データの価値は年々市場に浸透しています。残念ながら、その結果生じているのはプラスの効果だけではありません。
企業信用調査大手、東京商工リサーチによると、2021年の上場企業の個人情報漏えい・紛失事故は2012年の調査開始以来最多。なんと調査開始から累計すると、流出事故を起こした企業の割合は全上場企業の1割以上に及ぶといいます。
そして2022年も、残念ながら大規模なセキュリティインシデントは数多く発生しました。おそらく2023年も話題になってしまうレベルのセキュリティインシデントが起きてしまう可能性は否定できません。
そこで今、他山の石とするため、発生原因の傾向や個別の事件について、鳥の目、虫の目で見ていきましょう!
東京商工リサーチの調査によると、2021年の情報漏えい・紛失事故件数は137件、公表した社数は120件です。いずれもこれまでで最多で、しかも2位(情報漏えい・紛失事故件数は2013年の107件、社数は2020年の88件)を大きく突き放しているのが特徴的。
引用元:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)┃東京商工リサーチ
同調査を元に、事故の原因を上位から5つ並べたランキングは以下の通りです。
原因 |
全体に占める割合 |
|
1 |
ウイルス感染・不正アクセス |
49.6% |
2 |
誤表示・誤送信 |
31.3% |
3 |
紛失・誤廃棄 |
11.6% |
4 |
盗難 |
5.8% |
5 |
不明・その他 |
1.4% |
引用元:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)┃東京商工リサーチ
1位のウイルス感染・不正アクセスを原因とするセキュリティインシデントは年々増加の一途をたどっており、その漏えい・紛失したデータの件数も突出しているとのこと。
また、情報漏えい・紛失の原因となった媒体ランキングは以下の通り。
原因 |
全体に占める割合 |
|
1 |
社内・システムサーバー |
59.1% |
2 |
パソコン |
21.9% |
3 |
書類 |
10.9% |
4 |
その他・不明 |
5.8% |
引用元:上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)┃東京商工リサーチ
やはり社内・システムサーバが被害にあった場合の流出件数は、とりわけ多い傾向にあるようです。
ここからは、2022年以降のものも含め、近年の象徴的なデータ流出事件をいくつかみていきましょう。
2021年、最も大量のデータが流出してしまったのは、マッチングアプリ「omiai」を運営するネットマーケティング社の事例です。同年4月、1,711,756件の顧客アカウント分の年齢確認書類(運転免許証、健康保険証、パスポートなど)の画像データが不正アクセスの被害にあいました。
その原因は「マルウエア感染やシステム脆弱性を突いたものではなく、正規のデータリクエストを装ったものであった(※)」とのこと。該当データにアクセスするための情報が不正取得され、それを元に不正アクセスが行われたということです。
正規のアクセスに偽装された結果生じたのが、インシデント発見の遅れです。また画像データが退会者のものも含め10年間という長期間保存される設定になっていたことも被害拡大の原因として、批判が寄せられました。
同社は外部ネットワークからのアクセス・リクエスト制限の厳格化やアプリ認証設定の見直しなどとともに、データ保存期間の見直し(年齢確認書類画像データは提出後72時間、退会者の個人情報データは90日間)も実施しています。
※…不正アクセスによる会員様情報流出の調査結果と今後の対応について┃ネットマーケティング
2022年5月、ランサムウェアによるサイバー攻撃及びデータの暗号化を受け、「お客様等の個人情報が流出した可能性を完全に否定できない」として、酒造メーカー月桂冠株式会社が経緯の説明とお詫びの文章を公開しました。
被害にあった可能性のあったデータは通販サイト商品発送リストや取引先連絡先情報、採用選考参加者名簿など約2万7,000件。外部から社内ネットワークに接続するためのVPNの脆弱性を悪用された可能性が高いことが明らかになっています。
