情報セキュリティ事故の事例7選。事故を防ぐ4つの対策も解説|東京のWEB制作会社・ホームページ制作会社|株式会社GIG
BLOG
ブログ
情報セキュリティ事故の事例7選。事故を防ぐ4つの対策も解説
2022-11-19 制作・開発
情報セキュリティ対策とは、企業の情報資産を外部から守ることに他なりません。そこには悪意ある不正アクセスや地震などの災害によるダメージから情報資産を守ることも含まれます。
しかし近年のサイバー攻撃は、巧妙化かつ複雑化しており、セキュリティ対策に割くべき予算も年々増加傾向にあります。もちろん、だからといってセキュリティ対策を怠るべきでないことは明らかです。
今回は、情報セキュリティ対策の重要性を、過去のセキュリティ事故の事例を確認しながら解説していきます。最低限必要な事故を防ぐための対策も合わせて紹介するので、いま一度セキュリティ対策を見直すキッカケにしてみてください。
過去の事例を知ることは情報セキュリティ対策につながる
情報セキュリティ事故による被害は、どのような企業でも遭遇する可能性があります。万全なセキュリティ対策を講じていても、リスクがゼロになることはあり得ません。
ただ、過去のセキュリティ事故の事例を少しでも把握しておくことで、事前に対策を立てることができます。ソフトウェアのセキュリティ対策なども重要ですが、従業員のささいなミスや不注意が事故につながった事例も少なくありません。
そのようなヒューマンエラーは、意識を変えれば防げる部分もあるはずです。事故による損害の大きさを知る意味でも、過去の事例を参照してみることをおすすめします。
情報セキュリティ事故の発生事例
ここからは過去の情報セキュリティ事故の事例を7つほど紹介します。ぜひ過去の事例を踏まえて、自社のセキュリティ対策の参考にしてください。
事例1. 公式SNSアカウントが乗っ取られる
| 項目 | 内容 |
| 事故の概要 | 某有名ゆるキャラのSNSのアカウントが乗っ取られ、同日に偽アカウントまで作成された |
| 被害 | すぐに被害にあったアカウントを閉鎖し、新アカウントに移行したが、このゆるキャラのアカウントは一時、「旧アカウント」「新アカウント」「偽アカウント」の3つが同時に存在する状態に。ゆるキャラの運営者や当時20,000人以上いたフォロワーまでもが大混乱に陥った |
| 原因 | 悪意のある第三者に公式アカウントのIDとパスワードを入手され、不正ログインを許した |
| 考えられる対策 | ・運用ルールを定め、IDやパスワードを適切に管理する |
最近、「著名人や企業の公式SNSなどのアカウントが乗っ取られた」というニュースを耳にしたことのある方も多いでしょう。この事例も、そういった事態を招いてしまった事件です。
特に、いわゆる「インフルエンサー」と呼ばれるレベルの影響力を持つようになると、乗っ取られた当事者だけでなく、多くのフォロワーやファンを混乱させる事態につながってしまいます。
多くの場合、パスワードやIDを何かしらの形で盗まれることで不正なログインを許してしまいますので、両者を適切に管理することが一番の対策となるでしょう。
事例2. 社員による内部不正や不注意での情報漏えい
■社員の内部不正による事例
| 項目 | 内容 |
| 事故の概要 | 外食チェーンからの転職者が、同業種の前職で得た社外秘情報を転職先へ提供していた |
| 被害 | 前職で取締役を務めていた転職者が、競合他社の社長に就任する前後に、前職からの社外秘である売上データを転職先に提供していた。事件に関わった社長と他1名の関係者が不正競争防止法違反の疑いで逮捕された |
| 原因 | 役職者へのコンプライアンス教育の徹底がなされていなかった。また役職者ゆえに社外秘データにもアクセスする権限があった |
| 考えられる対策 | ・役職者に対してもコンプライアンス教育を徹底する ・アクセスログなどの監視システムを導入する |
この事件は近年の情報漏えい問題のなかでも特に話題になったもので、ニュースなどで耳にした記憶のある方も多いのではないでしょうか。
顧客情報や技術情報を手土産として、転職先に提供する行為は「手土産転職」とも呼ばれています。こういった用語が生まれる程度には一般的な行為ですが、言うまでもなく立派な不正行為で、犯罪でもあります。
社員に限らず、役職者へのコンプライアンス教育も徹底したうえで、役職者といえどもアクセスログなどを参照し、監視するシステムが必要なことを示した事件でもありました。
■社員の不注意による事例
| 項目 | 内容 |
| 事故の概要 | ある自治体で、全市民の住民基本台帳の情報などが入ったUSBを紛失した |
