セキュリティインシデント 事例【2023年】
本記事では2023年に公表されたサイバー攻撃やランサムウェア攻撃、メール誤送信やUSB紛失などで発生したセキュリティ インシデントの事例を記載します。
関連記事
目次
セキュリティインシデントとは?
セキュリティ インシデントは不正アクセスによる情報漏洩の他に、システムの設計ミスや意図しないシステム動作により情報セキュリティに関する重大事故につながる事例の事を意味します。
その為、以下では不正アクセス以外のセキュリティインシデントも記載していきます。
関連記事
サイバー攻撃によるセキュリティインシデント
サイバー攻撃の手法は、ランサムウェア攻撃の他にVPNやリモートデスクトップ端末への不正アクセスなど様々です。標的型攻撃による情報漏洩も発生していますが、多くは既知の脆弱性に対応できていなかったり、端末へのセキュリティ対策が甘く攻撃を受けています。
Line 韓国子会社の委託会社がサイバー攻撃を受け約52万人個人情報漏洩
LINEヤフーは2023年11月27日、韓国のNAVER Cloud経由で不正アクセスを受け、約52万件以上の個人情報が漏洩したことを発表しました。
個人情報漏洩の原因は、Lineの韓国子会社の委託先がサイバー攻撃を受けた為
漏えいした個人情報はLINE利用者の年代や性別、スタンプの購入履歴などが対象
発生したのは2023年ですが、2024年には対策が不十分として総務省から2度目の行政処分を受けています。
LINEヤフーは情報漏洩時や行政処分の際は、株価も続落する為、上場企業の情報漏洩は株価にも影響します。
名古屋港へのランサムウェア攻撃
2023年7月5日昼頃、ランサムウェアの感染が原因で、名古屋港内全てのコンテナターミナル内で運用している名古屋港統一ターミナルシステム(NUTS)に障害が発生した、と発表がされました。その後障害はランサムウェア攻撃で、リモート接続端末から攻撃を受けたと発表されました。
このランサムウェア攻撃で名古屋港は1日操業を停止しています。
オーエスジー株式会社へのランサムウェア攻撃
切削工具・転造工具・測定工具を製造輸入販売するオーエスジー株式会社は2023年4月12日午前6時頃に
基幹システムサーバが不正アクセスとランサムウェア攻撃を受け、データが暗号化されたことを発表しました。
このランサムウェア攻撃により関係の皆様の個人データ(合計27,000件)が漏洩した恐れがあると発表しました。
Booking.com(ブッキングドットコム)の不正アクセス
2023年にBooking.com(ブッキングドットコム)は不正アクセスを受け、利用しているホテルはフィッシングへの注意喚起を行っています。
日経クロステックの記事によれば、2024年1月に入ってからフィッシングに関する注意喚起の案内を出したホテルは
・オリックス・ホテルマネジメントが運営する「ハンドレッドステイ 東京新宿」
・共立メンテナンスの「天然温泉幸鐘の湯 ドーミーイン東室蘭」
・京阪ホテルズ&リゾーツの「THE THOUSAND KYOTO」
・住友不動産ヴィラフォンテーヌの「ヴィラフォンテーヌ グランド 羽田空港」
・セリアコーポレーションの「ホテルローズガーデン新宿」
・西鉄ホテルズの「西鉄イン新宿」「西鉄ホテル クルーム 名古屋」
・ハイランドリゾートの「ハイランドリゾート ホテル&スパ」
・ヒューリックの「グランドニッコー東京ベイ 舞浜」
・ミナシアの「ホテルウィングインターナショナルプレミアム京都三条」
・「ホテルウィングインターナショナル京都四条烏丸」
・「ホテルウィングインターナショナル旭川駅前」
・「ホテルウィングインターナショナル池袋」
引用:https://xtech.nikkei.com/atcl/nxt/column/18/00598/100500250/
内部不正による セキュリティ インシデント
個人情報の転売や売買目的の為のセキュリティ インシデントも発生しています。
NTT西子会社で900万件の顧客情報流出
2023年10月17日NTT西日本子会社のNTTビジネスソリューションズは2023年10月17日に記者会見を開き、元派遣社員が約900万件の個人情報をUSBに保存し不正に持ち出し、第三者に流出させていたと発表しました。
