情報漏洩に関する事故・事件が後を絶ちません。個人情報や機密情報が漏洩すると、経済的損失、法的リスク、信用やイメージの低下など、企業はさまざまな損害を被ります。セキュリティ対策はしているという経営者の方は多いと思いますが、サイバー攻撃の増加や手口の複雑化・巧妙化にどこまで対応できているでしょうか。脅威がどのようなものかを把握したうえで適切な対策を講じなければ、損害のリスク回避はできません。この記事では、情報漏洩の原因や対策を解説するとともに、実際に発生した情報漏洩の事例を紹介します。ぜひ、自社のセキュリティ対策にお役立てください。
>>今すぐ事例を確認したい方はこちらをクリック<<
( 1 ) 情報漏洩が起こる原因
近年、ニュースでサイバー攻撃や情報漏洩について報じられることが増えてきました。大企業が標的にされているのだろうと思っている方も少なくないでしょう。しかし、情報漏洩は規模に関わらず、国内外のさまざまな企業で発生しています。
情報漏洩はなぜ起こるのでしょうか。情報漏洩の原因は「外部攻撃」「内部不正」「ヒューマンエラー」と、ほぼこの3つのタイプに分けることができます。
| 種類 | 原因 |
|---|---|
| 外部攻撃 | ランサムウェアや標的型攻撃などのサイバー攻撃や、脆弱性を狙った不正アクセスなど |
| 内部不正 | 従業員などの内部不正による情報の改ざんや破壊・削除、持ち出し、盗難など |
| ヒューマンエラー | メールの誤送信やWebサイトなどへの誤表示、書類や記録媒体の紛失・置き忘れ・誤廃棄など |
〈こちらもオススメ!〉
情報漏洩の原因について詳しく解説しています。
とくに「外部攻撃」にあたるサイバー攻撃にはさまざまな種類があり、手口はますます多様化・巧妙化しています。最近ニュースなどでも取り上げられる代表的な攻撃について、簡単に解説します。
●ランサムウェア攻撃
マルウェア感染させてシステムやデータなどを使用不能にし、解除と引き換えに身代金(ランサム)を要求します。近年は暗号資産(※1)で支払いを要求するケースも増えています。
●サプライチェーン攻撃
業務上のつながりを悪用し、サイバー攻撃を仕掛けます。比較的セキュリティ対策が手薄な中小企業が“踏み台”にされ、標的となる大企業や組織などを狙うという特徴があります。
●ゼロデイ攻撃
まだ認識されていないソフトウェアなどの脆弱性を狙い、修正が行われる日(=ワンデイ)より前(=ゼロデイ)に行われるサイバー攻撃で、未然に防ぐことが難しいとされています。
※1 暗号資産:インターネット上でやりとりされる通貨のような機能を持つ電子データのこと。現在世界中に多くの種類が存在する。( 2 ) 情報漏洩の事例
ここでは、先に挙げた情報漏洩の原因別に、実際に起こった事例を解説します。
【外部攻撃編】
まずはケースとして最も多い外部攻撃から、4つの事例を紹介します。
〈case:01〉ランサムウェア攻撃による情報漏洩危機
| 企業・団体 | 協同組合 |
| 発生時期 | 2022年10月 |
| 原因 | ネットワーク機器の脆弱性を狙ったランサムウェア攻撃 |
| 発生内容 | 協同組合がランサムウェア攻撃を受け、約49万人の個人情報の漏洩が懸念されるインシデント(※2)が発生。ネットワーク機器の脆弱性が標的とされ、サーバ内のさまざまなデータが暗号化され、配達や店舗業務に大きな支障が出た。 |
被害を受けた協同組合は、最終的に身代金を支払わず、バックアップから自力で復旧。再稼働に2カ月余りを要しました。
同組合は、インシデントの発生を受け、組合員への進捗状況の発信や個人情報保護委員会への報告を行い、再発防止に向け、外部から接続できるネットワーク機器のセキュリティを強化。さらに情報セキュリティポリシーの見直しや職員教育を徹底すると発表しました。
〈case:02〉マルウェア感染からの不正アクセス
| 企業・団体 | SNSサービスを展開する大手テックカンパニー |
| 発生時期 | 2023年11月 |
| 原因 | マルウェア感染を経由した不正アクセス |
| 発生内容 | システムの一部を共通化している関連企業の委託先企業で、パソコンへのマルウェア感染が発生。これを糸口として関連企業のシステムを経由した不正アクセスが行われ、ユーザーや取引先、従業員など約44万件もの個人情報が漏洩した。 |
同社では、共通化しているシステムからサーバへのアクセスを遮断し、社員に再ログインの強制実施やパスワードの変更を指示。また当該システムの認証基盤環境を分離し、ネットワークアクセス管理の強化を行うほか、外部企業を交えた再発防止策を講じています。
〈case:03〉不正アクセスによるECサイトの改ざん
| 企業・団体 | IT企業(PCソフトウェア・ハードウェアなどの企画・開発・販売) |
| 発生時期 | 2023年2月 |
| 原因 | ECサイトの脆弱性を突いた不正アクセス |
