サイバー攻撃の事例を解説

サイバー攻撃の事例を解説

近年、企業や団体を狙ったサイバー攻撃が急増し、その被害規模も深刻さを増しています。本記事では、国内外で注目されたサイバー攻撃の事例を取り上げ、その概要、原因、被害内容、業績への影響などを詳しく解説します。

2024年では、KADOKAWAが受けた大規模ランサムウェア攻撃の詳細や、それに関連するロシアのハッカー集団「BlackSuit」の活動を掘り下げます。また、他の事例としてHOYA、LINE、プレイステーションネットワークなど、多岐にわたる業界でのサイバー攻撃を紹介し、企業が取るべき対策と教訓を探ります。サイバーセキュリティへの関心が高まる今、最新の事例を知り、適切なリスク管理を行うための重要な情報を提供します。

目次

KADOKAWAへのへのサイバー攻撃

サイバー攻撃の概要

2024年 6月8日未明からKADOKAWAのサーバーに発生したサイバー攻撃により、KADOKAWAの全てのオンラインサービスが停止し、同社社員やプラットフォーム会員の個人情報が流出しました

2024年6月9日、2024年6月8日早朝より、ニコニコ動画、オンラインショッピングサイト「ebten(エビテン)」、KADOKAWA公式ホームページ、N高等学校のウェブサイト・アプリケーションを含む複数のサーバーがランサムウェア攻撃を含む各種サイバー攻撃を受け、アクセスが極めて困難な状態になっていると発表し、システムとデータを守るため、問題のサーバーをダウンさせたと述べました。

これに対してKADOKAWAは、外部の専門家や警察と連携する旨を表明。 6月10日午後2時15分には、N高等学校のウェブサイトとアプリケーションについては緊急復旧が完了したとのお知らせが掲載されましたが、その他のオンラインサービスは依然として大きな障害が継続。

KADOKAWAは6月14日、KADOKAWAグループのデータセンターがランサムウェア攻撃を受け、相当数の仮想マシンが暗号化され使用できない状態になったと発表しました。

この事態の主因はランサムウェアであるとしていましたが、攻撃者がリモートでサーバーを再起動し続け、被害が拡大し続けたことから、電源とLANケーブルを外してサーバー全体を物理的に遮断し、さらなる感染を防ぐために社員が本社に出社できないようにし、社内ネットワークをすべて再調査しました。

当初の発表では、ニコニコ動画のサービスは16日までに復旧するとしていました。しかしながら、事態は予想以上に深刻で復旧には1か月以上かかる見込みで、7月末までに復旧作業を行うとのことだが、正確な復旧時期は現時点では未定とのことです。

NewspicksがKADOKAWA社の身代金支払いを報道

なお、6月21日、Newspicksは有料会員限定記事で、KADOKAWAの発表とは裏腹に、犯人グループは社員の機密情報や会員の利用情報を盗み出すなどしてKADOKAWAに圧力をかけており、KADOKAWAが犯人の要求する身代金約298万ドルを支払ったところ、さらに825万ドルを要求され、会員のアダルトコンテンツ利用情報を無差別に開示すると脅迫されたと独占報道しました。

これに対しニコニコとKADOKAWAは、身元すら定かでない個人に連絡を取って一方的に記事を公開する行為を非難し、法的措置を取ると表明しました。

現在、攻撃者として最有力視されているロシアのハッカー集団BlackSuitは、7月1日夜から、要求された金額が支払われていないとして、角川から略奪した情報を無差別に公開し始めました。現在公開されているデータには、ニコニコと契約を結んだ著名人などが含まれています。

ニコニコ動画で活動していた有名バーチャルYouTuberや個人ネット配信者、歌い手、声優、イラストレーター、社員の他、運営主体であるドワンゴ関係者、私立N高等学校の生徒らの本名や住所、決済履歴など非常にセンシティブな個人情報が含まれているため、ストーカー行為など重大なプライバシー侵害につながる恐れがあるとの懸念があります。ニコニコ動画は2024年8月5日15時より当面の間サービスを再開したが、まだ完全メンテナンスが終わっていないためTOP動画がすぐに表示されないほか、ボーカロイドなどのアプリもメンテナンスが終わっていないため利用することができません。

最新の情報では、各機能・サイトの状況は下記の通りです。

  • Webサービス機能:8月5日に「ニコニコ動画」「ニコニコ生放送」をはじめとする主要サービスが復旧し、9月以降は全面的なサービス復旧となる見込み
  • 出版事業:8月中旬以降に1日当たりの出荷部数が概ね平常時の水準に回復する見込み
  • 経理機能:アナログ対応も含めおおむね平常状態に戻っている。
  • グループポータルサイト:10月29日に再開

個人情報漏洩の原因

KADOKAWAをハッキングした犯人は、昨年から名を馳せているロシアを拠点とするランサムウェア専門ハッカー集団「 BLACK SUIT 」と言われている。彼らが使用しているBlackSuitランサムウェアを見ると、Royalという別のハッカー集団が使用しているランサムウェアと類似していることから、Royalの派生組織ではないかと推測されている。

参考までに、KADOKAWAが攻撃と交渉を受けている中、6月19日と20日には米国の自動車ソフトウェア企業CDK Globalもランサムウェア攻撃を受けている。

通常、ランサムウェアでデータを暗号化したり個人情報を盗んだりする場合、ファイルの復号化や盗まれた情報の削除と引き換えに金銭を要求します。応じなければ、彼らは諦めるか、ダークネットであなたの個人情報を売って金儲けを企みます。しかし、攻撃対象との交渉が失敗した場合、BLACK SUITは個人情報を売ることはなく、すべてをオープンソースとしてインターネット上に公開し、利益を放棄します。

BLACK SUITはなぜ個人情報を公開するのか?