| 被害 | 業務委託先(再々委託先)企業の社員が紛失したものの、大きな被害は出ずUSBは無事発見された。ただし、自治体や委託先企業の情報管理の甘さが世間から大きく批判された |
| 原因 | USBにデータを移す作業を終えたあと、当該社員たちは居酒屋に立ち寄り、3時間にわたり飲食。最寄り駅での解散後、USBを持っていた再々委託先の社員は深夜まで路上で寝込んでしまい、かばんごと紛失した。委託先企業では、作業終了後は速やかな帰社が求められていたが、ルールが守られていなかった |
| 考えられる対策 | ・機密情報の管理を徹底する ・管理システムを強化する ・社員に対する情報リテラシー教育を徹底する |
こちらも2022年に非常に大きなニュースとなった一件。USBの紛失は具体的な被害につながらなかったものの、情報管理の甘さが世間から猛批判を浴びることになってしまいました。
情報漏えいが発覚した場合、今回のように直接的な被害が出なくても、組織の社会的信用は失墜してしまいます。また、損害賠償などにより、組織に多大な損害を与えることにもつながりますので、機密情報の取り扱いには細心の注意を払いましょう。
事例3. 自動車メーカーでのランサムウェア被害
| 項目 | 内容 |
| 事故の概要 | 大手自動車メーカーの一次請けである自動車部品メーカーが、ランサムウェアの被害に遭った |
| 被害 | 大手自動車メーカーでは、国内全14工場・28生産ラインを1日ストップさせ、約1万3000台の生産に影響が出た |
| 原因 | 最初に攻撃を仕掛けられたのは自動車部品メーカーの子会社で、リモート接続機器の脆弱性が突かれた。そこを足がかりに、自動車部品メーカーのネットワークに侵入し、サーバーにランサムウェアを設置したことから、被害が拡大した |
| 考えられる対策 | ・セキュリティ対策に経営陣も積極的に関与する ・復旧までを見据え、サイバーレジリエンスを向上させたセキュリティを構築する |
サイバーレジリエンス:サイバーセキュリティー・インシデントに対する企業の防止力、耐性力、回復力のことを指す。事業の継続性や情報セキュリティ、組織の回復力などをひとまとめにした概念
自動車の製造ラインに甚大な被害が出たこの事件で用いられた攻撃スタイルのことを「サプライチェーン攻撃」と呼びます。
サプライチェーンとは、原料の調達から商品の製造、流通を経て消費者に届くまでの一連の流れのことを指しますが、攻撃者はこうしたつながり(チェーン)を狙い、取引会社や関連会社を通じて不正アクセスを行います。
セキュリティ対策という面で言えば、大手企業だけでなく、大手企業と取引のある中小企業も同様のセキュリティリスクにさらされていることを示す事例でしょう。
事例4. 病院でのランサムウェア被害
| 項目 | 内容 |
| 事故の概要 | ある病院にてランサムウェア「Lockbit 2.0」が情報システムへ侵入。電子カルテや院内LANが使用不可となるセキュリティ事故が発生した |
| 被害 | 入院患者などへの影響は最小限に抑えられたが、電子カルテが使えないため、外来患者を一時受け付けられない事態に。システムの完全復旧に2日を要した |
| 原因 | ランサムウェア感染の原因は、VPN機器とみられている。このVPN機器は2019年にソフトウェアの脆弱性があることが公表されており、修正プログラムが配布されていた。しかし被害を受けた病院では、修正プログラムが適用されていなかった。このことから、VPN機器からランサムウェアの侵入を許したと考えられる |
| 考えられる対策 | ・最新のセキュリティパッチがあてられたVPNを使う ・こまめなパスワード変更を行う |
VPNとは、「Virtual Private Network」の頭文字を取った略称で、日本語に直訳すると「仮想専用線」という意味になります。インターネット回線を利用して、社外から社内ネットワークにアクセスできるVPNは、今やビジネスシーンではなくてはならない存在です。
しかし、社外から社内ネットワークに接続する性質上、どうしても攻撃者に狙われやすくなります。警察庁の発表によると、2022年の1月~6月の半年間で、感染経路が判明しているランサムウェア被害の約7割が、VPNからの侵入とされています。
VPNに対するセキュリティ対策は必須といえるでしょう。
事例5. 仮想化ソフトウェア製品への攻撃
| 項目 | 内容 |
| 事故の概要 | ある仮想化ソフトウェアの製品をきっかけとした、情報漏えいやランサムウェアの感染被害が発生した |
| 被害 | オープンソースのソフトウェア「Apache Log4j」の脆弱性「Log4Shell」が悪用された。この仮想化ソフトウェア製品を使用しているユーザーは、感染した端末からの情報漏えいや、情報漏えいの数日後にランサムウェアへ感染するなどの被害が発生した |