調査では 顧客情報の不正な持ち出しは2013年から約10年間にわたり発生しており、アカウントの権限管理なども厳密でないなど杜撰さが浮き彫りになりました。
東京都パスポートセンターの中国籍の女性による情報漏洩
警視庁公安部は11月、東京都豊島区の池袋パスポートセンターでパスポートセンターの業務を受託するエースシステム(東京都足立区)に勤務していた中国籍の元契約社員が個人情報の書かれた付箋紙を盗んだとして、中国籍の女を書類送検しました。
流出した個人情報は1,920人分にもなります。
これは金銭目的の他に中国による国家的な情報収集の可能性もあります。
エイチーム株式会社 グーグルドライブの誤設定
2023年12月21日 エイチームはクラウド環境の誤設定により最大で93万5779人の個人情報が漏洩した可能性を発表しました。
同社は2023年12月7日、Googleドライブ上で保管していたファイルがインターネット上で閲覧できる状況であったことが2023年11月21日に判明したと公表。11月22日にファイルのアクセス制限を実施しましたが、個人情報を閲覧できる状態を解消した。その後、情報漏洩に関する詳細な調査を開始していた。個人情報が漏洩した可能性のある人で、連絡先が把握できた人には2023年12月20日より順次、個別に連絡するとした。
引用:エイチームの個人情報漏洩は93万人以上に影響、Googleドライブの閲覧範囲を誤設定
メール誤送信による セキュリティ インシデント
メール誤送信はどうしても発生してしまうセキュリティインシデントですが、誤送信の件数が低くても
個人情報や機密情報が含まれている場合、重大なインシデントとなりますので注意が必要です。
米軍がメールのドメイン指定ミスにより数百万通のメールを誤送信
米軍の職員に宛てた数百万通のメールが、長期間にわたって西アフリカのマリに誤送信されていたことが2023年7月17日に発見された。メール誤送信は、米軍のメールアドレスの末尾「.mil」がマリの「.ml」に似ているため誤送信が発生。国防総省は記者会見で本インシデントに関して対策を発表
誤送信の内容には、米軍幹部の宿泊施設の名称や行動日程なども記載されており、作戦行動が漏洩する可能性のあるインシデントでした。
なお、gmail.comと似たgmeil.comへメールを誤送信する事例などもあり、
こういった正規のドメインと似たドメインに偽装し誤送信を誘発する目的のドメインを
ドッペルゲンガードメインと言います。
島根県が2023年に3回目のメール誤送信
島根県が2023年11月18日、県統計調査課の職員が事業所の非公開情報を誤って別の事業所にメールで送信したと発表した。メール誤送信は11月8日以降、5日間で3件発生している。
岡山県が自治体にメール誤送信
2023年11月8日に職員3人の健康に関する個人情報を記したメールを誤って県内外の自治体約60組織に送ったと発表。 なお送信先にメールの削除を依頼済み
USBの紛失による セキュリティ インシデント
USBは技術の発展と共に、大容量で低価格になっているので紛失時は大量の個人情報流出に繋がる可能性があります。実際2022年には尼崎市が46万人の個人情報が保存されたUSBを再々委託会社が無断で持ち帰り、紛失しています。
また、USBにパスワードを設定していても、USBへパスワードを記載していてパスワードの意味がない事例もあります。
関連:NEXCO西日本(西日本高速道路)がUSBを紛失 USBは暗号化もパスワードはUSBに貼り付け
東海大学 個人情報が保存されたノートパソコンとUSBを紛失
2023年2月6日(月)にフランス・パリ近郊の空港にて、東海大学教員が置き引きに遭い、カバンの中のノートパソコンとUSBメモリを盗難。発見の連絡は受けていない。
盗難品
① ノートパソコン
② USBメモリ2本
盗難被害に遭ったノートパソコンとUSBメモリに保存されていた個人情報の内容
① 履修者名簿に記載された、在学生216名、卒業生1530名の「学生証番号」「氏名」「出欠記録」「成績評価」
② 顔写真(ゼミ生270名)
③ 提出レポート(2020年以降電子データで提出を受けたもの)
④ 試験答案(2020年以降電子データで提出を受けたもの)
兵庫県立がんセンター
40代の女性医師が、患者55人分の名前や病変などの個人情報が入ったUSBメモリー1本を紛失したと発表。
その他関連記事