情報セキュリティの最新トレンドは?
2023年の情報セキュリティ対策を解説します!

2023年に入っても情報セキュリティに関連する被害や事故が絶えません。マルウェアによる攻撃、不正アクセス情報漏洩など、ひとたび被害が出てしまうとその影響は計り知れず、あらゆる面で大きな損失に繋がります。今回は、情報セキュリティの最新トレンドと代表的な脅威について解説し、実際に企業で起きた事故もいくつか振り返ります。これらを元に今後の方針・対策はどうすればよいのか、ベストな方法を検討する参考にしてください。

今回のお悩み
最新の情報セキュリティ事故やサイバー攻撃などの状況を把握し、自社における情報セキュリティ対策の参考にしたい。

私が解説します!
2023年に発生した情報セキュリティ事故を、具体的な事例とともに紹介します。今後の対策を検討するうえで、ぜひお役立てください。

( 1 ) 〈最新〉2023年に話題になっている企業を狙う2つの脅威

世の中のIT化やビジネスのDX化に伴い、セキュリティインシデント情報漏洩は年々増加傾向にあります。その被害は社内にとどまらず、社外におよぶことも少なくありません。まずは世間を震撼させ、今も継続している2つの脅威について解説します。

2023年10大脅威第1位の「ランサムウェア」

IPA(独立行政法人 情報処理推進機構)が発表した「情報セキュリティ10大脅威2023」において、組織編の1位に「ランサムウェアによる被害」が3年連続で選定されました。
ランサム(Ransom)とは英語で「身代金」の意味。つまりランサムウェアとは身代金を要求するマルウェアのことです。主な感染経路はメールで、メールに添付されているファイルを開いたりリンクにアクセスしたりすることでランサムウェアがダウンロードされ、感染します。ランサムウェアに感染するとPCなどに保存されているデータが暗号化されて使えない状態になり、データを復旧する見返りとして金銭が要求されるのです。
さらに近年では、搾取された重要情報を公開すると脅す「二重脅迫」、被害者の顧客や利害関係者に連絡すると脅す「四重脅迫」も確認されています。

従来、ランサムウェアによる被害は不特定多数のユーザーを狙ったものが多かったのですが、ここ数年は特定の企業・組織をターゲットにした標的型メールが増えています。被害報告は事業規模を問わず発生しているものの、その多くが中小企業の脆弱性を狙った攻撃と指摘されています。

参照:IPA 独立行政法人 情報処理推進機構「情報セキュリティ10大脅威 2023」

何度も活動を繰り返すマルウェア「Emotet」

Emotet(エモテット)は、大変高い感染力と拡散力を持つマルウェアの一種で、2014年に初めて検出されました。2021年に入っていったんその脅威は去ったように思われましたが、同年11月に活動再開のニュースが報じられ、2022年2月には日本国内においてEmotetの攻撃および感染が拡大、IPAも注意喚起を呼びかけるほどになりました。
主な感染経路はメールですが、偽装が巧妙なため、うっかりだまされて添付ファイルを開いてしまう人が後を絶ちません。また中小企業を「踏み台」にして大手企業を狙うケースも増加。中小企業は大手企業に比べてセキュリティ対策が十分でない可能性が高いため、攻撃者は侵入しやすいと考えるのです。
Emotetに感染すると、機密情報が盗まれる、社外に感染が広がる、ほかのマルウェアの媒介も行うなど、取引先や顧客を巻き込みながら被害が拡大していくおそれがあります。
2022年はEmotetが猛威をふるった年でもありました。同年11月に数日程度の活動が観測されて以降しばらく休止状態が続いていましたが、4か月後の2023年3月、再びメール送信による活動が報告されています。マルウェアは拡散と収束を繰り返すケースが多く、Emotetも同様と見られており、引き続き警戒が必要です。

( 2 ) 見逃しがちな社内に潜むリスクとは?

情報セキュリティ対策というと外部からの攻撃に備えるというイメージがあります。しかしリスクは社外だけにあるとは限りません。社内にもリスクが潜んでいることを想定し、対策しておくことが必要です。

悪気がなくても起こる「ヒューマンエラー」

東京商工リサーチの調査によると、2022年に上場企業とその子会社で個人情報漏洩・紛失事故を公表した数は150社で、事故件数は165件、流出・紛失した個人情報は592万7,057人分におよび、2年連続で最多を更新しています。その原因で1番多いのは「ウイルス感染・不正アクセス」55.1%(91件)ですが、次に多いのが「誤表示・誤送信」26.0%(43件)、さらに「紛失・誤破棄」15.1%(25件)が続きます。

参照:東京商工リサーチ 2022年「上場企業の個人情報漏えい・紛失事故」調査

悪気はなくても操作ミスによってメールを誤送信してしまうことは、セキュリティインシデントの一つなのです。いくらミスのないように努めていても、「ついうっかり」ヒューマンエラーは起こり得ます。集中力や注意力が低下したときは、そのリスクが高まります。ほかにも業務経験の少ない新入社員がメールの使い方を正しく理解できておらず、誤操作や誤送信をしてしまうケースもあります。