| 原因 | 攻撃手順は「Log4Shell」を悪用した後に、PowerShellコマンドを使用して攻撃対象のネットワークを検出し、不正なDLLを実行させるというもの。「Apache Log4j」は、Webサーバとして多く活用されているApacheに標準で組み込まれている。このことから、攻撃の影響範囲が非常に広くなった |
| 考えられる対策 | ・公開されたパッチは必ず適用する |
古くから世界中で愛されてきたオープンソースソフトウェア「Apache」にまつわる脆弱性を悪用されたことで、この事件は発生しました。オープンソースソフトウェアはソースコードが公開されており、うまく使いこなせば非常に便利なツールです。
一方、利便性ゆえにセキュリティ意識の低いユーザーが多いことから、脆弱性を突かれた攻撃により甚大な被害が発生しやすい側面もあります。
開発者も脆弱性が発見されればそれを対策するセキュリティパッチを公開しますが、実際はパッチが公開されているにもかかわらず、アップデートを放置している企業も多いのが実情です。常に最新のセキュリティパッチを適用するよう心がけましょう。
事例6. オンラインショップの顧客情報漏えい
| 項目 | 内容 |
| 事故の概要 | オンラインサイトのシステムへ不正アクセスされ、会員情報を盗み取られた |
| 被害 | 会員の住所や氏名、電話番号、購入履歴のほかに、クレジットカード番号まで参照できる状態に。オンラインサイトから大量の個人情報が漏えいした |
| 原因 | 会員ページの入り口にあるログインページにて、ユーザID入力欄にコマンドを含む特殊な文字列を入力できる「SQLインジェクション」という手法が使われた |
| 考えられる対策 | ・オンラインサイトとデータベースのセキュリティ更新アップデートの運用を見直す ・セキュリティアーキテクチャを見直す |
SQLインジェクション:アプリケーションの脆弱性により本来の意図ではない不当な「SQL文(データベースを制御するための命令文)」が作成されてしまい、データベースのデータを不正に操作される攻撃のことを指す
大量の顧客の個人情報が流出するという、甚大な被害が発生したこの事件。用いられたのは「SQLインジェクション」という攻撃手法です。ログインページの脆弱性を突かれたことで、パスワードを知らなくても、会員ページにログインできる状態ができてしまいました。
この攻撃をされると、パスワードやユーザーIDを複雑にしていても意味はありません。ただ、メジャーな攻撃手法としても知られているので、セキュリティ更新アップデートなどを適切に行えば、十分に防げる攻撃ともいえます。
事例7. クラウドサービスに預けていた重要データが消滅
| 項目 | 内容 |
| 事故の概要 | コスト削減を目的に、クラウドサービスのひとつであるレンタルサーバーサービスを利用していた中小企業A社の重要データが消失した |
| 被害 | 重要データはレンタルサーバー内にしか保存しておらず、A社側でバックアップも取得していなかったため、データが完全に消滅した |
| 原因 | 利用規約をよく読まず、自主的なバックアップなどを一切取得していなかった |
| 考えられる対策 | ・バックアップは別で取得する ・サービス停止時の代替手段などもあらかじめ用意する ・利用規約を読み込み、事故発生時の責任の所在や対応策を確認しておく |
レンタルサーバー内の重要データが完全に消失するという、想像しただけで背筋が凍る事件です。
このA社はデータのバックアップや復旧責任がレンタルサーバー事業者にあると考えていたようですが、利用規約を読み返してみると、データのバックアップや復旧は最終的にはユーザーの責任であると記載されていました。
もちろん、データを消失させた事業者の責任は甚大です。しかし、A社も不測の事態を想定し、バックアップや非常時の対応などを準備していなかったという点で落ち度がありました。
情報セキュリティ事故を防ぐために重要な4つの対策
情報セキュリティ対策に関して言えば、「発生してから徹底します」は「絶対NG」です。事故を発生させないことが何よりも大切で、それには事前の予防が必要です。
最後に、情報セキュリティ事故を事前に防ぐために、これだけはやっておきたいと筆者が思う対策を4つ紹介します。
対策1. 情報資産を把握し、管理体制を見直す
情報セキュリティ事故の対策では、まずは守るべき情報資産を明確にすることが求められます。
「そんなことわかっているよ!」と思うかもしれませんが、筆者の経験上、とくに中小企業では明確にできていないケースが多いと考えています。
情報資産を明確にできたら、管理体制を見直し、脆弱性がないかをチェックします。
