企業や組織、そして個人でもコンピュータやネットワークを利用している場合にはセキュリティ事故は常に隣り合わせのリスクです。事業継続の妨げになるセキュリティ事故もありますので、事例を知って備えておくことが重要です。
本記事では、直近のセキュリティ事故の発生状況や具体的な事例と手口を紹介します。
セキュリティ事故を防ぐ第一歩は、まずは事故を知ることです。セキュリティ対策強化へ参考にしていただければ幸いです。
また、情報セキュリティ対策にはどんな種類があるのか知りたい、自身の情報セキュリティ理解度を把握したいという方は、16問で腕試しできるテストを無料で配布していますので、ぜひお試しください。
セキュリティ事故とは
情報セキュリティ事故とは、冒頭でもご紹介した通りサイバー攻撃や内部不正による情報漏えい、不正アクセス、ウィルス感染などのことを指していますが、大きく分けて「外部からの攻撃」と「内部不正」の2つがあります。
以下では、セキュリティ事故に関するデータを紹介します。参照して対策にご利用ください。
2023年第二四半期のセキュリティ事故に関するカテゴリ
一般社団法人JPCERTコーディネーションセンターは、「インシデント報告対応レポート2023年10月1日~2023年12月31日」として、四半期におけるインシデントをまとめて報告しています。
この報告によると、3カ月でのインシデント件は6,448件であり、前四半期の5,903件から約9%増加しています。
また、インシデントのカテゴリごとの件数は下記の通りでした。
| 10月 | 11月 | 12月 | 合計 | 前四半期合計 | |
|---|---|---|---|---|---|
| フィッシングサイト | 1,453 | 1,555 | 1,465 | 4,473 | 4,754 |
| Webサイト改ざん | 44 | 15 | 13 | 72 | 124 |
| マルウェアサイト | 19 | 19 | 15 | 53 | 89 |
| スキャン | 735 | 348 | 310 | 1,393 | 639 |
| DoS/DDoS | 1 | 0 | 0 | 1 | 3 |
| 制御システム関連 | 0 | 0 | 0 | 0 | 0 |
| 標的型攻撃 | 0 | 0 | 1 | 1 | 2 |
| その他 | 134 | 227 | 94 | 455 | 292 |
これらはJPCERT/CCに重大事故として報告された情報をまとめたものです。
取引先の名刺を落とした・メールを数通誤送信してしまったといった小規模の情報漏えいや、あるいはネットワークに大きくダメージを与えないようなマルウェアによる攻撃などを含めると、はるかに多くの件数が日常的に発生していることが推測されます。
多岐にわたるセキュリティ事故の種類
独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威 2024」を見ると、様々な情報セキュリティ事故が危険視されていることがわかります。
個人および組織の上位5脅威は下記でした。
| 個人 | 組織 | |
|---|---|---|
| 1位 | インターネット上のサービスからの個人情報 | ランサムウェアによる被害 |
| 2位 | インターネット上のサービスへの不正ログイン | サプライチェーンの弱点を悪用 した攻撃 |
| 3位 | クレジットカード情報の不正利用 | 内部不正による情報漏えい等の 被害 |
| 4位 | スマホ決済の不正利用 | 標的型攻撃による機密情報の窃取 |
| 5位 | 偽警告によるインターネット詐欺 | 修正プログラムの公開前を狙う攻 撃(ゼロデイ攻撃) |
以下では、いくつかの攻撃手法について詳細に紹介します。
標的型攻撃
標的型攻撃は、特定の企業・組織をターゲットにマルウェア感染などを促し、サイバー攻撃、不正アクセスを仕掛ける攻撃手法です。標的型攻撃では、メールを通じた攻撃(標的型攻撃メール)が一般です。
標的型攻撃メールにはどんな事例があってどんな文面があるのか、気になる方はこちらの資料をご覧ください。
ビジネスメール詐欺
ビジネスメール詐欺は、取引先を装って送金を求める・不正なリンクをクリックさせて、情報を詐取するなどの手口があります。