BLACKSUITがこのようなことをする理由は2つあります。

1つ目は、ハッキングスキルを証明して見せびらかし、身代金を増額するためです。2つ目は、将来別の場所にランサムウェア攻撃を成功させたときに、交渉がうまくいかなかった場合には非常に強く対応すると脅すためです。個人情報は知っている人が多いほど危険であり、少人数の相手ではなく全員に公開すると、被害者は何としても漏洩を防ぎたくなるでしょう。

すると、彼らはより多くの金銭を要求でき、同じグループの名前でハッキングをすればするほど交渉コストを増やすことができるので、単に個人情報を売るよりも儲かると考えている可能性があります。

個人情報 漏洩件数

2024年11月7日の日経新聞の記事によると、個人情報の漏洩が新たに7715人分判明し、合計で26万1956人となったと報道しております。

https://www.nikkei.com/article/DGXZQOUC0773Y0X01C24A1000000/

サイバー攻撃による業績へのインパクト

大規模なサイバー攻撃の影響により2025年3月期に24億円の特別損失を計上すると発表しました。従来は36億円と見込んでいましたが、クリエーターへの補償費用や調査費用が想定を下回り、特損が縮小しました。

25年3月期の業績見通しは連結売上高が前期比5%増の2717億円、営業利益が12%減の163億円で、従来予想をそれぞれ4億円、7億円上回ります。動画サービス「ニコニコ」の会員数の減少が想定より少なく、アニメ配信も好調だったものの、為替差損が響き、従来予想を7億円下回り、純利益は21%減の90億円になる見通しです。なお、ハッカー集団への身代金の支払いの有無は明らかにしておりません。

HOYAへのへのサイバー攻撃

2024年3月、HOYA社は「Hunters International」ランサムウェア攻撃グループによって攻撃され、攻撃中に盗まれたファイルを解放しないことと引き換えに、ファイル復号ツールと引き換えに1,000万ドルの身代金を要求しました。

概要

HOYA は光学機器、医療機器、電子部品を専門とする日本の企業です。世界 30 か国以上に 160 のオフィスと子会社を構え、世界中に 43 の研究所のネットワークを持っています。同社は攻撃を受ける1週間前に 生産と注文処理に影響を及ぼし、いくつかの事業部門でIT障害が発生したサイバー攻撃を公表しました。

同社は当時、ハッカーが自社のシステムから機密情報にアクセスしたか、または持ち出した可能性について調査中であると述べましたが、盗まれたものがあるかどうかの判断には時間がかかる可能性があると指摘しました。

Hunters International は、盗まれたとされる 170 万件のファイル、合計 2 TB のデータを解放しない代わりに 1,000 万ドルの身代金を要求しました。

現在、Hunters International のサイトではファイルは公開されておらず、脅威アクターらはHoyaへの攻撃の責任を公に主張していません。

原因

Hunters Internationalは、2023年半ばに出現したRansomware-as-a-Service(RaaS)オペレーションであり、その暗号化プログラムは Hiveランサムウェアオペレーションとコードを共有しており、ブランド名が変更される可能性があることを示唆しています。

しかし、Hunters Internationalは、Hive 活動とのいかなる関係も否定し、現在は解散したランサムウェア組織からソフトウェアと Web サイトを入手したと主張していました。

それ以来、Hunters Internationalはあらゆる業種の企業を標的にし、数十万ドルから数百万ドルに及ぶ身代金を要求していることが確認されています。

漏洩件数

170件のファイル、合計2TBのデータが盗まれたとされています。

サイバー攻撃の影響により、レンズの納期遅れが発生し、眼鏡販売店が影響を受けました。HOYA以外のレンズメーカーに注文が集中した結果、納期遅れが飛び火し、大部分のシステムを復旧させるまでに1カ月近くを要し、業界全体が混乱に陥いりました。

サイバー攻撃による業績へのインパクト

2024年8月1日、大手眼鏡レンズメーカーであるHOYAが2025年3月期第1四半期の決算を発表しました。前年同期比で増収増益だったものの、レンズ事業を含む「ライフケア事業」のセグメント利益は同42%減に落ち込みました。

不調の原因は、同年3月に発生したサイバー攻撃を起因とするシステム障害の影響で、ランサムウエアに感染したとみられています。

LINEへのサイバー攻撃

LINEヤフーは2023年11月にサーバーがサイバー攻撃を受け、約44万件の個人情報が流出した可能性があると公表しました。

さらに2024年2月にも旧LINEの従業員情報約5万7000件が流出した可能性があると公表しました。

また、2023年11月時点で約44万件としていた流出件数は約51万件に増えたことも明らかにしています。

概要

LINEヤフーは2023年10月、ZホールディングスとLINE、ヤフーが合併し発足しました。LINEヤフーは2023年9月14日~同年10月27日にわたってサイバー攻撃を受け、従業員やLINE利用者の個人情報が漏えいする事案がありました。

本事案においては業務委託先であり、かつ共通の認証基盤を持つNAVER Cloud社を経由にLINEヤフー社に攻撃が行われました。

総務省は、同社の業務委託先である韓国ネット大手NAVER(ネイバー)との間に旧LINEの環境に関わるシステムやネットワーク構成、旧LINE従業員のアカウント情報の取り扱いなどについて「相当に強い依存関係」が存在していたことが大きな要因としています。

NAVERや業務委託先会社の情報セキュリティーに関わる安全管理措置に不備があったことが起点となってサーバーへの不正アクセスなどが起き、情報漏洩につながったとしています。

原因

LINEヤフーはNAVERのグループ会社であるNAVER Cloudとの間でITサービス利用等に関する業務委託契約を締結しています。なお、データセンターの保守サービスは韓国企業の保守会社と業務委託契約を結んでおりました。感染の経緯は下記の通りです。

 

  1. 2023年8月10日、同月24日、保守会社のPCがマルウェア攻撃を受け、攻撃者は保守会社のPCを遠隔操作することができる状態になりました。
  2. 同年9月14日、保守会社がNAVER Cloud社のデータセンターの定期点検作業のためNAVER Cloud社の管理者PCにリモート接続したところ、攻撃者は遠隔操作手法を用いて、NAVER Cloud社管理者PCおよびNAVER Cloud社のウイルス対策管理サーバをマルウェアに感染させました。
  3. 攻撃者は、2023年9月18日から同月26日にかけて、NAVER Cloud社のウイルス対策管理サーバを踏み台として、NAVER Cloud社の管理者権限を奪取し、その管理者権限により、NAVER Cloud社の認証基盤システムに不正アクセスしてマルウェアに感染させました。そして、そこに保存されていた、共通認証基盤システムにアクセスするためのLINEヤフー社従業者のID・パスワードや、LINEヤフー社の認証基盤システムにアクセスするためのLINEヤフー社従業者のID・パスワードを不正に入手しました。
  4. 攻撃者は、2023年9月14日、取得したLINEヤフー社の従業員のID・パスワードを利用して、LINEヤフー社の従業員が利用する認証基盤システムへ不正アクセスしたうえで、さらにLINEヤフー社のデータ分析システム、ソースコード管理システム、社内文書管理システム及び社内コミュニケーション等に係るシステムへアクセスするためのID・パスワードを不正に入手しました。