委託先のエンジニアなどがPCを持ち込むケースなど、自社で管理していないデバイスがある場合、社内ネットワークには絶対に接続させないなどのルール作りも大切です。
また、貸与したデバイスの持ち出しルールや保管方法、廃棄方法なども明確にしましょう。ルールが周知されれば、社員の情報セキュリティへの意識を高めることにもつながるはずです。
対策2. ハード・ソフトのセキュリティを強化する
ハード・ソフトウェアともにセキュリティの強化を行うことも有効な対策となります。
最新のOSやソフトウェアを使用し、アップデートは欠かさずに行いましょう。OSやソフトウェアなどの脆弱性を解消するセキュリティソフトを利用することも選択肢のひとつです。
最近では、コロナ禍の影響でテレワークが浸透してきますが、テレワークに不可欠なのがVPNです。事故事例でもVPNから攻撃者の侵入を許すケースを紹介した通り、VPNには最新のセキュリティパッチをあてることも忘れてはいけません。
また、重要な情報資源には、アクセス権限やログイン制限を設けてセキュリティレベルをさらに上げます。 それでも、上記のように権限のある人物が「手土産転職」を行うケースもありました。対策としては、役職員へのコンプライアンス教育を徹底したうえで、アクセスログなどの監視システムの導入も不可欠でしょう。
対策3. 全社員へセキュリティ教育を実施する
情報セキュリティ事故の対策には、従業員に対するセキュリティ教育も不可欠です。どのような脅威があり、どのような被害に遭うのかを周知します。
大手企業では、情報セキュリティ教育は浸透してきている印象です。自社の社員だけでなく、派遣社員や委託先社員などにも、同様の情報セキュリティ教育を行っているところも多く存在します。
事故事例でも紹介したように、委託先企業の社員の不注意で情報漏えいにつながることもあります。「委託先企業だから関係ない」では済まされません。全従業員、派遣社員、委託先社員など、雇用形態などを問わずにセキュリティ教育は徹底したいところです。
「不審なメールは開かない」「定期的にバックアップを行う」「パスワードは適切に管理する」など言葉にすれば簡単なことばかりですが、できていない人も多いのが実情です。ルールが浸透するまで、何度でもセキュリティ教育は繰り返しましょう。
対策4. 事故発生後の対応フローを明確にする
情報セキュリティ事故の対策を万全に行っていたとしても、事故が発生する可能性はゼロではありません。仮想化ソフトウェア製品への攻撃など、こちらでは防ぎようがないケースもあります。
そんな時にパニック状態にならないためにも、あらかじめ事故発生後の対応フローを決め、社内に周知しておくことは大切です。
以下の例が、事故発生後の基本的な対応フローです。まずは下記の内容だけでも決定・周知することをおすすめします。
1. 情シスなど情報セキュリティ担当者へ速やかに報告する
2. 社内ネットワークをすぐに外部と切り離す
3. 情報セキュリティ事故の内容と現状を把握する
4. 問題箇所の復旧対応をする
5. 分析結果を社内で共有し、防止策を徹底する
6. 取引先や顧客、株主などステークホルダーへ丁寧に説明する
情報セキュリティ対策はGIGにお任せください
「うちに限って情報漏えいやランサムウェアの被害にあうことはないだろう」誰もがこう思っています。ですが、本当にその油断は禁物です。こういった事故は、自然災害と同じで忘れた頃にやってきます。
情報漏えいやウイルス感染などは、絶対に起こしてはいけません。起こさないためにも予算や計画をしっかりと立て、セキュリティ対策はまんべんなく実施する必要があります。
しかし「どのような対策が自社にとって本当に効果的なのか」の判断は難しい部分でもあります。株式会社GIGは、Web制作、Webマーケティング、コンテンツ制作、サービス開発、保守運用など、Web戦略をトータルで支援するデジタルコンサルティング企業です。情報セキュリティについてご支援が必要な場合は、ぜひGIGにお問い合わせください。
■株式会社GIG
お仕事のお問い合わせはこちら
会社紹介資料のダウンロードはこちら
採用応募はこちら(GIG採用サイト)
採用応募はこちら(Wantedly)
■サイト保守事例
三菱UFJIP - コーポレートサイト制作・多言語サイト制作
ミクシィ - コーポレートサイト制作 / デザイン・保守運用
トレタ - リクルートサイト制作 / システム開発 / インフラ保守
WebやDXで困っている方、お気軽にご相談ください
GIG BLOG編集部
株式会社GIGのメンバーによって構成される編集部。GIG社員のインタビューや、GIGで行われたイベントのレポート、その他GIGにかかわるさまざまな情報をお届けします。
SHARE
