実際にあった情報漏えいの被害事例まとめ

2019.02.19

被害事例

Damage-case-of-information-leakage

昨今は企業だけでなく、個人レベルでwebセキュリティ対策に力を入れる環境になってきています。Webセキュリティの具体的な対策を考えるにあたっては、現実にどのようなトラブルが起きているか知ることが重要です。
では、サイバー犯罪で頻発する情報漏えいとはどのようなものがあるのでしょうか。実際にあった情報漏えいの被害を知ることで、企業の担当者は周りに伝えることができます。
今回は、インターネットニュースやセキュリティ会社・日本ネットワークセキュリティ協会の公表するものから、今後知っておいて損のない多大な被害を出したアクシデント及び大惨事になる可能性があったインシデント事例について紹介します。

目次

webセキュリティにおける情報漏洩とは?

企業が意識すべきwebセキュリティの目的は、「情報漏えい」を防ぐことにつきます。企業が保管している顧客データは、犯罪者が悪用してお金に換えることができる情報にあふれています。顧客の住所や性別、勤務先に限らず、場合によって銀行口座やクレジットカード等の重要な情報が漏えいするリスクがインターネット上に潜んでいます。

1.IDやパスワード使いまわしによる2次災害

銀行口座やクレジットカードの情報を預かっていない企業では特に、webセキュリティは重要です。近年トラブルが多くなっている「なりすまし」という不正ログインの事件があります。実は、この原因も情報漏えいによるものが多いです。関係ないサイトや企業HPから漏えいしたIDやパスワードが、他サイトで犯罪者が用いることで発生するトラブルです。顧客自身のID・パスワードの使いまわしが原因ですが、注意が必要です。メディアで報道されている情報漏えいのニュースは、この危険をはらんでいるものだという認識が求められます。

https://www.mcafee.com/japan/home/security/news/019.html

2.200億円が解決に必要?2000万人以上の情報漏洩インシデント

2014年に教育サービスを提供している企業ベネッセコーポレーションが、顧客の情報を漏えいした事件があります。同社のグループ企業に務める派遣社員による故意の犯行でした。システムエンジニアとして働いていたため、職務上、扶養されていた権限を悪用して顧客情報を盗み出しました。事件発覚後は、この教育サービスを提供する企業は顧客にお詫びをするための対策費用に200億円を要すると報道されました。

https://www.nikkei.com/article/DGXNASDZ17074_X10C14A7000000/

3.2011年には7000万件越えの情報が!電気メーカーの悲劇

2011年には、世界規模で暗躍しているハッカー集団のサイバー攻撃により、電機メーカーソニー株式会社と株式会社ソニー・コンピュータエンタテインメントが7700万件以上の顧客情報を漏えいしたアクシデントがありました。システムの脆弱性をついたサイバー攻撃で、情報漏えいによる被害は2兆円以上と報道されました。さらにイメージダウンを恐れたソニーは、被害の情報公開を遅らせたことも発覚し、批判を集める結果にもなりました。

https://internet.watch.impress.co.jp/docs/news/443979.html

4.人為的なミスが原因!情報持ち出しによる漏えい被害

2014年には、顧客情報を多く抱えている企業の職員が引き起こした情報漏えいがあります。コミュニティサイトの委託業務を行っているワイモバイル社員が業務用のパソコンを紛失しました。ロックがかけられているパソコンでしたが、1000人以上の顧客情報がパソコンには含まれていました。同年に同様の事件として、亀田総合病院に勤める職員が、入院患者のカルテデータを紛失したという騒ぎもありました。職員がUSBメモリにデータを入れて持ち出したことが原因です。またUSBメモリにパスワード設定がなされていなかったことも非難が集中しました。ともにインシデント案件で表立った被害にはつながりませんでした。

https://www.rbbtoday.com/article/2014/08/15/122496.html

5.銀行での資料紛失!口座番号も!のべ4万人近い情報漏えい

2013年には、地方銀行でも情報漏えいのアクシデントが発生したと日本ネットワークセキュリティ協会(JNSA)により公表されています。誤って情報が記載されている資料を破棄した可能性が高いと報道されています。資料にはおよそ3万8千人近い顧客情報が記載されていました。住所や電話番号だけではなく、利用している銀行口座の番号まで網羅されていたこともあり、反響は小さくありませんでした。

http://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf

6.婚活が周囲に知られる!地方自治体のミス

2014年には鳥取県の地方自治体主催の婚活イベントが悲劇を呼ぶことになりました。通常であれば申込者に対するメールは、BCCで送信することが一般的です。BCCにすることで、届いたメールが自分以外の誰に届いたかはわかりません。しかし、そのまま宛先に個人メールアドレスを入力した為、参加者の情報がお互いに分かることとなりました。