攻撃者は、上述のとおり入手したLINEヤフー社の従業者のID・パスワードを用いて、各種システムへ不正アクセスし、LINE 利用者の個人データ、LY社の取引先及び従業者の個人データを不正に取得しました。

Lineの個人情報 漏洩件数

約44万件の個人情報および旧LINEの従業員情報約5万7000件が流出した可能性があります。

業績へのインパクト

業績へのインパクトは現段階では不明です。

JAXAへのサイバー攻撃

2024年7月にJAXAは不正アクセスによる情報漏洩への対応状況についてのリリースを公表しました。JAXAへのサイバー攻撃は2016年から始まり、最新では2024年10月にもJAXA理事長など役員のアカウントへの攻撃が公表されています。

概要

中国共産党員のJAXAなどへのサイバー攻撃への関与(2016年)

JAXAなど国内約200の企業や研究機関へのサイバー攻撃に関与した疑いが強まったとして、警視庁公安部は2021年4月20日に中国共産党員でシステムエンジニアの30代の男を私電磁的記録不正作出・同供与の疑いで書類送検しました。

送検容疑は2016年9月から2017年4月に5回にわたり、JAXAへのサイバー攻撃などに使用された日本国内のレンタルサーバーを偽名で契約するなどした疑いです。捜査関係者によると、男は中国国営の通信会社のシステムエンジニアで中国共産党員です。防衛や航空関連企業を含む約200の企業や研究機関を対象に、日本製ソフトウエアのシステム上の弱点である「ゼロデイ」が狙われました。

警視庁は、サイバー攻撃の発信源は中国軍の指揮下にあるハッカー集団であると結論付け、中国共産党員を私的電磁的記録の不正作成・提供の疑いで東京地検に書類送検したものの、同年10月に不起訴となりました。

宇宙計画に関する機密情報漏洩した可能性(2023年11月)

2023年11月に、JAXAは2023年夏ごろにサイバー攻撃を受け、日本の宇宙計画に関する機密情報が漏洩した可能性があることが報じられました。JAXAのネットワークを管理する中央サーバー「Active Directory(AD)」が不正アクセスを受けたことを関係者が明らかにしました。

Microsoft 365 への不正アクセス(2023年)

2023年、ロケットや衛星、国家安全保障に関する機密データが侵害されていないことを確認するためにJAXAのネットワークが当面オフラインにされる事象が発生しました。この事件の発端はMicrosoft 365 (M365)への不正アクセスだったことが判明しています。JAXAはMicrosoftに調査への協力を依頼し、さらなる侵害は見つからなかったと明らかにしました。

JAXAの声明では、マイクロソフト以外の主体によって発見され、削除されたマルウェアの存在も明らかにしています。さらに、同機関が採用したネットワーク監視の強化やリモートアクセスのセキュリティ強化などの対策に関するセクションの最後の文には、ゼロデイ攻撃についての言及もあります。

2023年の侵害により、攻撃者はJAXAのMS365サービスにホストされている個人情報を含む一部の情報を入手しました。

2023年6月の不正アクセス事案では、米マイクロソフトのクラウドサービス「マイクロソフト365」から1万を超えるファイルが流出した可能性があります。特にJAXA幹部の情報が狙われたとみられ、秘密保持契約(NDA)を結んだ企業や組織のファイルも多数含まれていたとされています。

機密指定情報への不正アクセス(2024年6月)

2024年6月、JAXAは不正アクセスの被害に遭い、重要なデータの一部が外部に流出した可能性があると報告しました。機密指定を含む大量の情報が外部に流出した恐れがあり、侵入被害は2024年6月以降、計4回にわたっていたことがわかりました。JAXAは対策を取っていたものの、繰り返し侵入を受けていました。

JAXA 理事長など役員のアカウントへの攻撃(2024年10月)

AXAは一連の高度なサイバー攻撃により、2024年10月、山川宏理事長やその他理事4名を含む役員のアカウントが乗っ取られたことが判明しました。

原因

中国共産党員のJAXAなどへのサイバー攻撃への関与(2016年)

防衛や航空関連企業を含む約200の企業や研究機関を対象に、日本製ソフトウエアのシステム上の弱点である「ゼロデイ」が狙われました。

男が契約したサーバーのIDなどは「Tick」と呼ばれる中国軍の指示を受けたハッカー集団に送られており、警察当局は背後に中国軍のサイバー攻撃専門組織「61419部隊」の関与があるとみています。日本に滞在していた別の中国人男性が同部隊に所属する人物から指示を受け、レンタルサーバーを契約するなどしていたことも判明しています。

当時のサイバー攻撃では、資産管理ソフト「SKYSEA Client View」を利用していたJAXAを含む企業らが攻撃されました。

宇宙計画に関する機密情報漏洩した可能性(2023年11月)

JAXAのネットワークを管理する中央サーバー「Active Directory(AD)」が不正アクセスを受けたことが原因と見られます。

Microsoft 365 への不正アクセス(2023年)

攻撃者は複数の未知のマルウェアを使用しており、不正アクセスを検出するのは困難だったとJAXAは説明しています。JAXAの内部サーバーとコンピューターへの最初の侵入は、VPNの脆弱性を悪用して行われた可能性が高く、その後、攻撃者は不正アクセスを拡大し、宇宙機関のユーザーアカウント情報を侵害しました。そのアカウント情報は、今度はMS365サービスへのアクセスに使用されました。

機密指定情報への不正アクセス(2024年6月)

2024年の合計4回の侵入の手口は共通です。インターネットからJAXA内部のネットワークに接続する「VPN(仮想専用線)機器」がハッキングされた痕跡があり、いずれも異なるメーカーの機器で、それぞれの欠陥が悪用されました。うち2回はメーカーが欠陥を公表する前に侵入された痕跡があり、高度な技術力を持ったハッカー集団の関与が伺えます。

JAXA 理事長など役員のアカウントへの攻撃(2024年10月)

