近年、企業や組織が持つ貴重な機密情報を標的とした情報漏洩事件や、従業員が情報漏洩をしてしまったなどといったニュースが頻繁に起こっています。
ランサムウェアをはじめとした、サイバー攻撃からの防御は必須ですが、それだけでは不十分です。
従業員による故意の情報盗用「内部不正」や、メールの誤送信、スマートフォンの紛失など「人的ミス」による情報漏洩も深刻な問題となっています。
そこで、このブログでは、情報漏洩が起こる原因から、実際に起きた情報漏洩の事例と情報漏洩を防ぐ方法をご紹介します。
会社の情報漏洩対策としてログイン情報管理見直しませんか?
Keeperの14日間の無料体験でその安全性・利便性をお試しください。
よくある情報漏洩が起こる原因3つ
情報漏洩の原因は多岐にわたりますが、よくある3つの原因を以下にご紹介します。
外部からのサイバー攻撃
サイバー攻撃は、情報技術を利用して外部から組織のシステムに不正アクセスを試みる行為です。ハッキング、フィッシング詐欺、マルウェア(ウイルスやランサムウェアなど)の感染などが代表的です。攻撃者は機密情報を盗み出したり、システムを乗っ取ったりして、企業に損害を与えます。
内部脅威
内部脅威は、従業員や契約社員など、企業内部にいる個人が引き起こすセキュリティ上のリスクです。これらの個人がアクセス権を悪用して企業の機密情報を不正に取得、開示、または破壊することで、企業に重大な損害をもたらす可能性があります。内部脅威は外部からの攻撃よりも検出が難しく、対処が複雑であることが特徴です。情報漏洩は企業の信頼性の損失だけでなく、顧客データの漏洩や知的財産の盗難など、直接的な財務的損害を引き起こす可能性があります。
人的ミス
人的ミスによる情報漏洩は、従業員が意図せずに起こす情報の外部への漏洩です。例えば、重要な情報が書かれたメールを誤って外部の人物に送信してしまったり、機密書類を外部に持ち出して紛失したりするケースがあります。
これら3つの原因に対する理解と適切な対策は、情報漏洩リスクを大幅に低減させることに繋がります。
日本で起きた情報漏洩の6つの事例
日本で起きた情報漏洩の事例をサイバー攻撃、内部脅威の不正、人的ミスによるものにそれぞれ分けた事例を見ていきましょう。
サイバー攻撃によって起きた情報漏洩の事例
ここでは、サイバー攻撃によって起きた情報漏洩の事例をご紹介します。
1. マルウェアに感染した日本最大級のSNSサービス
業種 | 大手SNSサービス |
---|---|
公表時期 | 2023年11月 |
原因 | 業務委託先がマルウェアに感染したことをきっかけに、本社のSNSシステムも不正アクセスされた。 |
被害内容 | 利用者情報など約44万件が漏洩した疑いがあることが公表され、その後の調査で漏えい疑いがある情報が約51万9000件に拡大。 |
2023年11月、ある有名SNSプラットフォームがサイバー攻撃の対象となり、推定44万件の個人情報が流出した恐れがあるという報告がありました。この中には、約30万件のユーザー情報、約9万件のビジネスパートナー情報、そして約5万件の従業員情報が含まれています。問題の始まりは、このSNS企業と技術的に提携しているある企業の子会社が使用するコンピューターがマルウェアに感染したことによります。これらの企業がいくつかのシステムを共有していたため、結果的にSNS企業のサーバーも攻撃を受けることになりました。
2. ランサムウェアの被害で約49万件の個人情報が漏洩
業種 | 市民生活協同組合 |
---|---|
公表時期 | 2022年10月 |
原因 | ネットワーク機器の脆弱性を利用したランサムウェア |
被害内容 | サイバー攻撃を受け、一部店舗での配送が停止し、実店舗でのカード決済が利用できなくなりました。 |
2022年10月に、市民生活協同組合はランサムウェアによる攻撃を受け、その基幹システム、ファイル、および販売管理システムに保存されていたファイルが暗号化されました。この事件により、過去に脱退した組合員を含む約49万人分の顧客情報の漏洩したとされています。
このセキュリティ侵害の原因は、ネットワーク機器(VPN)のセキュリティ上の弱点でした。システムの不具合をきっかけにこの事件が明らかになり、攻撃者が組織の内部情報を集めた後にランサムウェアを広げ、サーバー内のほぼ全てのデータを暗号化しました。
この事例をキッカケに、日本では国際的なサイバー犯罪集団「LockBit(ロックビット)」も有名になり、ランサムウェアからの恐怖を植え付けられるようになりました。
事態が明るみに出た後、組合はバックアップデータを使用してシステムの復元を試みましたが、バックアップもまた暗号化されており、データの復元が難しい状況となりました。
内部脅威による情報漏洩
ここでは、内部脅威による情報漏洩の事例をいくつかご紹介します。
3. 大手通信会社の元派遣社員によって約900万件の情報流出
業種 | 大手通信会社 |
---|---|