10大脅威の中でも「メールやSMS等を使った脅迫・詐欺の手口による金銭要求」と直接的に関係するだけでなく、様々な攻撃の入り口としても利用されることが多いため注意が必要です。
従業員がビジネスメール詐欺に対して適切な意識・リテラシーをもっていることが不可欠になります。
こちらも標的型攻撃メール事例・サンプル集で確認してください。
ランサムウェア
ランサムウェアはマルウェアの一種で、感染した端末(コンピュータやサーバ)の情報を暗号化し、これを盾にとって身代金の要求を行うサイバー攻撃です。
ランサムウェアに感染すると、各種の情報システムが停止してしまうため、被害は甚大です。
中小企業や官公庁、医療機関を狙った攻撃も増加しており、10大脅威でも組織編の1位にランクインしました。
また、ランサムウェアで要求された身代金を払ったとしても、多くの場合、暗号化された情報は元に戻してもらえないという話もあります。
サプライチェーン攻撃
企業や組織における新たなセキュリティ上の脅威として浮上しているのがサプライチェーン攻撃です。
「情報セキュリティ10大脅威2024」の第2位にもランクインしたこの脅威は、攻撃を仕掛けたい企業の業務委託先やサプライチェーンを踏み台にして、不正アクセスをするものです。
自社で対策を行っていたとしても、サプライチェーン上のどこかに隙があれば被害につながる可能性がある点がこの攻撃の難しいところです。
サプライチェーン全体で強固なセキュリティを築くことが必要となります。
セキュリティ事故の事例とは
情報セキュリティ事故の事例で、2023年に発生・報告されている事例をご紹介します。
情報通信業の内部不正による大規模な情報漏えい
NTT西日本は2023年10月17日に「お客さま情報の不正流出に関するお詫びとお知らせ」を掲載しました。
これによると、同社が業務委託をしていた株式会社NTTマーケティングアクトProCXの利用するコールセンタシステムを提供するNTTビジネスソリューションズ株式会社において、運用保守要員であった派遣社員が顧客の個人情報を持ち出し外部へ流出させたことが伝えられています。
当初報告時には 120万人分の情報とされていましたが、調査が進むにつれ被害状況はより大きいことが判明しています。
被害を受けた顧客では、株式会社山田養蜂場、森永乳業株式会社、株式会社NTTドコモなどがお詫びとお知らせを出しており、内部不正の影響の大きさが確認される事例となってしまいました。
大阪の病院でのサプライチェーン攻撃による被害
大阪急性期・総合医療センターでは、給食を納入している事業者経由での攻撃を受け、電子カルテシステムを含めた総合的なシステムが43日間停止するなどの大規模な被害を受けたことを報告しています。
直接的に病院のサーバーに攻撃を受ける前に、給食事業者が攻撃の対象とされ、そこから段階的に被害が広がったサプライチェーン攻撃の分かりやすい事例といえます。
港湾のランサムウェア被害
2023年7月に名古屋港統一ターミナルシステムがランサムウェアに感染し、名古屋港の港湾作業が丸2日以上停止する事態が発生しました。
また同じく2023年7月、電子機器、部品等を製造する大手メーカー、アルプスアルパイン社が北米現地法人のサーバーに不正アクセスを受けたこと、ランサムウェアへの感染被害を報告しています。
現地法人の従業員情報を含めた情報漏えいとともに、生産、製造にも影響がでる事態となりました。
大学への不正アクセス
ITシステムやインフラに対する不正アクセスと、それを発端とした流出も継続的に発生しているセキュリティ事故です。
2023年1月、東京大学大学院総合文化研究科・教養学部において、教員が標的型攻撃メールを端緒としてマルウェアに感染し、PCに不正アクセスを受け、教職員、学生、卒業生などの個人情報が最大合計 4,000件以上が漏えいした可能性があることを発表しています。
まとめ
ほんの小さな油断でも、大きな被害に繋がることがあるのが情報セキュリティ事故です。
サイバー攻撃は激しさを増し、手口の多様化も進むなど、ますます対応が難しくなってきています。
まずは事故事例を知り、セキュリティ対策を充実させるためにご活用ください。