警察庁調査によるとランサムウェア被害の件数は年々増加しており、2021下半期の被害件数は昨年同時期に比べ4倍に増加。また、その54%が「VPN機器からの侵入」となっています。
感染経路 |
全体に占める割合 |
|
1 |
VPN機器からの侵入 |
54% |
2 |
リモートデスクトップからの侵入 |
20% |
3 |
不審メールやその添付ファイル |
7% |
4 |
その他 |
20% |
出典:マルウェア「ランサムウェア」の脅威と対策(脅威編)┃警視庁
巧妙化する攻撃に対し、セキュリティガバナンスや設定、ソーシャルエンジニアリングへの対策に加え、セキュリティ対策製品の導入による積極的な対策が求められることが警視庁により指摘されています。
米Twitter社のアカウントに紐づけられた個人情報(電話番号やメールアドレス)約540万件の流出が発表されたのは現地時間2022年8月5日のことです。悪用されたのはゼロデイ脆弱性で、メールアドレスあるいは電話番号を送信するとその情報と関連付けられたアカウントについて通知してしまうというものでした。
同脆弱性は2021年6月のコード更新により発生し、2022年1月にバグ報奨金プラットフォームにおいて報告されました。Twitter社は直ちにコードを修正しましたが、すでにサイバー攻撃が行われた後だったということのようです。
流出したデータのリストはダークウェブ犯罪フォーラムにて3万米ドルで販売されていることが確認されたとのこと。脆弱性に対し対策が施されるまでの間に攻撃が行われるゼロデイ攻撃も近年増加しています。
サイバー攻撃のリスクが増加、巧妙化する中で注目が高まるのが「ゼロトラスト」です。
ゼロトラストとは、その名の通り「何も信用しない」情報セキュリティのこと。ネットワークを企業の内部と外部に分け、外部からの攻撃を警戒する従来の「境界型セキュリティ」と対比する形で生まれた概念で、社内のシステムやアプリも含め、すべてのアクセスに対しセキュリティレベルや不審な操作の有無の確認を実施することを基本とします。
先の例で触れたようにVPNの脆弱性が標的にされることも増えている状況において、企業にはゼロトラストを推進することが求められます。
また、情報漏えい・紛失は発生を防ぐことと同じくらい、発生してしまった後に冷静に対応することが重要です。IPA(情報処理推進機構)の公開する「情報漏えい発生時の対応ポイント集」などを参考に、インシデント発生時の対応についても事前にシミュレーションしておきましょう。
情報社会の加速とともにリスクが高まる情報漏えい・紛失事故の傾向や個別の事件の内容についてご紹介してまいりました。企業はこれまで、現在、そしてこれからも標的になっているという前提に立ち、ゼロトラスト・セキュリティに取り組むことが求められます。大企業、中小企業を問わず、情報セキュリティ対策に対する投資を進めていきましょう。
【参考資料】 ・上場企業の個人情報漏えい・紛失事故は、調査開始以来最多の137件 574万人分(2021年)┃東京商工リサーチ ・不正アクセスによる会員様情報流出の調査結果と今後の対応について┃ネットマーケティング ・当社サーバへの不正アクセスに関するお知らせ(第二報)お客様等の個人情報流出可能性のお知らせとお詫び┃月桂冠 ・マルウェア「ランサムウェア」の脅威と対策(脅威編)┃警視庁 ・マルウェア「ランサムウェア」の脅威と対策(対策編)┃警視庁 ・Twitter、ゼロデイ脆弱性悪用の約540万アカウントデータ漏えいを正式に認める┃ITmedia NEWS ・Twitterが大量アカウントデータ流出を事実と認める ~約540万人以上に影響か┃窓の杜 ・情報漏えい発生時の対応ポイント集┃IPA ・「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について┃IPA
(宮田文机)
メルマガ登録をしていただくと、記事やイベントなどの最新情報をお届けいたします。
30秒で理解!インフォグラフィックや動画で解説!フォローして『1日1記事』インプットしよう!