| 発生内容 | 運営するECサイトが脆弱性を突いた不正アクセスを受け、ペイメントアプリケーションの改ざん(※3)が行われた。顧客のクレジットカード情報を含む個人情報約12万件が漏洩した可能性があり、該当サイトではカード決済を停止した。 |
クレジットカード会社から、顧客のクレジットカード情報の漏洩について連絡を受け、カード決済を停止しました。同社では、システムのセキュリティ対策と監視体制を強化。カード会社と連携し、漏洩した可能性のあるカードによる取引のモニタリングを継続し、不正利用の防止に努めています。
〈case:04〉ランサムウェアによるサーバの暗号化
| 企業・団体 | スーパーマーケットチェーン |
| 発生時期 | 2024年4月 |
| 原因 | VPN装置の脆弱性を狙ったランサムウェア攻撃 |
| 発生内容 | ランサムウェアにより、グループの一部サーバが暗号化され、それに伴いシステム障害が発生。778万件以上の会員情報がリスクにさらされた。全ネットワークを遮断したことにより、通販サービスやネットスーパーのサービスやメールシステムが停止した。 |
同社はサーバへの侵入を検知後、直ちに全ネットワークを遮断。対策本部を立ち上げ、調査および復旧対応を実施しました。外部流出の可能性は低いものの、情報を閲覧された可能性はあるため、該当顧客などへの連絡、個人情報保護委員会への報告、警察への相談を行いました。
※2 インシデント:事案・事象の意。情報セキュリティ分野では、情報漏洩などの脅威にさらされている状態を指す。※3 ペイメントアプリケーションの改ざん:近年、ECサイトで多発しているサイバー攻撃。クレジットカード情報入力フォームを改ざんして、ユーザーが入力した情報を窃取する。
【内部不正編】
近年、増加傾向にあるのが内部不正による情報漏洩です。3つのケースを紹介します。
〈case:01〉元従業員による顧客情報の不正持ち出し
| 企業・団体 | 不動産会社 |
| 発生時期 | 2022年1月 |
| 原因 | 外部サーバを使用した不正持ち出し |
| 発生内容 | 不動産事業を展開する企業が、子会社の元従業員が顧客情報を不正に持ち出していたため不正競争防止法違反の容疑で逮捕されたと明かした。顧客情報を含む営業資料を外部サーバにアップロードし、転職先でダウンロードした。 |
情報の流出は元従業員の退職後に実施した社内調査によって発覚しました。同社では、不正行為が行われた事実を厳粛に受け止め、従業員に対するコンプライアンスの徹底および社内管理体制の強化により、再発防止に努めるとしています。
〈case:02〉元派遣社員による管理者アカウントの悪用
| 企業・団体 | 情報通信会社 |
| 発生時期 | 2023年10月 |
| 原因 | 管理者アカウントを悪用した不正アクセス |
| 発生内容 | 情報通信会社の元派遣社員がシステムの管理者アカウントを悪用してサーバにアクセスし、個人情報を含む顧客情報を不正に持ち出していた。業務の委託を受けていた自治体や企業などの個人情報が900万件以上流出し、これらのデータは名簿業者に売却されていた。 |
情報の持ち出しは10年以上に及んだとされ、ずさんな管理体制に対して総務省から行政指導を受けました。同社は顧客情報を扱うすべての業務において再点検や従業員教育を実施し、さらに個人情報管理体制を強化。元派遣社員は、不正競争防止法違反の容疑で起訴されました。
〈case:03〉契約社員が個人情報を不正に持ち出し
| 企業・団体 | 自治体の旅券発給業務委託企業 |
| 発生時期 | 2023年11月 |
| 原因 | 個人情報を付せんに書き写して不正に持ち出し |
| 発生内容 | 自治体のパスポート発給業務を請け負う会社で働いていた外国籍の契約社員が、旅券申請者の戸籍謄本や住民票に記載された個人情報を付せんに書き写し、約1900人分を不正に入手した。入手方法は書き写すだけでなく、コピーや録音なども使用したとされている。 |
この件による第三者への情報流出などは確認されていませんが、自治体は被害届を提出し、捜査協力を行いました。委託先企業に個人情報の取り扱いや業務管理の徹底を求めるとともに、対策防止策および情報管理の徹底を図り、信頼回復に努めるとしています。
【ヒューマンエラー編】
うっかりミスは誰もが一度は経験しているのではないでしょうか。ここからは、ヒューマンエラーの事例を3つ紹介します。
〈case:01〉職員によるUSBメモリの持ち出しおよび紛失
| 企業・団体 | 市立の医療機関 |
| 発生時期 | 2024年1月 |
| 原因 | 患者の個人情報を保存したUSBメモリを紛失 |
| 発生内容 | 医療機関の職員が論文作成のため、患者の氏名や診断名などの個人情報が入ったUSBを持ち出し紛失した。個人情報を含むデータを外部に持ち出す場合に必要な許可申請が行われておらず、パスワードの設定も徹底されていなかった。 |
紛失したUSBメモリに保存された個人情報の外部への漏洩は確認されていませんが、該当患者への謝罪、問い合わせ窓口の設置、自治体への報告を行いました。再発防止策として、院内規定やマニュアルの見直し、職員に対して個人情報取扱いや情報セキュリティに関する研修を実施しました。