今回の役員へのデータ侵害は、2023年6月以降サイバー攻撃に見舞われている同機構に対する、より広範なサイバー攻撃の一部とされています。

漏洩件数

宇宙計画に関する機密情報漏洩した可能性(2023年11月)

大規模な情報漏洩は確認されていないものの、JAXA関係者は「ADサーバーがハッキングされた以上、ほとんどの情報が見えていた可能性が高い。非常に深刻な事態だ」と話しています。

Microsoft 365 への不正アクセス(2023年)

侵害されたシステムには打ち上げロケットや衛星運用に関する機密情報は含まれていないとみられています。JAXAはまた、この攻撃が国内外のパートナーとの協力に影響を及ぼす可能性を否定しました。

なお、2023年6月の不正アクセス事案では、米マイクロソフトのクラウドサービス「マイクロソフト365」から1万を超えるファイルが流出した可能性があります。特にJAXA幹部の情報が狙われたとみられ、秘密保持契約(NDA)を結んだ企業や組織のファイルも多数含まれていたとされています。

機密指定情報への不正アクセス(2024年6月)

本インシデントにより、侵害を受けたJAXAの端末・サーバに保存されていた一部の情報(JAXA職員等の個人情報含む)が漏洩した可能性があります。また、MS365上でJAXAが管理していた情報の一部(外部機関と業務を共同で実施するにあたっての情報及び個人情報)が漏洩したことが確認されています。本インシデントで侵害を受けた情報システムやネットワークにおいては、ロケットや衛星の運用等の機微な情報は扱われてないとしています。

JAXA 理事長など役員のアカウントへの攻撃(2024年10月)

最も被害が大きかった攻撃は2024年6月に発生し、JAXAの従業員および関連会社の従業員約5,000人の個人情報が盗まれました。約200のアカウントが侵害され、9人の取締役の半数以上が標的となりました。これらの侵害されたアカウントにより、サイバー攻撃者は宇宙探査、国家安全保障、対外交渉に関連する重要な戦略情報にアクセスできるようになりました。

盗まれた認証情報の中には、重要な政策立案や予算問題に携わる役員の認証情報も含まれていました。攻撃者はこれらの役員のアカウントを悪用し、JAXAの業務の極めて機密性の高い領域に侵入しました。6月の侵入事件に関するさらなる調査で、ハッカーらがJAXAが利用していたマイクロソフトのクラウドサービスを悪用していたことが判明しました。約1万件のファイルが無許可でアクセスされ、そのうち1,000件以上の文書は外部パートナーから提供されたものでした。問題のファイルは、NASA、欧州宇宙機関(ESA)、トヨタ自動車、三菱重工業、防衛庁など40以上の企業や組織からのものでした。

この侵害の影響は広範囲に及びます。特にJAXAとこれらの組織とのパートナーシップに多大な影響を及ぼします。この攻撃の最も懸念される側面の1つとして、NASAとJAXAの共同プロジェクトであるアルテミス月探査プログラムに潜在的に影響を与える可能性があります。

漏洩したファイルには、NASAや三菱重工業に関連するファイルを含む、宇宙探査や防衛技術に関する重要な情報が含まれているとみられています。この侵害により、JAXAの戦略企画管理部門や有人宇宙飛行技術部門のプロジェクトが深刻な影響を受けました。

名古屋港へのサイバー攻撃

2023年7月、名古屋港のコンテナターミナルを運営する名古屋港湾合同庁舎(NHJ)のシステムで利用してるサーバがランサムウェア攻撃を受けデータが暗号化されました。約3日間にわたりコンテナの搬入・搬出業務が停止しました。

概要

2023年7月26日に名古屋港運協会から、ランサムウェア攻撃によるシステム障害についての発生から復旧までの経緯や調査結果などが公表されました。調査の結果、リモート接続機器の脆弱性を確認、この脆弱性の悪用により不正アクセスを受けたと考えられること、またデータセンター内にあるNUTS(名古屋港統一ターミナルシステム)の全サーバーが暗号化されたことを確認している、との公表がありました。

原因

VPN機器「フォーティゲート」を使用しており、既知の脆弱性のアップデートをしていなかった事が原因です。

また、名古屋港運協会は具体的な攻撃元を明言はしていないものの、今回の名古屋港へのサイバー攻撃はLockBitによるものだと言われています。

ロックビットとは2019年頃から活発に攻撃を行っているハッカー集団で、既知の脆弱性やフィッシングメール経由でマルウェアに感染させ、企業のPCやサーバーに保存されている重要情報を暗号化し、身代金を支払わなければ暗号化を解除しない、というランサムウェア攻撃を行います。

漏洩件数

ランサムウェア攻撃により大規模なシステム障害が発生しました。この障害により、トレーラーを使ったコンテナ搬出入作業が中止に追い込まれ、7月6日の午後に一部のターミナルで作業が開始されるまで完全に搬出入ができない事態に陥りました。また、システムの全面復旧には3日間の時間を要しました。

業績へのインパクト

総取扱貨物量日本一を誇る港湾事業の停止は、経済活動に広く影響を及ぼしたと言われています。トヨタ自動車を始め、日本の基幹産業の中枢を担う企業が集積する中部圏の物流を支える拠点である名古屋港のシステムは社会インフラとも言え、このような社会インフラがサイバー攻撃により数日でも停止する事態は国内でも初めての事例で、相当なインパクトを与えました。

岡山県精神科医療センターへのサイバー攻撃

2024年5月19日に、岡山県精神科医療センターがサイバー攻撃により、電子カルテが閲覧できなくなりました。この影響で、紙カルテでの診察を余儀なくされました。

概要

岡山県精神科医療センターは5月19日に発生したランサムウェア攻撃により、県精神科医療センターの統合情報システムの共有フォルダに保存されていたデータが流出しました。具体的には、県精神科医療センター及び東古松サンクト診療所の電子カルテを含む「総合情報システム」に障害が発生しました。

同月20日に、攻撃者から身代金目的のメッセージがありましたが、センターは身代金支払いで指定されたメールアドレスに連絡せず、県警に被害届を提出しました。岡山県警は6月7日に特殊な方法でしか閲覧できない「ダークウェブ」と呼ばれる闇サイト上に、個人情報が入ったファイルが掲載されていることを確認しました。

