情報セキュリティ事故は、サイバー攻撃や内部不正による情報漏洩・不正アクセス・ウイルス感染などのことを指します。
金銭的賠償の観点でも、情報管理の体制に対する信頼も傷つけてしまうこれらの事故について、最新の傾向・手口および被害件数を知って対策しておくことは被害の予防に意味を持っています。
そこで、今年発表された資料をもとに、情報セキュリティ事故の事例についてご紹介します。御社の情報セキュリティ事故の予防にぜひお役立てください。
また、IPAの情報セキュリティ10大脅威にも毎年ランクインする標的型攻撃メールの事例・サンプル文面をまとめた資料を無料で配布しています。全編解説付きです。ぜひご覧ください。
セキュリティ事故とは
情報セキュリティ事故とは、冒頭でもご紹介した通りサイバー攻撃や内部不正による情報漏えい、不正アクセス、ウィルス感染などのことを指していますが、大きく分けて「外部からの攻撃」と「内部不正」の2つがあります。
一般社団法人 JPCERT コーディネーションセンター(JPCERT/CC)は2020年7月14日、2020年4月1日〜6月30日までの四半期における、インシデントについてレポートをまとめ発表しています。
同レポートによると、前四半期の6,361件より60%増加した10,416件でした。
インシデント報告関連件数
| 4月 | 5月 | 6月 | 合計 | 全四半期合計 | |
|---|---|---|---|---|---|
| 報告件数 | 3,105 | 3,256 | 4,055 | 10,416 | 6,361 |
| インシデント件数 | 2,221 | 2,277 | 2,625 | 7,123 | 5,509 |
| 調査件数 | 1,480 | 1,173 | 1,548 | 4,201 | 4,107 |
これらは重大事故を統計にまとめたものです。
取引先の名刺を落とした・メールを数通誤送信してしまったといった小規模の情報漏洩や、あるいはネットワークに大きくダメージを与えないようなマルウェアによる攻撃などを含めると、はるかに多くの件数が日常的に発生していることが推測されます。
多岐にわたるセキュリティ事故の種類
独立行政法人情報処理推進機構(IPA)が公開している「情報セキュリティ10大脅威」を見ると、様々な情報セキュリティ事故が発生しています。
例えば、「情報セキュリティ10大脅威」2020年度版では、組織の脅威として10のセキュリティ脅威がランクイン。1位は標的型攻撃、2位は内部不正、3位はビジネスメール詐欺となっています。
標的型攻撃
標的型攻撃は、ウィルス・マルウェアなどと呼ばれる、不正な動作をするプログラムをネットワーク上にメールやWebサイトを通じて侵入させ、情報漏洩や、社内ITサービスの停止を呼び込むサイバー攻撃の一つです。
外部からリモートコントロールや通信のコントロールを行うことも多いことが知られています。
標的型攻撃については、こちらの資料に詳しくまとめてありますので、ぜひ本記事と併せてご活用ください!
防御をファイアーウォールやWAFにより行うことや、侵入検知を早期に行い、万が一の侵入があったら、ネットワークから被害に遭った端末等を切り離すなどの対策が必要となります。
ファイアウォールに関しては、こちらの記事を、WAFに関してはこちらの記事をご参照ください。
内部不正
内部不正の予防については、規則で罰則を定めることが必要なのはもちろんです。しかし、評価で情報セキュリティを起こさせないように業務を行うこと、異常を通報することに対するインセンティブを定めることや、十分な教育・訓練を行うことがそれ以上に重要です。
入社時の誓約書~昇進時などのセキュリティ教育・研修の必須化~退職時の誓約書を取るまで、こまめで一貫した人に対する方策をとることが求められます。
内部「不正」が2位とはショッキングかもしれませんが、不正も故意・過失双方のものが考えられます。事故や異常を申告しやすい体制を作っておくことも重要です。
ビジネスメール
ビジネスメール詐欺は、取引先を装って送金を求める・不正なリンクをクリックさせて、情報を詐取するなどの手口があります。
送信元が不明なメールは開けない事の徹底や、不自然な文面に対する啓発など、やはり人に対する手当が予防上は重要なポイントとなります。
セキュリティ事故が企業に及ぼす影響
さて、情報セキュリティ事故が起こった場合は、企業に対してどのような影響が起こるのでしょうか。
自社・取引先・顧客、さらに二次被害にあう可能性がある第三者に対して、業務の停止および情報の紛失・改ざん・漏えい等によりそれぞれ大きな影響があります。
業務の停止
セキュリティ事故が発生すると、業務の停止が考えられます。
マルウェア攻撃で、情報漏洩が生じていないケースでは業務の停止に関して経済的な損害が生じますし、内部でのいたずら・過失や故意による適切なパスワード設定の漏れなどがこうした業務の停止の要因になります。
情報漏洩を伴うマルウェアの攻撃などの場合でも、業務の停止がやはり被害の一部となります。
セキュリティ事故においては、ITインフラにおいてはネットワークの停止、メール送受信の停止、Webページの閉鎖などの影響が直接的に生じ、これらを使った事業活動の停止を招く事象が生じます。
この場合は、自社の得るべきだった利益、逸失利益がおもな経済的な損害になります。
事故の原因究明・対策費用、情報システムの原状回復費用、改善費用といったコストがかかる点においても、事故発生企業には負担となります。