ゼロの状態からセキュリティのあり方を考える

そこで最近、情報セキュリティ対策における考え方としてよく聞くようになったのが「ゼロトラスト」です。トラストがゼロの状態とは、誰(ユーザー)も、どこ(ネットワーク)も、何(デバイス)も信用しないということで、そうした前提に立って対策を行うという新しいセキュリティのあり方です。

従業員を信用しないのかと眉をひそめる経営者の方もいるかもしれません。しかしこれは悪い意味で疑うということではありません。後ほど事例のところで紹介するように、内部不正も可能性としては皆無ではありませんが、それよりも気をつけなければならないのは、先ほど述べたようにケアレスミスのほうです。きっかけは誤送信であったとしても、従業員や顧客の情報、社外秘や取扱注意の情報が流出してしまうと、今後の取引に悪影響を及ぼします。会社の信頼にかかわる事故に発展するケースもないとはいえません。場合によっては賠償請求などの責任を問われることもあるでしょう。さらに「情報漏洩した企業」というイメージを持たれることで、社会的信用の低下の恐れも考えられます。

( 3 ) 2023年に起きた情報セキュリティ事故(サイバー攻撃編)

ここからは2023年に起きた最新の情報セキュリティ事故をいくつか紹介します。

Case.01 広がるランサムウェアの被害

港湾運送事業の業界団体が、身代金要求型ウイルス「ランサムウェア」によるサーバー攻撃を受けたと公表しました。同団体によると「身代金を支払えば復旧させる」との脅迫文が英文で届き、管理システムに障害が発生。システムダウンの影響でコンテナの搬出入ができなくなり、推計で1万5,000本に遅延等の影響が出ました。
同港は、2022年9月にも大量のデータを送りつけて障害を発生させる「DDoS攻撃」の被害を受けており、今回の攻撃も以前から脆弱性が指摘されていたVPN(※1)を経由して送り込まれた可能性が高いとされています。今回使用されていたVPN機器は6月に修正プログラムが提供されていたものの、対応していなかったことが被害の原因とみられています。

※1 VPN:「Virtual Private Network」の略で、ネットワーク上に仮想的な専用ネットワークを構築して行う通信を指す。通信内容の読み取りやデータ改ざんなどのリスクを防ぐ。

Case.02 Emotet感染による個人情報漏洩

2023年3月、ある半導体・電子部品メーカーで、社員のパソコンがEmotetに感染し、個人情報等のデータ流失の疑いがあると確認されました。調査の結果、取引会社の担当者名で送られてきたメールに添付されていたZipファイルを開いたことが原因で感染したと判明。ウイルスによる情報流出の痕跡はなかったものの、当該パソコンから関係者のメールアドレスや本文が流出した可能性があるという認識にいたりました。
同社は謝罪とともに、不審メールの見分け方などをホームページ上で説明。今後、同社を名乗るなりすましメールが送信される可能性があるとし、不審なメールを受信した場合には添付されたファイルやメール本文に載っているURLは開かず、メールを削除するよう要請しています。

Case.03 不正アクセスによるスパムメールの拡散

2023年6月、ある国立大学が管理するメールサーバー1台が不正アクセスを受け、メールアカウントが第三者によって不正利用されたことを公表しました。個人情報の流出は確認されませんでしたが、基幹メールサーバーを経由して151万件にもおよぶスパムペール(迷惑メール)が送信されたことが判明しました。
同大学は、今後の対策としてメールアカウントの強固なパスワード設定をはじめ、情報セキュリティの厳密な管理と意識啓発に取り組み、全学を挙げて再発防止に努めるとしています。

Case.04 クレジットカード情報が漏洩

2023年1月、大手情報通信会社が運営するWEBサイトが不正アクセスを受け、12万件以上の顧客の個人情報と11万件以上のクレジットカード情報が漏洩した可能性があると発表しました。当初、一部のクレジット会社からカード情報に漏洩の疑いがあると連絡を受け、当サイトでのクレジットカード決済を停止。第三者調査機関による調査の結果、クレジットカード情報が漏洩した可能性だけでなく不正利用された可能性があることを確認しました。その後の発表で、漏洩の原因はシステムの一部の脆弱性を使用した第三者の不正アクセスによるものとし、公表が遅れたことについて深く謝罪しました。

( 4 ) 2023年に起きた情報セキュリティ事故〈人為的なミス編〉

続いて人為的なミスによって情報が漏洩したインシデントをいくつか紹介します。また「ミス」ではありませんが、内部不正についても事例を挙げておきます。

Case.01 典型的なメールの誤送信

2023年8月、ある大手企業のグループ会社が、メール誤送信による個人情報(氏名、メールアドレス、会員番号)の流出を発表しました。委託先の担当者が会員にメールを送付する際、誤って複数のアドレスを宛先(to)に含めて送信したことが原因です。これによって漏洩した情報は2,800件以上におよびます。
同社は当該会員に対して事実説明を行い、外部委託先の調査、情報の管理態勢を強化・徹底するなどして再発防止に取り組むとしています。