原因

報道によると2023年6月に自治体病院の全国組織から、病院の情報システムに外部から接続する際に使うVPN(仮想専用線)に関してサイバー攻撃に脆弱な機種の通知があり、センターの機器が該当すると判明していました。しかしながら、更新に向け業者と協議したものの具体的な進展がなく、2024年4月以降は棚上げになっていたことが判明しています。

メーカー側からも確実にパッチが提供もされていますが、ずっとその脆弱性を放置していたことが、今回のサイバー攻撃とランサムウェア攻撃による個人情報漏洩に繋がったと考えられています。

センターの松本安治常務理事も「更新できていれば今回の被害は防げていたかもしれない」とコメントしています。

漏洩件数

総合情報システムで当社の職員が業務で作成した資料を保存していた共有フォルダ内の次の情報が漏洩したと見られています。

 

・患者情報 氏名、住所、生年月日、病名 等(最大 約40,000人分)

・病棟会議の議事録

また、ダークウェブ上に掲載されていることから、漏洩対象への二次被害が発生する可能性もあります。

つるぎ町立半田病院へのサイバー攻撃

2021年10月31日の未明に、つるぎ町立半田病院がサイバー攻撃を受け、電子カルテをはじめとする院内システムがランサムウェアと呼ばれる身代金要求型コンピュータウイルスに感染し、カルテが閲覧できなくなるなどの大きな被害が生じました。

概要

2021年10月につるぎ町立半田病院はサイバー攻撃を受け電子カルテの情報が閲覧できなくなり、外来を停止しました。

調査復旧を請け負った事業者の作業、電子カルテ業者の仮システムの構築、そして、電子カルテより必要に応じて抽出していたデータなどを利用し、2022年1月4日に通常診療を再開しました。

なお、被害判明当時においてつるぎ町の兼西茂町長は身代金の支払いを拒否すると表明していましたが、半田病院は東京の事業者にデータの復旧作業を依頼し、「調査復旧費の名目で約7000万円を支払った」(半田病院)としています。その後、半田病院は、この事業者が独自技術で復旧したとするデータを使うなどして、2022年1月4日に新たな電子カルテシステムを稼働し、新規患者の診療などを再開しました。

病院側は身代金を支払った可能性を否定していますが、データ復旧を依頼した事業者は、何かしらの方法で修復に必要な手段を入手し、データの復元を行った可能性があります。仮にこの事業者が病院側に無断で身代金を支払いデータを復旧したとすると、犯罪者側への利益供与として詐欺罪に問われかねないことも新たな議論として問題視されています。

原因

原因としては、犯罪者集団ロックビットによるランサムウェア攻撃と見られています。電子カルテのシステムやバックアップ用データを暗号化して病院に身代金を要求しました。ロックビットは病院側関係者との交渉を経て、3万ドル(約450万円)を受け取ったとしています。

また、VPN装置のFortiGate 60Eの既知の脆弱性が主な原因とされています。メーカーのFortiGateは2019年4~5月にファームウェアを公表していますが、同病院はおよそ3年間対応していませんでした。さらに、

・VPN装置を納入・構築したベンダーとは保守契約を結んでいない

・病院のIT担当は1名のみでセキュリティ対策を考える余裕もない

 

など杜撰さが表れています。

最終的に、感染後のシステムの復旧に1億円、新システム構築に2億円の合計3億のコストが発生しています。

漏洩件数

約8万5千人分の患者情報が暗号化され身代金を要求されるランサムウェア攻撃を受けましたが、個人情報の漏えいは確認されていないとしています。

日本プレイステーションネットワークへのサイバー攻撃

2011年4月、ソニーの米国統括会社によると、ソニー・コンピュータエンタテインメント(SCE)が運営するプレイステーション向けのオンラインサービス「Play Station Network(プレイステーションネットワーク、PSN)」と、映像・音楽配信サービス「Qriocity(キュリオシティ)」のアカウント情報が不正アクセスによって流出した可能性があると発表しました。

概要

2011年4月14日より断続的にPlayStation Networkへの接続が途切れるようになり、同年4月19日に米国にあるサーバーで異常な動きを確認、そして、4月20日にPSNに大規模なアクセスエラーが生じ、サインインできない状態となりました。

4月23日に外部要因とみられる影響と発表されましたが、実際は4月17日から4月19日にかけて受けたシステムへの不正侵入により、PSN利用者、約7700万件分の個人情報が流出した可能性が出たためにサービスを停止したことが原因でした。

漏洩した情報は、氏名、住所、電子メールアドレス、生年月日、PSNパスワードとIDなど、ハッカーが入手した可能性があるものとして購入履歴などの情報もあげています。クレジットカード番号に関しては、「ハッカーが入手した可能性を完全に否定はできませんが、現時点ではそれを示す形跡は見つかっておりません」と発表しており、実際、クレジットカードについては暗号化したとされています。

原因

侵入を受けたサーバーからは「Anonymous(アノニマス)」というファイルが発見されました。

ソニーは以前からPSNを攻撃のターゲットにしていた米国ハッカー集団「アノニマス」関与の可能性を示唆しており、アノニマス側はブログ上で否定したものの、その後NHKの取材で、ソニーグループのコンピュータに侵入したことが明らかになりました。

漏洩件数

7700万人(北米3600万人、欧州3200万人、日本を含むアジアが900万人)への影響が出たと言われています。

業績へのインパクト

業績へのインパクトは当初1億500万ポンドになると見積もっていましたが、その後、当初の予想ほどの経済的損害は出なかったと発表しています。

日本年金機構へのサイバー攻撃

日本年金機構は2015年6月1日に、約125万件の年金情報が流出したと公表しました。

流出した情報は基礎年金番号と氏名、性別、住所です。直接の原因は標的型攻撃を受けたことと言われています。

概要

外部の不正アクセスにより日本年金機構の年金情報管理システムサーバから個人情報が流出した問題です。本情報流出を受けて、日本年金機構の水島藤一郎理事長は情報漏洩について謝罪し、影響を受けた国民に新たな年金IDを発行すると発表しました。また、記者会見の中で次のように述べました。

「極めて重い責任を感じております。お客様にご迷惑をおかけしないよう最大限の努力をいたします」

本件を受けて、日本年金機構では専用の電話窓口を設置しました。また、日本年金機構では警視庁に対して通報し、捜査を依頼。

これを受け、警視庁では、不正指令電磁的記録供用容疑とみて、事実関係の確認を開始しました。また、日本年金機構では外部有識者をメンバーに加えた、原因調査・再発防止の為の委員会を設置しました。

