経営者が知っておきたいセキュリティ事故後の被害実態

 2019.12.05  EDR実践ポータル

テレビやメディアなどを通じて、大企業が情報漏えいを起こして謝罪会見をするシーンを見たことがある経営者は多いのではないでしょうか。お客様の重要なデータや会社の機密情報などが漏えいすれば、大きな損害を受けることは容易に想像できるでしょう。しかし、具体的にどのように被害が発生するのかを理解していない方も多いのではないでしょうか。

こうした状況下において、経営者にできることは「セキュリティ侵害が発生した時の被害の実態」を知り、今取り組むべきセキュリティ対策について知ることです。本稿ではそんな被害実態についてご紹介しますので、ぜひ参考にしてください

damage-after-the-security-incident

セキュリティ侵害が発生した時の被害の実態

経営者の方々は、日本国内で1日に何件のセキュリティ事件が発生しているかご存じでしょうか? JNSA(日本ネットワークセキュリティ協会)によると、2018年にインターネットニュースなどで報道されたインシデントの記事、組織からリリースされたインシデントの公表記事などを集計した結果、2018年を通じて443件、トータルの人数は561万3,797人分の個人情報漏えい事件が発生しています。前年と比較して件数は14.8%増加しています。

そして想定損害賠償の総額は2,684億5,743万円、一人あたりの平均想定損害賠償額も前年より増加し、2万9,768円です。 自社がどれだけの個人情報を抱えているかで、万が一の漏洩の際の賠償額が算出できると思います。 

参照:JASA『2018年 情報セキュリティインシデントに関する調査結果〜個人情報漏えい編〜(速報版)

しかしこれは、あくまで「個人情報漏えい事件」に限定したデータです。その他の種類のセキュリティ事件も発生していますし、報道されていないものや公表されていないもの、そして漏えいしているのに気付いていないものも含めれば、どれだけのセキュリティ事件が発生しているかはもはや未知数です。以下はセキュリティ侵害が発生したときの被害の原因、実態の一部になります。

 

1. Webサイトの改ざん

インターネット時代である現代ビジネスにおいて、最も頻繁に発生している事件の1つがWebサイトの改ざんです。官庁ホームページ、自治体や大企業、学校のホームページなど様々な組織が改ざん被害に遭っています。これらはニュースにも上るので目にしたことがある方も多いと思います。 Webサイト改ざんでは、政治目的をもって特定の団体や企業をターゲットにする場合と、セキュリティ対策の甘いWebサイトを無差別に改ざんする場合があります。

そして実際には目に見えない改ざんも多く発生しています。知らないうちにマルウェアなどが仕込まれ、アクセスした人に感染させることを目的としています。

被害に遭う原因を「高度なサイバー攻撃によるもの」を考える方も多いでしょうが、実際は管理者の安易なパスワード設定や、既知の脆弱性(セキュリティ上の欠点)を放置しているなど、基本的なセキュリティ対策を怠ったことが原因です。この基本的なことができていない企業は、攻撃者からすれば会社全体でセキュリティが甘いと判断され、次のもっと重要な情報への攻撃が予想されます。

2. 顧客のメールアドレス漏えい

サイバー攻撃が原因なのではなく、ちょっとした操作ミスによって大量の顧客メールアドレスが漏えいすることも頻繁に発生しています。たとえば、不特定多数の顧客に対してメールマガジンを送信する場合、メールアドレスをTOやCCではなくBCCに指定する必要がありますが、指定を誤って顧客メールアドレスが漏えいしてしまうことがあります。

顧客のメールアドレスが漏えいしてしまえば、信頼が失墜することはもちろん、事業に大きな影響を与えることは間違いありません。この様な形で一旦漏えいしてしまうと、顧客は長年に渡ってそのメールアドレスを悪用されることになります。

メールアドレスなどの個人情報漏えいと聞くと、サイバー攻撃によるものと考えがちですが、実際は単純な人的ミスによるものが大半です。

3. 販売した中古パソコンから情報漏えい

まさに盲点とも言うべき情報漏えい経路が、中古パソコンです。名古屋市内のある大学生が中古パソコンを購入し、その後市販のデータ復元ソフトを使用してハードディスクのデータを復元してみたところ、ある医療機関が健康保険組合などに医療費を請求するために作成した、診療報酬明細書の画像データが残されていたそうです。

