セキュリティインシデントとは その種類と事例などを解説
インターネットが普及した昨今において、現代では誰でもが場所を問わず、世界の情報にアクセスできます。便利な時代になったと同時に、一方で誰でもがアクセスできる状態にあり、サイバー攻撃などにより情報が漏えいするリスクもはらんでおります。
今回の記事では、企業経営に大きく影響する「セキュリティインシデント」のリスクに着目して、セキュリティインシデントの概要やその種類、事例などについて解説していきたいと思います。
目次
セキュリティインシデントとは
セキュリティインシデントとは、会社の情報保護に関して重大な事態に発展しうる事件や事故が発生した状態で、企業や組織の保有する情報資産に対して機密性、完全性、可用性などの侵害となりうる事件や事故のことを指します。
例えば、不正アクセスやマルウェア感染など外部からのサイバー攻撃、また、内部の不正や記憶媒体の紛失なども該当します。
セキュリティインシデントの種類
セキュリティインシデントの種類はいくつかありますが、本記事では内部要因、外部要因、災害要因に分類して解説していきたいと思います。
内部要因
内部要因、すなわち組織の内部的要因としては社員の行動に起因するセキュリティインシデントのことを指します。内部要因に起因するセキュリティインシデントとしては下記のようなものが該当します。
- 記憶媒体の紛失や盗難
- 従業員のメール誤送信や送信設定ミスなどによる情報漏えい
- パスワードの使いまわしによる杜撰な管理が原因となる不正アクセス
- 従業員の私物端末の無許可利用による情報漏えいやマルウェア感染
記憶媒体の紛失や盗難
PCやUSBメモリーなど、社内情報が記録されたデータの記憶媒体を外出先で紛失、または盗難にあうことで、保存されているデータが外部に漏えいするリスクがあります。また、従業員でなくても、オフィスに出入りする業者や外注先がデータを持ち出して機密情報を売買する事例もあります。併せて、昨今においては、転職時に以前在籍していた会社の顧客情報を持ち出して、転職先(競合企業)で利用するケースも大手企業で見られ、逮捕されたケースも存在します。
外部要因
セキュリティインシデントとして最もイメージされやすいのは、サイバー攻撃や不正アクセスなどが挙げられます。悪意のある第三者による攻撃のことを指します。具体的には以下のようなものが該当します。
- マルウェア感染
- 不正アクセス
- 他人のなりすまし
- ランサムウェア
- DDos攻撃
マルウェア感染
マルウェア感染とは、パソコンやサーバーなどに悪質なプログラムが仕掛けられることを指します。具体的には、コンピュータウィルスやトロイの木馬のようなマルウェアに感染することなどです。マルウェアに感染してしまうと、コンピューターが勝手に情報を外部に流出させたり、勝手にメールを送信したり、不審なポップアップ画面を表示したりと不正な動作を行います。Emotetなどもフィッシングメールの添付ファイルやURLリンクを感染経路とするもので、マルウェアのひとつです。
不正アクセス
悪意のある第三者から不正にアクセスされることを指します。アクセス権限を持たない者が故意にサーバーやシステムに侵入する行為です。不正アクセスにより、会社の機密情報の漏えいやデータの改ざんや消去、などの危害を加えられる可能性が高まります。
他人のなりすまし
悪意のある第三者が他人になりすます事例です。ネットワーク管理者などのアカウントを盗み出しtて管理者になりすまし、情報の搾取や改ざん、アカウントの乗っ取りなどを行います。会社の代表者や取引先などになりすまして、情報を盗み出す事例が起きています。
ランサムウェア
悪意のある第三者により、端末にロックをかけたり、データの暗号化により業務を継続できないようにしたうえで、その復旧を行う代わりに、身代金を要求する攻撃です。
DDoS攻撃
サービス停止やネットワークの遅延などを目的に、サーバーやWebサイトへ大量のデータを短時間で送信して負荷をかける攻撃のことです。過負荷により対象のコンピュータをダウンさせる目的で行われます。
災害要因
上記の内部要因、外部要因以外にその他の要因として災害要因も挙げられます。主には、地震や台風など、自身では避けることのできない要因のことを指します。
- 自然災害による設備の故障
地震や落雷など、自然災害でセキュリティ設備が故障するケースなどを指します。避ける方法としては、重要なデータは1か所にまとめておくような管理方法ではなく、複数の遠隔地にバックアップ施設を設けるなどして、事前に対処しておくことが肝要です。
セキュリティインシデントが発生した場合のリスク
セキュリティインシデントが発生してしまうと、会社の存続に大きな影響を与えます。主な影響としては、会社のセキュリティ面の脆弱性の露見、安全性に対するイメージの悪化、社会的信用の失墜につながる可能性があります。また、対応が不十分であれば、既存顧客が離れてしまう可能性もあります。
仮にセキュリティインシデントが発生して個人情報が漏えいした場合は、刑事上の罰則や民事上の損害賠償責任を負う可能性も有ります。
セキュリティインシデントの事例
ここでは、セキュリティインシデントの事例を国内・海外に分けて紹介したいと思います。
国内のセキュリティインシデントの事例
鹿島の海外子会社がランサムウェアにより身代金を要求された事例(2021年4月)
