セキュリティインシデント 事例【2022年】
本記事では2022年に公表されたサイバー攻撃やランサムウェア攻撃、メール誤送信やUSB紛失などで発生したセキュリティ インシデントの事例を記載します。
目次
セキュリティインシデントとは?
セキュリティ インシデントは不正アクセスによる情報漏洩の他に、システムの設計ミスや意図しないシステム動作により情報セキュリティに関する重大事故につながる事例の事を意味します。
サイバー攻撃によるセキュリティインシデント
サイバー攻撃の手法は、ランサムウェア攻撃の他にVPNやリモートデスクトップ端末への不正アクセスなど様々です。標的型攻撃による情報漏洩も発生していますが、多くは既知の脆弱性に対応できていなかったり、端末へのセキュリティ対策が甘く攻撃を受けています。
自動車部品メーカーにおけるランサムウェア被害|小島プレス工業(2022年2月)
2022年2月26日の夜間に外部からの不正アクセスをサーバーが検知。一部のサーバーで障害が発生し、その後ウイルス感染が判明。被害拡大防止のために即座に全てのシステムを停止。本事象により、得意先各社の向上稼働に影響を及ぼし、トヨタ自動車は同年3月1日に国内全工場の稼働を停止。
ランサムウェア被害のきっかけは、部品製造企業の子会社のリモート接続機器(VPN装置)の脆弱性が要因とされている。子会社が外部から不正アクセスを受けたのちに親会社のネットワークにも侵入され、ランサムウェアによってサーバーやパソコンの一部でデータが暗号化され、利用できなくなった。
病院のランサムウェア被害|大阪急性期・総合医療センター(2022年10月)
2022年10月、大阪急性期・総合医療センターはランサムウエア攻撃の被害に遭遇。大阪急性期・総合医療センターは病床数が800超に及ぶ大型病院であるが、ランサムウェア攻撃の被害で外来診療や各種検査、救急患者の受け入れまで制限をする事態に陥った。
ランサムウエアの侵入口は給食委託事業者のVPN装置と判明。攻撃者はパスワードの辞書攻撃などを駆使し、拡散を図ったと推定。4日前までのバックアップデータは残っていたが、復旧には2カ月を要した。
不正アクセス被害による個人情報流出|ニトリHD(2022年9月)
2022年9月、ニトリHDはアプリの会員情報の認証システムが不正アクセスを受け、約13万アカウント分の個人情報が流出した可能性があることを発表。
流出した可能性があるのは、アプリや電子商取引(EC)サイトなどで会員登録をした利用者の氏名や住所、生年月日のほか、クレジットカードの番号の一部など。同年9月15日から不正アクセスを受けていたことが19日に発覚。別のサイトから漏れたパスワードとIDを用いる「リスト型攻撃」によって個人情報が漏洩した可能性がある。
不正アクセス被害による個人情報流出|森永製菓(2022年3月)
2022年3月22日、大手菓子メーカーの森永製菓が「不正アクセス発生による個人情報流出の可能性のお知らせとおわび」を発表。不正アクセス先は、同社の通信販売事業である「森永ダイレクトストア」であり、約164万件の顧客情報が流出した可能性があるとしている。対象となったのは、2018年5月1日〜2022年3月13日の期間にサービスを利用した顧客であり、流出した可能性のある情報には氏名・住所・電話番号など。
内部不正によるセキュリティインシデント
個人情報の転売や売買目的の為のセキュリティ インシデントも発生しています。
顧客情報の不正持ち出し|AndDoHD(2022年1月)
株式会社And Doホールディングスは2022年1月、同社子会社の「ハウスドゥ住宅販売」に所属する30代の元従業員が会社が保有する顧客情報を不正に持ち出し、不正競争防止法違反で逮捕されたことを発表。
問題の内容としては、元従業員は2021年1月に愛知県一宮市の店舗にて顧客情報64件を転職予定先の不動産会社にメールで不正送信していたことの嫌疑。流出は同社が実施した社内調査により発覚。2021年2月8日には同従業員の懲戒解雇処分が決定し、その後、不正競争防止法違反の疑いで逮捕。
競合他社の機密情報の提供事例|かっぱ寿司(2022年9月)
2022年9月、はま寿司の営業秘密を不正に持ち出したとして、かっぱ寿司社長らを不正競争防止法違反の容疑で逮捕した事例。上場企業の現職社長が逮捕されるという異例の事態で、当時大きな影響を与えた。
内容としては、はま寿司で取締役を務めていた人物がかっぱ寿司の社長に就任する前後で、前職の営業秘密である売上データの提供を受けていたというもの。本事件に関わった社長と他1名の関係者が不正競争防止法違反の疑いで逮捕されるに至った。
メール誤送信による セキュリティ インシデント
メール誤送信はどうしても発生してしまうセキュリティインシデントですが、誤送信の件数が低くても個人情報や機密情報が含まれている場合、重大なインシデントとなりますので注意が必要です。
「e-Gov」の利用者向けサポートデスクによるメール誤送信事例| デジタル庁(2022年4月)
2022年4月、デジタル庁は同庁が運営する行政ポータルサイト「e-Gov」の利用者向けサポートデスクにおいてメールの誤送信があったことを発表。
内容としては、業務を委託しているNTTデータにおいて、利用者から電子申請の利用方法について問い合わせがあり複数回のやり取りを行っていたが、回答のメールを送信した際に異なる利用者へ送信するミスが発生。メールを受信した利用者より同社へメールの内容が異なるとの指摘があり、問題が発覚。
電子メール誤送信による個人情報の漏えい事例|大阪歴史博物館(2022年6月)
2022年6月、大阪歴史博物館のボランティア登録者に対して「ボランティアだより」を電子メールで送信する際、「B C C 」で送信すべきところを誤って「宛先」で送信したことから、個人情報が漏えいしたことが判明。
漏洩した情報はボランティア登録者のメールアドレス93名分。要因としては、電子メールを一斉送信する際に、宛先の形式(宛先・C C ・B C C)について、複数人による確認を行ったものの、確認が不十分であったことが原因としている。
USBの紛失による セキュリティ インシデント
教師による個人情報を含むUSBの紛失事例|関西大学高等部(2022年10月)
関西大学高等部は2022年10月、生徒約800人分の個人情報を含むUSBメモリを紛失する事故が発生したことを発表し、Webサイトに謝罪文を掲載。情報の内容は国語教員が担当した名前、成績、教科及び進路指導情報400名分、卒業アルバムデータ、国語試験問題。同校では、校内でのUSBメモリの使用は原則禁止としているが、教諭が私物のUSBメモリに情報を保存して使用。生徒の情報が保存されたUSBメモリを自宅に持ち帰る際に紛失に気付いたもの。
病院での個人情報を含むUSBの紛失事例|東京曳舟病院(2022年9月)
2022年9月、東京曳舟病院は同院にてがん検診を受診した一部患者の個人情報が記録されたUSBメモリを紛失したと発表。紛失発覚後、院内の捜索や出入りの清掃・クリーニング業者への確認などを行うものの公表時点で発見には至らず。
紛失したUSBメモリには同院が墨田区で実施したがん検診にて「精密検査が必要」となった患者らの氏名などを記載したファイルが記録。公表時点で情報の流出や不正利用など二次被害は確認されていません。
2023年のセキュリティインシデントの記事も記載しています。
その他関連記事
