情報セキュリティ事故とは？
5つの事例や対応方法・対策など総まとめ

情報セキュリティ事故とは、外部からのサイバー攻撃や不正アクセス、内部不正による情報漏洩などを指します。デジタル化や通信手段の発展によって、企業だけでなく個人でもコンピュータやネットワークの利用が日常的に行われるようになりましたが、これに伴い情報セキュリティ事故の発生が増加しています。

情報セキュリティ事故が起きてしまうと自社はもちろんですが、その影響の範囲は取引先、顧客、さらに二次被害にあう可能性のある第三者にまで及びます。情報セキュリティ事故の防止は、企業における重要課題です。これらを防ぐための第一歩として、事故の原因や対策方法を理解することが肝要です。

情報セキュリティ事故が発生する原因にはどのようなものがあるのでしょうか。大きく分けて、外部要因と内部要因に分けられます。外部要因はいわゆる「サイバー攻撃」と呼ばれるもので、内部要因は主に従業員などの故意や過失によって生じます。

〈外部からの攻撃によるもの〉

●マルウェア感染

フィッシングメールや悪質な偽サイトなどさまざまな感染経路から、マルウェアが仕掛けられたファイルなどをダウンロードして感染が広がります。近年猛威をふるうサイバー攻撃「ランサムウェア」もマルウェアの一種です。

●不正アクセス

不正にIDやパスワードを入手する、脆弱性を突いてハッキングするなどの手口で、システムやデータベースに侵入し、データの改ざんや情報の窃取を行います。

●Dos攻撃

サーバやWebサイトに大量のデータやアクセスを送信し、負荷をかけることによってアクセスを阻害したり、ネットワーク障害を起こしたりします。対象となった企業は金銭的な被害に加え、社会的なダメージを受けることになります。

●サプライチェーン攻撃

ビジネスにおける企業間のつながりを悪用したサイバー攻撃の手法です。セキュリティ対策のレベルが低い子会社や取引先などの脆弱性を突いて「踏み台」とし、ターゲットの企業などに侵入します。

〈内部の故意または過失によるもの〉

●情報漏洩

従業員が不正に機密情報や個人情報にアクセスし、外部に流出します。転職の際に持ち出して悪用する場合もあります。

●アカウントの乗っ取り

社内のネットワークの管理者など権限を持つ人のアカウントを盗み出し、管理者になりすましてデータの窃取や改ざんなどを行います。

●メール誤送信

メールアドレスや添付ファイルを間違えるメールの誤送信によって、機密情報や個人情報が外部に流出します。メールマガジンなどの設定ミスにより、すべてのメールアドレスが閲覧できる状態になるケースもあります。

●紛失・盗難

パソコンやスマートフォンといったデバイスや、USBメモリなど記憶媒体の紛失や盗難によって、情報漏洩が発生します。個人情報が入った記憶媒体を紛失するケースは特に多く、たびたびニュースなどにも取り上げられています。

情報セキュリティ事故が発生すると、事故そのものの被害だけでなく、顧客や取引先などにも被害が拡大する恐れがあります。金銭的な被害に加え、信用を損なうこともあります。

大規模な被害が生じるサイバー攻撃

サイバー攻撃による情報の漏洩、紛失、あるいは改ざんなどの情報セキュリティ事故が生じると、自社だけでなく取引先の企業やその顧客などに被害が及ぶ可能性があります。さらに、インターネットを通じてまったく無関係の第三者にも被害が拡大する恐れがあります。
企業は関係先への連絡、謝罪はもとより、情報拡散の防止、保全対策など、復旧活動に奔走する必要があります。その費用は事故の規模に比例して大きくなり、損害賠償などによって会社が存続の危機にさらされる可能性も考えられます。社会的な信用を失い、最悪の場合は事業免許の取り消しに至ることもあります。

業務の停止などによる経済的損失

マルウェア（悪意あるプログラムの総称）による攻撃や、社内での過失によって重要なパスワードが漏れてしまった場合など、業務そのものが停止してしまう可能性があります。ネットワークによるインフラが整っている今日では、メール送受信の停止、Webページの閉鎖などの影響が生じます。これにより、本来の事業活動で得られるはずの利益が得られず、大きな損失を被ることになります。
事故を起こした企業は、迅速に事故の原因究明をしなければなりません。そのうえで対策費用、改善費用といったコストがかかり、経済的な負担も大きくのしかかってきます。