身代金要求型ウイルスであるランサムウェアにより請求書など130万件以上が流出。攻撃したランサムウェア集団は「REvil(レビル)」と名乗り、データを人質に身代金を要求。なお、この「REvil」は塩野義製薬の台湾現地法人にも同様のサイバー攻撃を過去に行っている。
鹿島の海外子会社にサイバー攻撃 データ流出、金銭要求 – 日本経済新聞 (nikkei.com)
API経由でクラウドに不正アクセスされた事例(2021年8月)
婚活アプリ「Omiai」を運営するネットマーケティング社は2021年8月に、同社が契約するクラウドサーバーが不正アクセスを受け、年齢確認書類の画像データが複数回にわたり外部に流出したことを発表。運転免許証や健康保険証、パスポートといった年齢確認書類の画像データ171万1756件(アカウント数)が外部に流出したことが判明。
婚活アプリ「Omiai」情報流出の詳細判明、API経由でクラウドに不正アクセス | 日経クロステック(xTECH) (nikkei.com)
アカウント1万件への不正ログインの事例|セゾン自動車火災保険(2021年6月)
セゾン自動車火災保険株式会社は2021年6月に、同社が公式ウェブサイト上でユーザー向けに提供しているマイページに対する、大量の不正アクセスが確認されたことを発表。
不正アクセスは2021年5月24日~同年6月1日にかけて、約1万件のアカウントへの攻撃が判明。セゾン自動車火災保険株式会社は不正ログインを仕掛けた攻撃者の具体的な手口は明らかにしていないが、同社は被害を受けたユーザーに対して他のサービスで利用したパスワードを使用しないことや過去に使用したパスワードを使いまわさないように注意喚起をしていることから、他のサービスから流出したID・パスワードの組み合わせを悪用する、パスワードリスト攻撃と推察される。
「マイペ―ジ」ログイン画面への不正アクセスについて (dga.jp)
外部委託業者の不正アクセスにより個人情報130万件が流出した事例|アフラック(2023年1月)
アフラック生命保険は2023年1月に業務委託している外部業者が利用するサーバーへの不正アクセスがあり、がん保険などに加入する顧客約130万人分の個人情報が外部に流失したと発表。
流出したのは同社の「新がん保険」「スーパーがん保険」「スーパーがん保険Vタイプ」に加入する顧客132万3468人分の個人情報で、具体的には姓のみ、年齢、性別、証券番号、加入の保険情報などと説明。
同社は、顧客向けダイレクトメールから視聴できる動画の配信業務を外部業者に委託しており、この業者が利用するサーバーに対して不正アクセスがあった可能性があるとしている。
アフラックの個人情報130万人分が流出、外部委託業者が不正アクセス受け | 日経クロステック(xTECH) (nikkei.com)
クラウド環境の誤設定により約215万の情報が閲覧可能となっていた事例|トヨタコネクティッド株式会社(2023年5月)
トヨタ自動車は2023年5月に、子会社のトヨタコネクティッド株式会社に管理を委託するデータの一部が公開状態となっていたことを発表。クラウド環境の誤設定が原因で、約215万人の顧客データなどが対象。
閲覧可能になっていたデータはトヨタのコネクティッドサービスである「T-Connect」や「G-Link」を2012年1月2日から2023年4月17日の間に契約した約215万人の車載端末ID、車台番号、車両の位置情報、時刻など。その他、トヨタコネクティッドが提供する法人向けサービスのドライブレコーダーの映像も、2016年11月14日から2023年4月4日まで外部アクセスできる状態にあったとしている。
クラウド環境の誤設定が起きた原因については、トヨタ自動車は「データ取扱いのルール説明・徹底が不十分だった」と説明している。
海外のセキュリティインシデントの事例
米国大手銀行で1億人分の情報が漏えいした事例|キャピタル・ワン・フィナンシャル(2019年7月)
米銀大手のキャピタル・ワン・フィナンシャルは2019年7月に外部からの不正アクセスによりクレジットカード利用者など1億600万人分の個人情報が漏えいした可能性があることを発表。米連邦捜査局(FBI)は容疑者1人の身柄を拘束。
漏洩した可能性がある情報は、米国とカナダのクレジットカード利用者や申請者の個人名や住所、連絡先など。また、社会保障番号も14万人分が漏れたこと可能性があることも発表。
キャピタル・ワンはインターネット上でサーバーを貸し出す「クラウドサービス」を利用し個人情報を保存。容疑者は同社システムの欠陥を突いて不正アクセスし、個人情報を閲覧できる状態だったと説明。
米銀、1億人分情報漏洩か 容疑者はアマゾン元技術者? – 日本経済新聞 (nikkei.com)
水道システムへの不正アクセス事例|フロリダ州オールズマー市水道局(2021年2月)
2021年2月にアメリカフロリダ州オールズマー市水道局は、水道における産業用制御システムを対象とした不正アクセスにより、飲用水における水酸化ナトリウムの量が一時的に通常の約100倍に上昇したことを発表。オペレーターが異常に気付き、即座に設定を戻したため、実際の被害はなかったとされる。
報道によると、職員用PCよりリモートデスクトップアプリケーションを利用して、産業用制御系システムへの不正アクセスが行われたとされている。
まとめ
今回記事では、セキュリティインシデントの概要やその種類、国内・海外の事例について解説しました。セキュリティインシデントの概要や種類を理解した上で、国内・海外の事例なども参考に、事前・事後の対策、従業員への教育などを行っていくことが重要です。