原因

データ漏洩は、政府機関の職員が電子メール内の感染ファイルをダウンロードして開いた後に漏洩したと言われています。

2015年5月8日に年金機構が外部に公開する外部調達のメールアドレス宛てに「『厚生年金基金制度の見直しについて(試案)』に関する意見」という件名の標的型メールが届きました。職員がメールを開封したことで、PCがウイルスに感染しました。

ハッキングされたPCは、基金の基幹コンピューターシステムとインターネットでつながっていませんでした。年金制度の財務データは、そのコンピューターシステムに保存されていました。

基金の職員は、その基幹システムへの不正アクセスは確認されていないことを確認しました。

この基幹システムには、年金受給者のこれまでの保険料の支払額や、各人に支払われた給付金の額など、非常に機密性の高いデータが含まれています。当局は、ハッカーが盗んだデータを使って国民の住所を変更した可能性もあると明らかにしました。

漏洩件数

流出した約125万件の個人情報のうち、約116万7000件は基礎年金番号・氏名・生年月日の3項目、約5万2000件は基礎年金番号・氏名・生年月日・住所の4項目、約3万1000件は基礎年金番号・氏名の2項目で構成されています。

三菱重工へのサイバー攻撃

三菱重工業は2011年9月19日、社内の83台のサーバーやパソコンがコンピューターウイルスに感染し、情報漏洩の危険性が判明したと発表しました。

潜水艦や原子力発電プラント、ミサイルなどの研究・製造拠点計11カ所でウイルス感染が確認されたと言われています。

概要

サイバー攻撃は、東京の本社のほか、神戸造船所、長崎造船所、名古屋誘導推進システム製作所などの製造・研究開発拠点で約80のシステムがマルウェアに感染しました。

同社の広報担当者は、三菱重工の生産工場とオフィス(10台以上)にある45台のサーバーと38台のPCが感染したと語りました。

原因-標的型攻撃メール

原因は三菱重工のスタッフを狙った標的型攻撃メール(重要な人物に大量の個人情報を含むと思われる電子メールで連絡し、信頼を得て機密情報を漏らしたり、ネットワークにマルウェアをインストールさせたりしようとする攻撃)によって実行されたと言われています。

また、攻撃者はウイルスの作成に中国語のスクリプトを使用した可能性があると報じられています。

漏洩件数

これまでの調査では製品や技術に関する情報流出は確認されていません。

海外のサイバー攻撃事例

以下では海外のサイバー攻撃事例を紹介しています。

yahoo(米国)

yahoo(米国)は2013年と2014年に2度の攻撃により、史上最大のデータ侵害に見舞われました。2017年に2013年のサイバー攻撃で全30億のアカウントのデータが流出したとの調査結果を発表しました。

同社は2016年12月に、2013年8月に10億人超のユーザーに関するデータが盗まれたと発表していましたが、2017年の調査結果では3倍に膨らみ、過去最大規模になったとみられています。

概要

2013年のデータ侵害は 2013年8月に Yahoo サーバーで発生し、30 億のユーザーアカウントすべてに影響を及ぼしました。2014年の侵害は5億を超えるユーザーアカウントに影響を及ぼしました。漏洩した情報は、名前、メール アドレス、電話番号、生年月日、セキュリティの質問 (暗号化されているものと暗号化されていないものの両方) が含まれていました。Yahoo は 2016 年に侵害を公表した際、2014 年以来 2 度目の侵入を認識していたことを認めました。

原因

この侵入は、この件で起訴された4人によって実行されました。この侵入は、ロシアのエージェントがハッカーを雇うという手法で実行され、4人のうち起訴されたのは1人だけでしたが、その1人であるバラトフ氏は最終的に多額の罰金と5年の懲役刑を受けました。

ロシア連邦保安局(FSB)の職員2名を含む4名の被告をコンピューターハッキング、経済スパイ、その他の犯罪行為で起訴しました

被告は、ロシア国籍で在住のドミトリー・アレクサンドロビッチ・ドクチャエフ、ロシア国籍で在住のイゴール・アナトリエヴィッチ・スシチン、ロシア国籍で在住のアレクセイ・アレクセエヴィッチ・ベラン(通称「マグ」)、カナダ国籍で在住のカリム・バラトフ(通称「ケイ」、「カリム・タロベロフ」、「カリム・アケフメット・トクベルゲノフ」)です。

被告らは、Yahoo のシステムに不正アクセスして少なくとも約 5 億のYahooアカウントから情報を盗み、その盗んだ情報の一部を使用して、ロシアのジャーナリスト、米国およびロシアの政府関係者、金融、運輸、その他の企業の民間従業員のアカウントを含む、Yahoo、Google、その他の Webメールプロバイダーのアカウントの内容に不正にアクセスしました。

被告の 1 人は、Yahoo のユーザー通信を検索してクレジットカードやギフト カードのアカウント番号を検索したり、Yahoo 検索エンジンの Web トラフィックの一部をリダイレクトして手数料を稼いだり、少なくとも 3,000 万の Yahoo アカウントの連絡先を盗んでスパム キャンペーンに利用したりするなど、Yahoo ネットワークへのアクセスを個人的な金銭的利益のために悪用しました。

漏洩件数

ヤフーは3日、「最近入手した新たな情報」により、すべてのユーザーアカウントがハッキングの影響を受けていたことが分かったと説明。

ただ、流出したデータには暗号化されていないパスワードやクレジットカード、銀行口座などの情報は含まれず、ユーザーアカウントには、全くあるいはほとんど使われていないものも多いと明らかにした。

業績へのインパクト

情報漏洩の発表前に、ベライゾン・コミュニケーションズはヤフーの資産の一部を48億ドルで買収する交渉と承認に入っており、取引は2017年3月に完了する予定でした。ヤフーは2014年の情報漏洩をベライゾンに明らかにしたのは、ヤフーの9月の発表の2日前でした。

2017年2月、ベライゾンとヤフーは取引は続行しましたが、売却価格は3億5000万ドル引き下げて44億8000万ドルにすると発表した。取引は2017年6月にこの価格で正式に完了しました。

