報道は毎年行われています。インターネットを活用するサービスやパソコンを使っていく以上、なくすことは難しいとも考えられます。しかし、ネットサービスの提供、ネットでの情報発信を行っている企業や人は取り組むべき問題です。それでは情報漏えいを防ぐには何をすればよいのでしょうか。情報漏えいを防ぐポイントについて紹介します。
今回紹介しているアクシデント・インシデント事例を見てもわかるように、情報漏えいは人によるものという意識を持つことが重要です。企業で情報漏えいに関する対策を行うのであれば、人に対する教育を行うことが求められます。
顧客の情報を扱うことの重要性。悪用した場合の犯罪や処罰などにも詳細に伝える必要があるでしょう。徹底して周知させることができれば、情報漏えいのリスクを抑える可能性が高いです。
情報漏えいに関する事件報道で騒がれているものの中には、事件が発覚後の対応に被害者側である企業が責められるケースもあります。企業イメージのダウンを恐れ、事実の情報公開や対応を遅らせたためです。
情報漏えい事件や問題が確認されたのであれば、速やかな報告、情報発信をすることが求められます。顧客自身からしても素早く通知されることで、2次災害を抑えるアクションに繋げることができるからです。
更なる被害を増やしてしまえば、顧客に対する企業への信用回復の実現には程遠くなります。
今回は、実際に遭った情報漏えいに関するアクシデントやインシデントの事例について紹介しました。
インターネット上で情報を扱うことが多い現代は、セキュリティ対策を怠ると尋常ではない被害を生み出す可能性があります。またセキュリティ対策などの教育を徹底しないと、人災による情報被害が出る可能性も低くありません。今回の例を参考になさってください。
情報漏えい対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。
WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
この記事と一緒に読まれています
サイバー攻撃可視化ツールおすすめ6選!ツールを提供しているプロの目線でご紹介
2022.01.21
セキュリティ対策
2020.02.25
セキュリティ対策
2020.02.17
セキュリティ対策
2020.02.14
セキュリティ対策
2020.02.15
セキュリティ対策