ここからは情報セキュリティ事故の事例を5つ紹介します。具体例を知ることで、よりリアルに対策の重要性を認識いただけるのではないでしょうか。

事例1：重要データの入ったUSBメモリ紛失

地方自治体（市）から業務委託を受けていた事業者の従業員が、住民の情報の入ったUSBメモリを外部に持ち出し、立ち寄り先で鞄ごと紛失するという事故が起きました。USBメモリは暗号化されており、情報が流出したという事態には至りませんでした。市はこの事故を重く受け止め、データの持ち出しに対する規制の徹底、高い安全性を確保した搬送方法の導入、個人情報保護の重要性を周知するなどの対策に取り組みました。

事例2：従業員による情報の不正持ち出し

ある通信会社を退職した従業員が、新サービスに関する情報を不正に持ち出し、ライバル会社に転職しました。機密情報を漏らしたとして、不正競争防止法違反の疑いで逮捕される事件が発生しました。これは「手土産転職」と言われる内部不正による情報漏洩で、正規の権限を付与されている従業員による故意の持ち出しは、通常のアクセス制御などで防ぐことは困難です。同社は情報管理の再強化や退職予定者のアクセス権限の停止と利用権限の強化、利用ログの監視システム導入などを実施しました。

事例3：委託先の過失による個人情報漏洩

大手自動車メーカーで、子会社に取り扱いを委託していたユーザー向けのサービスに関連する個人情報が、約10年間外部から閲覧できる状態になっていたことが判明し、大きなニュースになりました。個人情報保護委員会は同社に対して問題点を挙げ、「適切な従業員教育の実施」「適切なアクセス制御の実施」「委託先に対する適切な監督」などを求めました。

事例4：相次ぐ「ランサムウェア」による攻撃

2023年6月上旬、大手文具メーカーが、同社グループの情報システムに対してランサムウェアによる攻撃を受けたことを発表しました。基幹系の会計システムをはじめとする複数のシステムおよびパソコンで被害が生じました。顧客や従業員に関する個人情報約186万件が流出した可能性があるとして、対象者への通知を行いました。実際には情報漏洩の可能性は低いとしつつも、不正アクセスの防止策を講じるとともに、適切な情報管理に対して外部の専門家と検討し、継続的な強化を実施するとしています。

事例5：多発するマルウェア「Emotet」の脅威

ある通信販売サイトでは、従業員に貸与したパソコンがこのマルウェアに感染しました。顧客のメール情報が流出し、その情報をもとに、ウイルスが含まれた不正メールが多数送信されました。Emotet は2014年に初めて確認され、現在も被害が多発しているマルウェアの一つで、多くの会社のパソコンが攻撃を受け、Zipファイルの転送や、なりすましメールの送信といった被害が報告されています。これまでにも、収束してはすぐに活動再開が確認されており、常に新しい手口で攻撃を仕掛けてくるという特徴もあります。

万が一、情報セキュリティ事故が起きてしまった場合には、迅速な対応が求められます。対応が遅くなるほど被害が拡大するため、事前に事故発生に備えて体制構築を行います。そのうえで、事故が起きた際には早急に上司や担当部門などに報告し、適切な処置を施すことが重要です。

●事故発生時の対応方法

事前に体制やルールを決めていても、実際に情報セキュリティ事故が起きると手順通りにはいかないこともあります。例えば、復旧のために業務をいつまで、どの範囲まで止めるのかなどの判断は、担当部署や担当者ではなく、経営者の判断が求められます。

情報セキュリティ事故を防ぐために必要な対策にはどのようなものがあるでしょうか。企業・個人でそれぞれにできる対策方法を以下にまとめました。

企業、個人でできる対策はいずれも日ごろから意識して行うことが重要です。特に、従業員への情報発信や研修の実施、適切なツールの導入は、リテラシーを高めて過失による事故の発生を減らすことに加え、生産性の向上にもつながります。

ここまで、情報セキュリティ事故の原因とそのリスク、情報セキュリティ事故の事例、企業および個人ができる対策方法などを紹介してきました。すでにご存じのように、コンピュータウイルスは年々新しいものが登場し、サイバー攻撃の手口も巧妙化しています。これまで安全だった情報セキュリティ対策が、これからも安全だとは限りません。また、人為的なミスによる事故も、「まさか」と思うようなタイミングで起きます。企業の経営者としては、社内外のさまざまな脅威に対して、しっかりと備えておくことが大切です。

サクサは、課題解決のための最適な提案を通して、中堅・中小企業のサポートをさせていただきます。ぜひお気軽にご相談ください。
また、最新セキュリティレポートや情報漏洩対策チェックリストなど、さまざまなお役立ち資料もご提供していますので、ぜひご活用ください。