サウジアラムコへのサイバー攻撃

世界最大の石油企業であるサウジアラムコが2012年8月中旬に約3万台のワークステーションがウイルス攻撃の被害を受けたと認めました。

概要

このハッキングにより、世界最大の石油生産者が機能停止に陥り、生産に遅れが生じました。サイバー攻撃により、個人の端末がウイルスに感染した結果、一部の電子ネットワークが中断しました。

また、悪意のあるウイルスにより約3万の端末が影響を受けました。駆除作業の結果、イスラム教のラマダン(断食月)明けの休暇が終わった2012年8月25日から通常態勢に戻りました。

原因

このハッキングは「Shamoon」と呼ばれるウイルスによって行わました。このウイルスは「Stuxnetのようにモジュール化され多面的であるが、目的はただ1つ、データを見つけて破壊すること」と言われています。

なお、この攻撃の犯人はイランと疑われています。具体的には、米国の諜報機関はイランを攻撃者と特定しましたが、イランはこれを否定し、イエメンを非難しました。

漏洩件数

石油・ガスの生産や流通など基幹事業に影響はなかったといわれています。

10代のハッカーが国防総省とNASAへのハッキング

1999年、10代のハッカーが国防総省とNASAのネットワークに侵入した事件です。

概要

1999年、10代のハッカーが国防総省とNASAのネットワークに侵入しました。その後、その10代のハッカーは国防総省のサーバーにバックドアアクセスをインストールし、NASAから約170万ドル相当のソフトウェアをダウンロードしました。さらに、この少年は攻撃の罪で起訴され、6ヶ月間の拘置所収容を命じられました。

原因

マイアミの米国地方裁判所で、インターネット上で「cOmrade」という名前で活動していた16歳の少年は、1999年8月23日から10月27日までの多数のコンピュータ侵入行為を認めました。彼は米国防脅威削減局(DTRA)が使用する軍のコンピュータネットワークに侵入しました。司法省の声明によると、この少年はバージニア州ダレスにあるサーバーに不正アクセスし、サーバーにバックドアを設置しました。

バックドアプログラムは、DTRA職員が配布した3,300件以上のメッセージを収集しました。さらに、ハッカーはDTRA職員のコンピュータアカウントのユーザー名とパスワードを少なくとも19件発見しました。そのうち10件は軍のコンピュータにあったと司法省は述べました。

また、このハッカーはアラバマ州ハンツビルのマーシャル宇宙飛行センターにあるNASAのコンピューター13台にもアクセスしましたた。ハッカーはNASAから170万ドル相当のプロプライエタリソフトウェアを入手し、ダウンロードしました。NASAは国際宇宙ステーションの物理的環境をサポートするためにこのソフトウェアを使用しています。司法省によると、NASAのコンピューターシステムは、セキュリティ侵害に対処するため、1999年7月に21日間強制的に停止されました。

漏洩件数

10代のハッカーによる攻撃の影響は最小限で、個人情報の漏洩もなかったが、 NASAのネットワークが3週間停止する事態を招きました。

コロニアル・パイプラインへのランサムウェア攻撃

2021年5月、米国東海岸の燃料供給のほぼ半分を担う企業であるコロニアル・パイプラインは、ランサムウェア攻撃により、業務を停止せざるを得なくなりました。

ガソリン、ディーゼル、家庭用暖房用オイル、ジェット燃料、軍事物資の在庫が大きな影響を受け、連邦自動車運送安全局(FMCSA)は、不足に対処するために18州で非常事態を宣言しました。

概要

2021年5月、コロニアル・パイプラインの石油パイプラインシステムが攻撃され、米国の石油インフラに対する最大規模の攻撃が発生しました。コロニアル・パイプラインが管理するこのパイプラインは、米国南東部全体にガソリンを輸送していました。

同社は、パイプラインを通る石油の流れを制御するシステムがマルウェアに感染したため、パイプラインの停止を余儀なくされました。同社はFBIと協力し、ビットコインで440万ドルの身代金を支払いましたが、それでもシステムは数日間停止しました。理由としては、システムを再び稼働させるまでに長い処理時間がかかったためと言われています。

原因

本サイバー攻撃は、企業のシステムへの直接攻撃ではなく、ダークウェブで発見されたと思われる従業員の個人パスワードの侵害から始まりました。

FBIは、東ヨーロッパを起源とするサイバー犯罪グループDarkSideが攻撃の背後にいることを確認しました。同グループが使用するランサムウェアは2020年8月に初めて発見された比較的新しいグループですが、同グループは過去に金銭的に成功したサイバー犯罪組織の経験を活用しています。

このグループはコロニアル パイプラインのコンピュータシステムをロックしただけでなく、DarkSide は100 GB を超える企業データも盗みました。

手口としては、被害を受けたコンピュータのロックを解除するために金銭を要求し、盗んだデータの支払いを要求するだけでなく、被害者が支払わない場合は盗んだデータを漏らすと脅迫しました。

漏洩件数

米国連邦自動車運送安全局は2021年5月9日、燃料供給ラインを開いたままにするため、17州とワシントンDCに地域非常事態宣言を発令しました。これは米国史上最大の石油インフラを標的としたサイバー攻撃でした。マルウェア攻撃の前日に企業サーバーから100GBのデータを盗んだとみらています。

スタックスネット(Stuxnet)でイランの遠心分離機を破壊

コンピュータワームであるスタックスネットはイランのナタンツにあるウラン濃縮施設の多数の遠心分離機を焼失させて破壊したと伝えられています。

概要

スタックスネットは2010 年に発見された非常に高度なコンピューター ワームであり、実質的に世界初のデジタル兵器でした。

スタックスネットはアメリカとイスラエルの政府によって開発され、ナタンツと呼ばれるイランの核施設に大混乱をもたらすために使用されました。スタックスネットは、もともとイランの核施設を狙ったコンピュータワームですが、その後変異して他の産業施設やエネルギー生産施設に広がりました。

最初の スタックスネットマルウェア攻撃は、機械のプロセスを自動化するために使用されるプログラマブル ロジック コントローラー (PLC) をターゲットにしていました。2010年に発見されて以来、ハードウェアを機能不全に陥らせることができる最初のウイルスであり、米国国家安全保障局、CIA、イスラエル諜報機関によって作成されたと思われることから、メディアの注目を集めました。時が経つにつれ、他のグループがこのウイルスを改良し、水処理施設、発電所、ガス管などの施設を標的としました。