〈case:02〉職員によるメール誤送信
| 企業・団体 | 地方自治体 |
| 発生時期 | 2023年4月 |
| 原因 | メール送信時に誤って個人情報を含むデータを添付 |
| 発生内容 | 地方自治体の職員が、幼稚園6園に補助金等に関する電子メールを送信する際、誤って他園に在籍する園児約2000人の氏名や生年月日などが含まれるデータを添付。メールを受信した幼稚園からの指摘により個人情報の流出が判明した。 |
自治体は事実関係の確認後に、誤送信先の6園にデータの削除を依頼し、各園からデータの削除や受信取り消しの報告を受けました。今後の対策として、データ管理や添付ファイルの内容チェックを徹底するとしています。
〈case:03〉クラウド環境の誤設定
| 企業・団体 | 自動車メーカー |
| 発生時期 | 2023年5月 |
| 原因 | クラウドの誤設定により外部からデータの閲覧が可能となった |
| 発生内容 | 自動車メーカーが関連会社に管理を委託するデータの一部が、クラウド環境の誤設定によって外部から閲覧やアクセスが可能な状態となっており、保有する約215万人分の顧客情報が漏洩した。また、この状態は最長10年以上にも及んだ。 |
情報漏洩の発覚後、外部からのアクセスを遮断し、すべてのクラウド環境を含めて調査を実施。さらに専用のコールセンターを設置しました。今後の対策として、従業員への教育を徹底し、またクラウド設定を監査するシステムを導入しました。
〈こちらもオススメ!〉
情報漏洩について、原因や事例などを詳しく解説しています。
( 3 ) 情報漏洩の対策
情報漏洩対策の強化は、企業にとって急務と言える課題です。最後に、企業が取り組むべき情報漏洩対策について紹介します。
| 対策 | 内容 |
|---|---|
| 多層防御 | サイバー攻撃の多様化により、ウイルス対策ソフト、ファイアウォール(※4)では防ぎきれない脅威が増加。UTM(※5)など、複数の機能を搭載し、内部外部を問わず脅威を防ぐ多層防御が可能なツールを導入する。 |
| ソフトウェアの更新 | ソフトウェアは定期的に更新プログラム(修正パッチ)が配布される。不具合や脆弱性などが解消されるため、ソフトウェアは必ず更新し、自動更新されないものは手動で更新する。 |
| 社内ルールの明確化 | 情報セキュリティに関するルールがわかりにくいとヒューマンエラーにつながる可能性が高くなるため、デバイスや記憶媒体の持ち出し規定、顧客情報・機密情報へのアクセス権限の設定などの社内ルールを明確にする。 |
| 多要素認証の活用 | アクセス権限を得る際に2つ以上の認証を行う多要素認証を活用する。パスワードに加え、顔認証や指紋認証などを組み合わせることで、よりセキュリティレベルが向上する。 |
|
従業員の ITリテラシー向上 |
従業員のリテラシーが低いとセキュリティ対策の効果が低下する場合がある。情報セキュリティやサイバー攻撃についての研修・教育を定期的に実施し、従業員一人ひとりのITリテラシーを高める。 |
| 社内コミュニケーションの促進 | 社内コミュニケーションは内部不正の防止に有効な手段となる。人間関係やコミュニケーションが円滑な職場は、従業員エンゲージメント(※6)が向上し、不正が起こりにくい環境の構築が可能となる。 |
〈こちらもオススメ!〉
情報漏洩対策について、経営層・従業員別に詳しく解説しています。
「事後的な対応」も視野に入れる
セキュリティ対策に「絶対」はありません。そこで近年は、情報漏洩が起きてしまった「事後」も含めて対応を考えておくことが重要とされています。
IPA(独立行政法人
情報処理推進機構)では、情報漏洩発生時の対応ポイント集を簡潔にまとめています。情報が漏洩してしまったときに何をすべきか、こちらも参考にするとよいでしょう。
※5 UTM:「Unified Threat Management」の略。複数のセキュリティ機能を一つに統合し、集中的にネットワーク管理を行うこと。統合脅威管理。
※6 従業員エンゲージメント:従業員が自発的に会社に貢献したいと思う意欲のこと。
( 4 ) まとめ
今回は、情報漏洩の事例をタイプ別に紹介しました。情報漏洩は、「外部攻撃」「内部不正」「ヒューマンエラー」によって発生します。情報漏洩が発生すると、自社の業務に大きな影響を与え、社会的信頼の失墜にもつながります。情報漏洩のリスクを極力抑えるためには、十分なセキュリティ対策が必要です。今回紹介した事例などを自社のセキュリティ対策の参考になさってください。
SAXA-DX Naviでは、情報セキュリティ対策についてまとめた資料をはじめ、さまざまなお役立ち資料をご提供しています。ぜひご活用ください。
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。
ぜひ一度お読みください。