さらに、情報の紛失・改ざん・漏えいが生じると、次に説明するようにさらに大きな負担を事故発生企業は負担することになります。
情報の紛失・改ざん・漏えい
情報の紛失・改ざん・漏えいにより、生じる被害は自社だけでなく、情報の主体である顧客・取引先・さらにアンケートで情報を取得したことがある第三者や、情報管理システムを他社と共有しているような場合は、当該他社はもちろん、その顧客等の第三者にも被害が及びます。
さらに、サイバー攻撃の場合には、まったく無関係の第三者にも、インターネットを通じて被害を拡大する恐れもあります。特にサイバー攻撃などの技術的な攻撃方法により、システムに対するダメージ・不正アクセスが伴うと、こうした被害が大規模に生じやすいのです。
情報の紛失・改ざん・漏えい事故が生じた後は、事業の停止も考えられますし、さらに関係先への連絡・お詫び・情報拡散の防止・情報の保全対策など、事故からの回復の過程は非常に長くかかることがあります。
回復にかかる費用のほか、取引先・顧客・関係した第三者に対する損害賠償・謝罪のための費用など、費用の負担は事故の規模に比例して大きくなります。損害賠償請求のおかげで、会社の存続までもが危うくなる場合もあります。
情報漏洩事故は、監督官庁からの事業免許の取り消し・停止、行政指導による業務停止の原因になりますし、大事故では社会的信用の喪失、ブランドイメージの毀損、風評の悪化、株価下落売上の減少と悪影響は広がりがちです。
業績悪化に加え、社内のモラル・従業員の不満も貯まりやすくなります。特に事故対策には過重労働が生じるケースも多く、従業員の健康にも影響がありうるほか、離職の原因になることにも注意したいものです。
セキュリティ事故の事例とは
情報セキュリティ事故の事例で、2020年に報告されている事例をご紹介します。
Emotetの被害が多発
東京の通信販売サイト「ひらまつオンライン」では、お食事券を申込んだ消費者のメール情報流出2800件が報告されています。
弊社従業員に貸与した パソコン2台が Emotet と呼ばれるコンピューターウィルスに感染し、当該コンピュータ内 に記録されたメール情報が流出する事態が発生いたしました。お客様各位にも、流出した メール情報をもとに、コンピューターウィルスが含まれた不正メールが多数送信されたことを 確 認してお ります
「株式会社ひらまつ ウィルス感染緊急対策本部名」10月20日プレスリリースより引用
2020年、多発しているのがこのEmotetの感染です。
2019年ごろから感染と事故事例が確認されていますが、感染したPCから、メールや、添付ファイル情報を外部に転送させたりして、情報の漏えいを招くウィルスです。より詳しくご存じになりたい方は、ぜひ以下の記事もご参照ください。
Emotetに関しては、京セラ、鳥羽洋行、大多喜ガスなどで、従業員のPCにウィルス感染、その後ウイルス付きZipファイルを転送したり、なりすましメールを送信するなどの被害報告がありました。
大多喜ガスの事例では、協力企業のPCが感染しており、ウィルス対策では協力会社・外注等の情報セキュリティ管理体制のチェックもネットワークでつながれて一緒に仕事をするため、必須であることが理解できます。
被害を防ぐには、同僚からの不審なメール転送があることや不審なZipファイルがあったら絶対に開かず、IT・情報セキュリティ部門に通報することが大事です。
Emotetについては「Emotetとは?その特徴や最新の動向、対策について解説」で詳しく説明しています。あわせてお読みください。
口座不正利用事件の発生
大きく報道された「ドコモ口座」事件では、なりすましによる銀行口座の利用と、その口座からのドコモ口座への不正な送金により、多数の被害が出ています。122件、2797万円の補償が完了していますが、本人確認の不十分さと、銀行口座アクセスのための認証方式の不十分さが重なって被害につながったものと考えられます。
システムへの二段階認証・多要素認証の導入や、本人確認の厳格化(ドコモ口座はメールアドレスだけで開設が可能だった)など、銀行やポイントサイト以外でも情報セキュリティ体制につき、チェックを促す事例です。
類似事例では、GMOクリック証券で不正な149万円の出金が確認され、取引システムのログインに際しては、二段階認証実装予定とされています。
内部不正関連事例
内部不正(過失も含みます)の関連では、BCCに930名のアドレスが入った過去メールをテンプレ使用していたことを原因とする情報漏洩(株式会社ルクールプラス)、裏紙再利用で個人情報漏えいの事例(大阪市福祉局)が発生しています。
これらの事例は内部規定・業務手順書などのルール違反が推測されますが、どの企業でも発生しうる事例です。規定の順守状況の確認・教育啓蒙を欠かさないようにしたいものです。
まとめ
以上、ご紹介した通り、年々コンピューターウィルスは新種のものが登場し、今まで大丈夫と思ってきた情報セキュリティ体制も今後安全であるとは言い切れません。
また、人から生じる情報セキュリティ事故も、誰でもいつでも起こしうることと考えて対策しておくことがポイントです。
どの企業に対しても、脅威があるものとして対応することが求められますので、どの企業でも定期的な体制のチェックは、情報セキュリティ事故防止のための重要課題、ひいては経営上の重要課題として取り組むことをおすすめします。