http://db.pref.tottori.jp/pressrelease.nsf/0/42FE582F10B90FCF49257CB40023CFE6

7.車上荒らしが情報漏えいに発展したケースも

住宅の賃貸を請け負う企業の大和リビングは、車上荒らしのアクシデントがあったことから顧客情報の漏えいのインシデントに発展する事態となりました。同企業に勤める職員が、ランチタイムの休憩時に飲食店まで顧客資料を置いたまま出かけたことが原因でした。車上荒らしに遭い、被害を調べたところ100人近い顧客の情報が記載されている書類が紛失されていることが判明しました。

https://scan.netsecurity.ne.jp/article/2013/06/28/31965.html

8.大阪大学にサイバー攻撃!7万人の情報が漏えい

2017年には知名度の高い国立大学の一つ、大阪大学でも情報漏えいによる規模が大きなインシデントが起きてしまいました。大阪大学では6週間にわたり、海外サーバーを経由して大学サーバーがサイバー攻撃を仕掛けられていました。その攻撃による被害として、不正アクセスにより7万人の個人情報を盗み出されてしまいました。名前が知られる施設や企業は、サイバー攻撃の対象になりやすいです。

http://www.osaka-u.ac.jp/ja/news/topics/2017/12/files/1213_01

9.3300人分の情報紛失!NHK職員による落ち度?

NHKでは 委託先従業員による個人情報の紛失インシデントがありました。2017年の秋に、同従業員が顧客情報について記載されていた書類を紛失したと報道されました。紛失した書類には3300人分の個人情報が記載されていました。住所や氏名、電話番号、さらには支払いに用いるクレジットカードの情報もあったことから事の深刻度は低くはありません。

http://news.cardmics.com/entry/nhk-jyohoroei-2017/

10.クレジットカード会社の派遣社員による情報悪用

クレジットカード会社のコールセンター「ベルシステム」に勤める契約社員が、顧客の情報を不正に使用する犯罪もありました。コールセンターの業務で知り得た顧客のクレジットカード番号とセキュリティコードなどを、悪用目的で盗み出したというものです。顧客のクレジットカードにより購入した商品の額は900万円近くにのぼりました。情報セキュリティ部門に関連する部署の職員犯行により、社会的にも大きく騒がれました。

https://ja.wikipedia.org/wiki/%E3%83%99%E3%83%AB%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A024%E4%BA%8B%E4%BB%B6

11.1万人以上のクレジットカード情報が流出したアクシデント

2017年の夏には、盗まれたクレジットカード情報で不正利用される事件もありました。ECサイトのサービス提供を行っているジェネシス・イーシーが一万人以上の顧客クレジットカード情報を盗まれました。有効期限やセキュリティコードも含まれており、実際にはカードを不正利用される被害者も出ました。さらに、情報公開や対策を二週間近く遅らせた対応にも大きな波紋が広がりました。

https://www.jcb.jp/topics/oshirase_genesis-ec_20170829.html

情報漏えいを防ぐには何を意識すればよいのか

情報漏えいに関する事件報道は毎年行われています。インターネットを活用するサービスやパソコンを使っていく以上、なくすことは難しいとも考えられます。しかし、ネットサービスの提供、ネットでの情報発信を行っている企業や人は取り組むべき問題です。それでは情報漏えいを防ぐには何をすればよいのでしょうか。情報漏えいを防ぐポイントについて紹介します。

11-1.情報漏えいの多くが人災によるもの

 

今回紹介しているアクシデント・インシデント事例を見てもわかるように、情報漏えいは人によるものという意識を持つことが重要です。企業で情報漏えいに関する対策を行うのであれば、人に対する教育を行うことが求められます。

 

顧客の情報を扱うことの重要性。悪用した場合の犯罪や処罰などにも詳細に伝える必要があるでしょう。徹底して周知させることができれば、情報漏えいのリスクを抑える可能性が高いです。

 

11-2.仮に情報漏えいが発生しても素早く対応する

 

情報漏えいに関する事件報道で騒がれているものの中には、事件が発覚後の対応に被害者側である企業が責められるケースもあります。企業イメージのダウンを恐れ、事実の情報公開や対応を遅らせたためです。

 

情報漏えい事件や問題が確認されたのであれば、速やかな報告、情報発信をすることが求められます。顧客自身からしても素早く通知されることで、2次災害を抑えるアクションに繋げることができるからです。

 

更なる被害を増やしてしまえば、顧客に対する企業への信用回復の実現には程遠くなります。

 

過去の事例から学ぶことで強いセキュリティ対策につながる

今回は、実際に遭った情報漏えいに関するアクシデントやインシデントの事例について紹介しました。

 

インターネット上で情報を扱うことが多い現代は、セキュリティ対策を怠ると尋常ではない被害を生み出す可能性があります。またセキュリティ対策などの教育を徹底しないと、人災による情報被害が出る可能性も低くありません。今回の例を参考になさってください。

おすすめのWebセキュリティ対策

webセキュリティ対策としておススメなのが「WAF」の導入です。

WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。

クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。

WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。

クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。

ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。

「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。

 

(2018/4/2 執筆、2019/2/19修正・加筆)

この記事と一緒に読まれています