公表時期 | 2023年10月 |
原因 | 元派遣社員による不正アクセスと情報流出 |
被害内容 | 59の組織の顧客情報約900万件が流出。情報には氏名、住所、電話番号、および81件のクレジットカード情報が含まれています。流出した顧客情報の一部は名簿業者に渡っている可能性があります。 |
2023年10月、日本の大手通信会社で発生した情報漏洩では、約900万件に上る顧客データが内部の不正行為によって漏えいしたとされています。この漏洩していた期間はおよそ、2013年頃から2023年まで約10年に渡っているとされています。
この情報漏洩は、企業が委託していたコールセンターシステムの運用・保守を行う外部企業の以前の派遣社員が関与しています。該当者は保守端末に顧客の個人情報ファイルをダウンロードしたうえで、私物のUSBメモリーを使って外部に持ち出し悪用していました。
名前、住所、電話番号を含む複数のファイルデータにアクセスし、コピーし、リストを販売して利益を得ていた可能性があるとされています。
4. 不動産業で働く従業員が個人情報約27万件を不正入手し悪用
業種 | 不動産 |
---|---|
公表時期 | 2022年12月 |
原因 | 従業員が社内システムに不正アクセスし、顧客情報を第三者に流出させました。 |
被害内容 | 該当者は権限がないものの、他の従業員から入手したパスワードで社内システムに不正アクセスし、顧客の氏名や年収など個人情報約27万件を入手していたとのこと。 |
2022年12月頃、不動産業で発生した情報漏洩では、約27万件に上る顧客データが内部不正によって情報漏洩していたとされています。
この情報漏された個人情報は、他の関係者に渡され、主にウォーターサーバーの営業に不正使用され、約100件の契約が成立していたことから発覚しました。
人的ミス
ここでは、人的ミスによる情報漏洩の事例をいくつかご紹介します。
5. 約46万人分の市民の個人情報が保存されていたUSBの紛失
業種 | 自治体 |
---|---|
公表時期 | 2022年6月頃 |
原因 | 従業員がUSBメモリの入ったカバンを紛失 |
被害内容 | 約46万人分の市民データ、含む住民基本台帳、住民税情報、特別給付金対象世帯、生活保護受給世帯、児童手当受給世帯の口座情報が、流出する危険性に直面しました。 |
2022年6月に兵庫県尼崎市で、自治体が委託した企業の社員が、46万人分の市民情報を含むUSBメモリ2本を紛失する事件が起こりました。
USBメモリには、尼崎市全市民約46万人の住民基本台帳データや、住民税情報、非課税世帯や臨時特別給付金対象者、生活保護受給家庭、児童手当受給家庭の口座情報が保存されていました。
その後、USBメモリは見つかり、情報流出は免れたものの、全市民の住民基本台帳や住民税などの情報が流出の危機に晒され、これによって自治体のずさんな個人情報の管理が浮き彫りになりました。
6. 大手自動車メーカーにて設定ミスで26万件の個人情報が公開状態に
業種 | 大手自動車メーカー |
---|---|
公表時期 | 2023年5月 |
原因 | クラウド環境の誤設定によって、常に公開状態になっており誰でも見れる状態になっていた |
被害内容 | 保管していた約26万人分の顧客情報である、住所や氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー、車台番号が、外部から閲覧された可能性がある。 |
2023年5月、ある主要な自動車製造会社では、約26万人分の顧客情報の漏えいが発生していることを公表。この漏洩の背景には、社内のデータ管理規則が十分に遵守されていなかったことがあります。誤った権限設定により、複数のファイルが外部からのアクセスに晒されており、これが2016年10月から2023年5月までの長期にわたって続いていました。
漏洩した情報には、顧客の住所、氏名、連絡先、メールアドレス、顧客ID、車両登録番号などが含まれていたため、それが外部から閲覧された可能性があります。
日本では情報漏洩・紛失は年々増加傾向にある
東京商工リサーチによる2023年の上場企業の個人情報漏えい・紛失事故は過去最多の件数が報告されています。
特にマルウェア感染や不正アクセスに起因する情報漏洩や紛失の件数が増加しており、2019年から続く5年間で、毎年記録を更新している。2023年には、特にランサムウェア攻撃が顕著であり、マルウェアに感染したデバイスのデータが暗号化され、解除のための身代金が要求されるケースが目立っています。
加えて、従業員による意図的な情報の不正持ち出しや、顧客情報を不適切に共有・閲覧するといった、人為的ミスに起因する漏えいも多数報告されています。
日本で情報漏洩・紛失の問題は、近年、組織や個人にとって大きな課題となっており、増加傾向にあるのは以下が主な理由です。
・サイバー攻撃の高度化
・従業員のサイバーセキュリティ意識の欠如
・デジタル化の普及に伴う社内体制の不備
これらのリスクを低減していくためには、企業や組織だけでなく、個人の取り組みも大切となってきます。
情報漏洩の防止する5つの方法
年々増えている情報漏洩は、組織や個人にとって大きな課題となっています。
いくつかの適切な防止策を実施することで、そのリスクを大幅に軽減することが可能です。
以下は情報漏洩を防ぐための6つの方法です。
安全なパスワード管理
パスワードを安全に管理することは、不正アクセスから守るための大切な手法の1つです。
危険なパスワードを管理する習慣として、パスワードをメモ帳や暗号化されていないエクセルファイルなどに保存することです。
各オンラインのアカウントごとに異なる複雑なパスワードを覚えるのが難しいためにこのような不衛生なパスワード管理は発生します。
多くの人はパスワードを設定する際に、自分の誕生日や住所、ペットの名前、好きなスポーツチームなど、予測しやすい情報を用いる傾向があります。さらに、わずかに変更を加えただけのパスワードの使い回しを複数のアカウントで使用することも珍しくありません。このような習慣は危険で、たった一つのアカウントがハッキングされるだけで、同じパスワードを使う他のすべてのアカウントも攻撃者によって容易にアクセスされるリスクがあります。これはクレデンシャルスタッフィングと呼ばれる攻撃手法で、多大な被害につながる可能性が高いです。
パスワードマネージャーの使用することで、複雑なパスワードの管理が簡単になり、パスワードを忘れてリセットする時間などの手間が省けます。
多要素認証(MFA/2FA)を使用する
多要素認証(MFA/2FA)の設定は、セキュリティを大幅に強化する効果的な方法です。MFAは、ユーザーがアカウントにアクセスする際に、パスワードとは別に、二つ以上の異なる認証要素を要求します。これには通常、知識要素(パスワードやPIN番号)、所持要素(スマートカードや携帯電話)、生体要素(指紋や顔認識)が含まれます。この多層的なアプローチは、単一の認証要素(例えばパスワードのみ)よりもはるかに強力なセキュリティを提供します。たとえパスワードが漏洩した場合でも、攻撃者は追加の認証要素を持っていない限りアカウントにアクセスすることができません。このため、MFAは不正アクセスのリスクを大幅に低減し、機密データの保護に対して重要な役割を果たします。
フィッシング詐欺について学ぶ
フィッシング詐欺は一般的な攻撃手法であり、ユーザーを騙して機密情報を入手しようとします。特にフィッシング詐欺は、情報処理推進機構(IPA)が発表する情報セキュリティ10大脅威 2024年版でもフィッシングが原因で、マルウェアの感染など2次被害を拡大させています。
フィッシング攻撃を見分ける方法を学び、怪しいリンクや添付ファイルが含まれているEメールには注意を払いましょう。
どのようにフィッシング詐欺を見分けるのか兆候を知りたい方は、フィッシング詐欺の見分け方をご覧ください。
組織内での最小権限の実装
日本で起きている情報漏洩には、権限を持っていない人による不正アクセスなどの内部脅威が目立ちます。
従業員に、その職務を遂行するのに必要最小限のアクセス権限のみを付与することにより、悪意のある内部脅威や、誤操作による情報漏洩のリスクが減少します。
特に、Keeperのような重要なシステムとサービスへのアクセスを一括管理することで、組織のアカウントが侵害された場合の横移動のリスクを軽減します。
ソフトウェアの更新
定期的なソフトウェア更新は、セキュリティ上の脆弱性を修正し、攻撃者が利用する可能性のある隙間を塞ぐことができます。オペレーティングシステムやアプリケーションの自動更新機能を有効にして、常に最新のセキュリティパッチを適用しましょう。
サイバーセキュリティについての最新情報に気を配る
サイバーセキュリティは常に変化しています。そのため、新しい脅威や対策について常に最新情報を把握し、信頼できる情報源からの知識を更新し続けることが大切です。さらに、社員のセキュリティ意識を高めるために、継続的なトレーニングがとても重要です。社員が最新の脅威を知り、それに対応する方法を理解していることは、組織のセキュリティ強化に欠かせません。定期的な教育とトレーニングを行うことで、社員が新たな攻撃に対しても警戒し、適切に対処できるようになります。
まとめ:Keeperで情報漏洩を防ぐための第一歩を
情報漏洩は今や、企業だけでなく個人にとっても深刻なリスクとなっています。しかし、適切なツールと意識で、このリスクを大幅に減らすことができます。セキュリティ強化の第一歩として、適切なアカウントと強力なパスワード管理が挙げられます。
多数のアカウントを管理することは簡単ではありません。ここで、Keeperのような信頼性の高いパスワードマネージャーの利用が推奨されます。
この機会に14日間のビジネスプランのフリートライアルで情報漏えい対策として、企業内にどのようにフィットするのか、ぜひお試しくだださい。