原因

スタックスネットは、USB スティックを介して移動し、Microsoft Windows コンピューターを介して拡散する、複数の部分から成るワームでした。

このウイルスは、感染した各 PC で、PLC として機能する産業用コンピューターが電気機械装置の自動化と監視に使用する Siemens Step 7 ソフトウェアの痕跡を探しました。

PLC コンピューターを見つけると、マルウェア攻撃はインターネット経由でコードを更新し、PC が制御する電気機械装置に損傷を誘発する命令を送信し始めました。同時に、ウイルスはメイン コントローラーに偽のフィードバックを送信しました。

Log4jの脆弱性を用いた大規模なハッキング

2021年12月、多くの企業で使われているソフトウェアである「Apache Log4j」(Log4j)において、任意のコードをリモートで実行できるゼロデイ脆弱性が発見されました。

概要

汎用性が高いプログラミング言語として未だ高い人気を誇るJavaで書かれたログ出力ライブラリ「Apache Log4j」(Log4j)に、ゼロディ脆弱性が確認できました。

この脆弱性を突くと、攻撃者は簡単にサーバで任意のプログラムを実行させることができます。WebサーバにApacheを使い、バックエンド処理にJavaを使っているシステムは、この脆弱性の対象となり得ます。業務システムや企業ホームページ、ECサイトのほとんどが候補になりうることが判明しました。

この脆弱性は、Amazon Web Services、AppleのiCloudなどの多くの大規模インフラプロバイダーや、その他多くの組織に影響をもたらしました。

原因

今回脆弱性が見つかったのは、Log4jに含まれる「JNDI Lookup」と呼ばれる機能です。「JNDI Lookup」には、ログとして記録された文字列に”特定の文字列”が含まれていた場合、それを変数として置換し、指定したサーバからjava classファイルを読み込み実行してしまう特徴があります。

この機能を使えば、任意のコード(例えば悪意のあるプログラム)を比較的容易にリモート実行出来てしまうため、とても危険です。

Log4jを悪用したサイバー攻撃の事例

Night Sky

米Microsoftは2022年1月10日、Log4jの脆弱性を悪用する新手のランサムウエア「Night Sky」が広まっていると明らかにしました。

中国に拠点を置くサイバー犯罪者集団(マイクロソフトは「DEV-0401」と呼称)がNight Skyを使い、米VMwareの仮想デスクトップ構築用ソフト「VMware Horizon」を標的とする攻撃を2022年1月4日に開始しました。VMware HorizonはLog4jのコンポーネントを含んでいます。

不正侵入された企業はNight Skyを社内に展開されるといわれています。

同犯罪者集団は情報システムの設計・構築や電気工事を手掛ける東京コンピュータサービス(東京)を2021年12月に攻撃し、ファイルサーバーに保管されていた130ギガバイトのデータなどを盗みました。

MOVEitの脆弱性を用いた大規模なハッキング

2023年、ファイル転送に広く使用されているMOVEit Transferソフトウェアが、Clopランサムウェアグループが仕掛けた大規模なサイバー攻撃の標的となりました。この侵害は多数の政府機関や民間企業に影響を及ぼし、機密データの漏洩につながりました。

概要

2023年6月、マネージドファイル転送ソフトウェアであるMOVEitに脆弱性が発見された後、サイバー攻撃とデータ侵害が発生しました。影響としては、 9,400 万人のユーザー、2,500 社以上の企業、100 億ドル以上の損害が発生しており、その額は拡大していると言われています。

原因

このサイバー攻撃はロシア系のサイバー犯罪集団Cl0pによって行われていると言われています。Clopランサムウェアグループは、MOVEit Transfer ソフトウェアの脆弱性を悪用し、システムに侵入してデータを盗み出しました。その後、攻撃者は盗んだ情報を公開しない代わりに身代金の支払いを要求しました。この侵害は広範囲に及ぶ影響を及ぼし、さまざまな分野で業務が中断され、重要なデータのセキュリティが侵害されました。

MOVEit Transfer の親会社は、脆弱性を修正するパッチを発行し、すべてのユーザーにシステムを直ちに更新するようアドバイスすることで迅速に対応しました。さらに、影響を受けた組織は、被害を評価し、ネットワークを保護し、侵害の影響を軽減するために精力的に取り組んでいます。

影響

2023年6月、ノバスコシア州政府は、この侵害により最大10万人の現職員と元職員が影響を受けたと推定しました。また、BBC、ブリティッシュ・エアウェイズ、ブーツ、エアリンガス、給与計算サービスゼリスなど、英国のさまざまな組織が侵害を受けました。アーンスト・アンド・ヤング、ロンドン交通局、および通信庁はそれぞれ影響を受けたことを公表し、通信庁は個人情報と機密情報がダウンロードされたと発表しました。

CNNは、米国エネルギー省がMOVEitの脆弱性の影響を受けた複数の米国政府機関の中に含まれていたと報じました。ルイジアナ州自動車局とオレゴン州運転者・自動車サービス局が攻撃を受け、数百万人の住民に影響を与えたと報じられました。

サイバーセキュリティ企業Emsisoftが管理する累計によると、2023年10月25日時点で2,500以上の組織が影響を受けており、そのうち80%以上が米国を拠点とする組織であることが分かっている。

複数企業の事例

ジョージア州の高等教育政府機関

ジョージア州の高等教育政府機関は、同機関のシステムが攻撃を受け、80万人のデータが影響を受けたことを確認しました。

米国のジョージア州にある26の高等教育機関を統括するジョージア大学システム(USG)は、メイン州の司法長官に開示書類を提出しました。USG は、80 万人の被害者に送った書簡の中で、今回の侵害は実際には、Cl0p ギャングが Progress Software の MOVEit MFT ツールのすでに修正された欠陥を悪用したことに関連する、昨年発生した多数の侵害の 1 つであると説明しました。

サイバー犯罪者がアクセスするデータには、社会保障番号(SSN)全体、SSN の下4桁、生年月日、銀行口座番号、納税者番号が記載された連邦所得税文書などが含まれる可能性があります。

Amazon(米)

米 アマゾンは、2023年5月のファイル共有・転送サービスMOVEitの脆弱性を悪用したサイバー攻撃(不正アクセス)で盗まれたとされるデータがハッキングフォーラムに漏洩していましたが、2024年11月にこのインシデントによりアマゾンの従業員情報に関わるデータ侵害を認めました。

TOPへ