最近では、企業の機密情報収集を目的として中古パソコンを買い漁る手口が行われています。使い古したパソコンを処理するのに中古業者に引き取ってもらう企業も多いでしょうが、その際はコンピューターやハードディスクにあるデータが復元されない状態にしてから処理しなければ、中古パソコンから情報漏えいに至る可能性があります。

4. 標的型攻撃による情報漏えい、金銭の取得

「標的型攻撃」は、ある特定の企業や組織に狙いを定め、目的を達成するまで攻撃が続けられます。目的はその組織の機密情報や金銭など様々です。2015年には日本年金機構で125万人の個人情報漏えい事件が起きたことを皮切りに、さまざまな企業が標的型攻撃の被害を受けています。2017年には航空会社がビジネスメール詐欺に遭い、偽の口座に約3億8000万円を振込みだまし取られた事件、仮想通貨の流出事件もありました。これらも標的にされ、最終的に目的が達成された結果の事件です。

通常の業務メールを装い、添付されたファイルやリンクを実行させようとする手口を使うことが知られています。 サイバー犯罪者はあらゆる手を使ってメールを偽装して、新規顧客や取引先企業、政府関係者などを装い、メールを送信します。それと気づかずに添付フィルを開いてしまう、リンクをクリックしてしまうと、端末がマルウェアに感染したり侵害され、そこから内部ネットワークに侵入されてしまうので注意が必要です。

5. 有名サイトからダウンロードしたはずがマルウェアに感染

パソコン上の作業を簡略化するために、無料ソフトウェアをダウンロードする方も多いでしょう。アプリケーション開発者なども様々なソフトウェアを活用します。安全性を確保するために、有名サイトからダウンロードすることを心掛けていても、不正なコードが組み込まれたソフトウェアダウンロードやマルウェアに感染することがあります。

検索エンジン上位に表示される口コミサイトが必ずしも安全とは限らず、中には悪質なプログラムが組み込まれ、正規のダウンロードサイトにアクセスしたはずが偽サイトに誘導される可能性もあります。悪質なWebサイトというのは常に存在しているものなので、インターネットを利用する際は常に注意が必要です。

6. クラウドサービスに預けていた重要データが消失

インターネット上のサービスとして、契約がすぐに利用できて必要に応じたコストだけを支払うクラウドサービスは、業務利用サービスとして年々拡大しています。その中でも特に利用されているのが「クラウドストレージ」です。しかしながらリスクもあります。

あるクラウドストレージは、過去にシステム障害から内部に保管されているデータがすべて消失してしまった、という事例が発生しています。提供事業者の中には十分なセキュリティ対策を講じていない場合もあるので、慎重な事前調査が必要です。

7. セキュリティ対策は万全のはずが情報漏えい

とある企業の情報管理担当者は、会社のセキュリティ対策を万全にするために、あらゆる対策を講じています。

しかし、ある日インターネット上の電子掲示板を見ると、自社の顧客情報が漏えいしていることが判明しました。原因はおそらく、『ある社員が売り渡した』、それだけではありません。 会社のPCを持ち出し、無料Wi-fi利用時に被害を受けた、データを持ち帰り、自宅のパソコンがマルウェアに感染していた、業務データファイルを保存したUSBメモリをどこかで紛失などもあり得ます。

しかしセキュリティ対策をいくら講じても、社員各人のセキュリティ意識が低いままでは、いともたやすく事件が発生します。厳密なセキュリティポリシーの策定に加えて、それをサポートするシステムが必要です。

セキュリティ対策は「知ること」から

企業にとって適切なセキュリティ対策を講じるには、まずどのような事件が発生しているかの実態を知り、そこから必要な対策について考えることです。本稿でご紹介したセキュリティ侵害の実態から、自社に発生し得るセキュリティ事件を想定し、適切な対策について戦略を練ることが重要になります。

CrowdStrike Services サイバーセキュリティ侵害調査報告書2018

脅威ハンティングの最前線
2019年版グローバル脅威レポート: エグゼクティブサマリー

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


経営者が知っておきたいセキュリティ事故後の被害実態
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング