情報漏えいの件数と原因
東京商工リサーチの調査によると、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は175件(前年比 6.0%増)で、漏えいした個人情報は前年(592万7,057人分)の約7倍にのぼる4,090万8,718人分(同590.2%増)、大幅に増加しています。社数は147社で、前年から3社減少しましたが、過去2番目の数値です。
原因別にみると、「ウイルス感染・不正アクセス」の93件(構成比53.1%)が最多で、半数以上を占めました。次いで、「誤表示・誤送信」が43件(同24.5%)で、メール送信やシステムの設定ミスなどの人為的な要因も多くなっています。
内部的な要因での情報漏えい事件の事例
以下では、クラウド環境の設定ミスをはじめとした、うっかりのミスによる情報漏えいの事例を紹介していきます。
エイチームの情報漏えい
エイチームは2023年12月、個人情報を含むファイルがインターネット上で閲覧可能な状態にあった事案の調査結果を公表しました。同社が運営するサービス・アプリの利用者や取引先企業、同社グループの従業員や採用候補者などの個人情報が漏えいした可能性があり、最大で93万5,779人に影響が及ぶそうです。
原因は、クラウドサービス「Google ドライブ」で閲覧範囲の設定を誤り、1,369件のファイルに対してリンクを知っているインターネット上のユーザー全員がファイルを閲覧できる設定にしていたことによります。
- 期間:2017年3月~2023年11月22日
- 対象:氏名、住所、電話番号、メールアドレス、所属会社名、顧客管理番号、端末識別番号など、最大で93万5,779人
Suishow(NauNau)の情報漏えい
Suishowが運営する、ユーザー同士で位置情報を共有するアプリ「NauNau(ナウナウ)」が、セキュリティの設定に不備があり、不正にデータベースにアクセスできる状態になっていた事を発表しました。
- 期間:2022年9月29日~2023年10月20日
- 対象:少なくとも200万人以上のユーザー
トヨタ自動車の情報漏えい
2023年5月12日にトヨタ自動車株式会社が、トヨタコネクティッド株式会社に管理を委託するデータの一部が、クラウド環境の誤設定により公開状態となっていたことが判明。該当サーバーは外部アクセスを遮断し、トヨタコネクティッド株式会社の管理するすべてのクラウド環境を調査する事を発表。
- 期間:2013年11月6日~2023年4月17日
- 対象:T-Connect、G-Link、G-Link Lite、G-BOOKの契約者約215万人
JTBの情報漏えい
JTBは、東京都から委託されていた多摩東京移管130周年記念イベントの一環で行う「デジタルクラフトカップ」のワークショップの申込者に対し、申込者の個人情報が閲覧できるURLが記載されたメールを誤送信したとのことです。
- 期間:2023年8月10日
- 対象:ワークショップ申込者の氏名、メールアドレス、電話番号、年代、居住地56組(62名)
サイバー攻撃や不正取得よる情報漏えい事件の事例
以下ではサイバー攻撃や従業員の犯行などにより情報漏えいが発生した事例を紹介しています。
ビックモーターの情報漏えい
ビックモーターは、2023年8月18日にWebサイトに不正アクセスが発生したと発表しました。
中古車の発注者情報などに被害はなくWebサイトでお問い合わせフォームを利用した方が対象で、漏えい件数は不明。漏えいした情報としては、対象顧客の氏名・住所・電話番号・メールアドレス等です。
- 期間:2016年11月~2023年8月
- 対象:上記期間に同社の問い合わせフォームを利用した顧客の氏名・住所・電話番号・メールアドレス等
宇宙航空研究開発機構(JAXA)の情報漏えい
宇宙航空研究開発機構(JAXA)は2023年夏頃からサイバー攻撃を受け、宇宙関連技術の機微な情報が閲覧された可能性がある事を2023年11月に発表しました。
JAXAが不正アクセスに関連する一部のネットワークを遮断したとし、「当該ネットワークではロケットや衛星の運用などの機微な情報は扱われていないと報告を受けた」と述べています。
関係者によると、JAXAのネットワークを一元管理している「アクティブディレクトリ」と呼ばれる機能を持つサーバーが不正アクセスを受け、攻撃者側が内部の幅広い情報にアクセスした疑いがあるとされています。
- 期間:2023年夏~秋頃
- 対象:役職員・派遣職員の個人情報5,000件余り
東京都パスポートセンターの情報漏えい
警視庁公安部は11月、東京都豊島区の池袋パスポートセンターでパスポートセンターの業務を受託するエースシステム(東京都足立区)に勤務していた中国籍の元契約社員が個人情報の書かれた付箋紙を盗んだとして、中国籍の女を書類送検しました。
- 期間:2020年5月~2023年3月
- 対象:旅券発給申請書、戸籍謄本等に記載の指名・住所・電話番号あわせて1,920人分
LINEの情報漏えい
LINEヤフーの関係企業にあたる、韓国NAVER Cloud社の委託先企業の従業員のPCがマルウェアに感染、その後、共通管理となっていた認証基盤を通じてLINEヤフーのサーバにも不正アクセスが働かれ、ユーザーの個人情報が流出しました。
- 期間:2023年10月以前
- 対象:ユーザーに関する個人情報30万2,569件(うち日本ユーザー12万9,894件)
NTT西日本の情報漏えい
NTT西日本子会社のNTTマーケティングアクトProCX(大阪市)は17日、顧客から受託したコールセンター業務に関する住所、氏名、電話番号など個人情報約900万件が外部に流出したと発表しました。元派遣社員による顧客情報の不正持ち出しが原因です。
2012年以降に発生した上場企業(子会社含む)の情報漏えい・紛失事案の中で4番目に大規模なものです。
- 期間:2014年4月~2022年3月
- 対象:同社における顧客の氏名・住所・電話番号・生年月日(一部)等 約120万件
情報漏えい対策の例
情報漏えい対策として、入口対策、内部対策、外部対策をご紹介します。
入口対策(攻撃の侵入を防ぐ)の例
- UTM の導入により、ネットワーク単位でサイバー攻撃を防ぐ
- サーバーやシステムのOSアップデートを適宜実施し、既知の脆弱性に対応する
内部対策(マルウェアなどに侵入された後にデータを守る対策)の例
- ファイルを暗号化し、不正流出しても閲覧できないようにする
- ファイルのバックアップを取り、データ破壊されても復旧可能にする
- サンドボックスを導入し、ダウンロードしたファイルを仮想環境で実行する
出口対策(侵入後に被害発生を抑える対策)の例
- 振る舞い検知ツールを利用し、怪しい端末やIPへの情報送信を検知・遮断する
- ログ取得により、社内からの情報漏えいやマルウェア感染後の振る舞いを検知し、調査する
セキュリティ意識の向上
最もコストパフォーマンスがよく、かつ効果につながる情報セキュリティ対策は、従業員のセキュリティ意識の向上です。
以下では、セキュリティ意識を向上する方法を紹介します。
情報セキュリティ研修でInsecamを紹介する
Insecamは世界中でID・パスワードを設定していない、もしくは初期パスワードから変更されていないインターネットに接続されたカメラの映像をリアルタイムで表示するサイトで、日本でも企業のオフィス内、工場、マンション、飲食店のカメラ映像が現在もリアルタイムで配信されています。セキュリティ設定を行わなかったらどうなるか?が垣間見えるサイトになっています。
「セキュリオ」標的型攻撃メール訓練を試してみる
LRMがご提供するセキュリティ教育クラウド「セキュリオ」の標的型攻撃メール訓練なら、豊富な手法・文面・ドメインのテンプレートから選び放題、もちろんカスタマイズやオリジナル文面作成も可能です。また、eラーニング機能や毎週配信のミニテストと組み合わせて標的型攻撃メール訓練の効果を高めつつ、継続的に維持することができます。
まずは無料で始めましょう。
まとめ
今回の記事でご紹介した通り、年々情報漏えいの事故件数も流出する個人情報の数も増加しています。
この記事で紹介している事例は、どの企業でも発生する可能性があるものなので、定期的な情報セキュリティ教育と社内で不正が発生しない人間関係を構築する必要があります。