Case.02 クラウド環境の誤設定による顧客情報漏洩

2023年5月、大手自動車メーカーで、データ管理を委託する関連会社のクラウド環境に誤設定があり、顧客情報が外部から閲覧できる状態にあったと発表。その後の調査により、約230万人分の顧客情報がおよそ10年にわたって外部公開されていたことが判明しました。
担当者の認識違いでクラウドサーバーを公開設定にしたこと、公開状態にあったサーバーに個人情報を格納してしまったことが発生原因と説明。データの取り扱いに対するルールの説明・徹底が不十分であったことにも言及しました。本事案に関して個人保護委員会から指導があったとし、再発防止策として技術的および人的安全管理措置の強化・徹底、委託会社との連携による管理の見直しなどを掲げ、真摯に取り組む姿勢を示しています。

Case.03 元職員が個人情報を持ち出し不正利用

2023年3月、ある総合病院を退職した元職員が患者や家族の個人情報を持ち出し、他院での治療を勧めていたことを発表しました。同院によると、「元職員からほかの医療機関で治療するように勧誘された」と患者からの連絡を受けて調査したところ、退職後に業務マニュアルの閲覧を元同僚に依頼していたことが発覚。持ち去られたとされるデータには、亡くなった方を含めて約3,100名分の情報が保存されていました。
同院は個人情報保護委員会に報告し、警察に告訴状を提出。対象者に謝罪し、見知らぬ番号からの不審な電話等には対応しないよう、注意を呼びかけています。

( 5 ) 情報セキュリティ事故を防ぐためのオールインワン対策

ここまでに紹介してきたような情報セキュリティ事故を防ぐにはどうすればよいのでしょうか。事故を起こした企業は、今後の再発防止に向けてほぼ同じことを述べます。それは「情報セキュリティ教育の徹底」と「社内管理体制の強化」です。
しかしサイバー攻撃は年々巧妙化することを考えると、人的な対応だけでは十分とはいえません。先の2つとあわせて、多様なマルウェア不正アクセスに対応できる適切なツールの選定が重要になってきます。それぞれを具体的に見ていきましょう。

社内管理体制の強化

一言でいえば「適切なルールづくりをする」ということです。普段からどのようなことに気をつけて業務を行い、万が一のことが起きた場合にはどうやって被害防止に努めるのか。また、インシデントが発生したときには誰に報告や相談をすればよいのかといったことをしっかりと決めておきます。
そのためには、これまでの何がインシデントの原因になってしまったのかという見直しから始め、そのうえで遵守すべき事項を再整備しましょう。

情報セキュリティ教育の徹底

ヒューマンエラーに備えるには、従業員の意識の向上が欠かせません。コンプライアンスを徹底しようと言ったとして、そのときはわかったつもりになっても、定着させることは容易ではありません。継続的に研修や教育を実施することが必要になります。
そのためには、経営者が率先して意識を変えることも大切です。自社は大丈夫だろうと思ってしまいがちですが、そうした思い込みを捨て、リスクを理解したうえで従業員の情報セキュリティ教育に努めましょう。

適切なセキュリティツールの選定

さまざまなリスクに対して、複数のソフトやツールを組み合わせて多層防御を行うのは、実際のところ大変です。専任の部署や担当者を配置することは、人員が限られる中小企業にとって現実的な対応ではありません。

そこで注目したいセキュリティツールがUTMです。UTMをネットワークの入口に設置することで、外部からの脅威だけでなく内部からの脅威にも備えることができます。各種マルウェア不正アクセスなどのサイバー攻撃を検知し防止するだけでなく、内部機器からの不正アクセスやウイルス拡散、不適切サイトの閲覧も防止するなど、これ1台で高度な情報セキュリティ対策が可能になります。専任のIT担当者を要することなく、最新の脅威に対応することができるというわけです。

さらに、UTMにはサイバー保険が標準で付帯しているものもあります。使いやすさ、耐久性、サポート体制など、しっかり比較検討したうえで自社のニーズに最も適したUTMを選びましょう。

( 6 ) まとめ

今回は最新の情報セキュリティ事情について、実際に起きたインシデントの事例もいくつか交えながら解説してきました。サイバー攻撃は大手企業だけが狙われるものではありません。近年はむしろセキュリティ対策が十分でない中小企業をターゲットにして、脆弱性を突く攻撃も増加しています。こうした巧妙な手口に備えるには社内管理体制の強化、情報セキュリティ教育の徹底とあわせて、適切なツールの活用が欠かせません。

また情報セキュリティリスクは外部だけでなく、内部にも潜んでいます。そんなさまざまなリスクにオールインワンで対応してくれるのがUTMです。サイバー攻撃情報漏洩といった脅威に備え、自社だけでなく顧客や取引先も守る、そうした取り組みが会社の信頼度を高めていきます。

サクサでは、今回ご紹介したUTMなどのセキュリティツールをはじめ、情報セキュリティ対策のご提案を通して、中堅・中小企業のさまざまな課題解決をサポートさせていただきます。ぜひ気軽にお問い合わせください。

経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。

お役立ち資料一覧はこちら