情報セキュリティ人材の現状と考え方
2019.11.19総合研究部 上席研究員 佐藤栄俊
【もくじ】
(1)セキュリティ人材は2020年に19.3万人不足するという予測
(2)脅威の昔と今の違い
(3)組織に求められるセキュリティ人材
(4)セキュリティ人材不足の解消に向けた取り組み
1.情報セキュリティ人材の現状と考え方
現在、情報セキュリティに従事する人材が世界規模で不足しているといわれています。セキュリティ対策における課題として、そもそも人材が不足しているということに加え、期待される役割や求められる知識・スキルについては、以前とはかなり変化してきています。今回の「情報セキュリティトピックス」では、こうした変化とそれに応じた取り組みについて考えるとともに、企業が求めるセキュリティ人材とは何を指しているのか、どのような人材が必要とされているのかについて整理していきたいと思います。
(1)セキュリティ人材は2020年に19.3万人不足するという予測
独立行政法人情報処理推進機構(IPA)が初めて国内における情報セキュリティ人材の需給状況に関する調査を公表した2012年において、企業で情報セキュリティ業務に従事する人材の推定数は23万人、不足数は2.2万人でした。それが、2016年に経済産業省が公表した調査結果では、2020年の必要数が56万人で、19万人が不足すると見込まれています。さらに、産業横断サイバーセキュリティ人材育成検討会が2016年9月に公表した報告書では、2016年時点で企業が必要とする情報セキュリティ人材を65万人と推計しています。
▼経済産業省「IT人材の最新動向と将来推計に関する調査結果」
このように情報セキュリティ人材への需要が急激に高まっている背景には、社会におけるITの利用、特にインターネットへの接続を前提としたサービスの利用が普及したことと、サイバー攻撃による被害が深刻化していることが挙げられます。「標的型攻撃」と呼ばれる、ターゲットとなる個人や組織をピンポイントで攻撃する巧妙な手口など、現在のサイバー攻撃は、同様の手法が情報や金銭を奪えそうなところに手当たり次第に適用されている状況に近く、インターネットに接続されている端末全てが攻撃の対象となっています。直近の事案でも、大手システムインテグレータにおけるランサムウェアへの感染、国立研究開発法人への不正アクセスによる情報漏えいが発生しており、情報セキュリティ分野の専門家を抱える組織であっても事故を防ぎきれないことが事実として示されています。たとえ1台の端末から得られる情報が断片的なもので、それ自体にほとんど価値がなくても、多くの端末から集めた情報をビッグデータ解析や人工知能(AI)による分析なりを通じて、企業の秘密情報や攻撃のヒントなど、価値ある情報を見つけやすくなったことも、こうしたサイバー攻撃の傾向を後押ししていると考えられます。
このような状況のなか、顧客向けにインターネットを介してサービスを提供している組織においては、インシデント対応が日常的な業務となっていることも珍しくありません。新たな脅威の動向についても情報収集を継続的に行わなければならず、こうした業務をこなせる人材は、前述の経済産業省の調査では、2016年時点で約1万人弱と推計しています。ネットワーク(通信)や各種OSの知識、およびシステムプラットフォーム、アプリケーション(Webアプリケーションを含む)の知識が不可欠であり、巧妙化しているサイバー攻撃と戦うためにはそれらの知識のみならず、少なくとも3年~5年の実務経験がないと実務レベルで活躍できるとは言い難く、19万人という数字はともかく人材が不足する(している)ということは的を射ています。大学等の教育機関で情報セキュリティを学ぶ機会を増やす取り組みは増加傾向にあるものの、こうした教育を修了した人材が社会で本格的に活躍するにはもう少し時間がかかり、情報セキュリティ人材の不足数の大幅な増加は、以上のような実態を反映しているものといえます。
一方、日経産業新聞 2018 年8月28日版に掲載された『セキュリティ人材、消えた「19 万人不足」』の記事では、『情報セキュリティ人材の不足を指摘する声が多いが、サイバー防衛の現場からは「不足感はない」との反論が多い。』との指摘もあります。このように、セキュリティ分野の人材不足が深刻化していると言われるもう一つの要因として、「セキュリティ人材の定義」が不明確な点があげられます。セキュリティに携わる人材は、最高情報セキュリティ責任者である担当役員の CISOから、セキュリティに特化した高度なスキルを有するホワイトハッカーまで様々であるにもかかわらず、セキュリティ人材として一括りにされています。
また、現在不足している人材の多くは、自社システムのセキュリティ確保を管理できる人材であり、セキュリティの専門家とは限りません。経済産業省も企業でのIT利活用人材において、セキュリティがわかる人材が足りないと報告しているにも関わらず、現状では、ホワイトハッカーのようなセキュリティ専門人材が不足していると一般的には解釈されています。
(2)脅威の昔と今の違い
以前は、ファイアウォールやアンチウイルスソフトなどに代表されるセキュリティ対策製品を導入することこそがセキュリティ対策でした。それらの製品は高い壁や厚い扉のようなもので、それらが設置されていれば、一定レベルの効果が得られました。その当時のセキュリティ対策とはそういうものであり、それでよかったのですが、それは今から10年以上前の話であり、現在のサイバー攻撃とセキュリティ対策の環境は大きく異なります。
インターネット黎明期の1990年代などには既にコンピュータウィルスなどは存在し、アンチウィルスソフトなどもすでにありました。セキュリティ対策の必要性なども、それなりに認知されていましたが、攻撃者のほとんどは興味本位の愉快犯であり、世の中に脅威を与えるほどのものでもありませんでした。現在ではサイバー攻撃が金銭目的化、政治目的化しており、効率的に収益を挙げるための世界的な「ビジネス」になっています。
ビジネスであるからには、さらなる効率を求めて分業もなされます。攻撃のターゲットや脆弱性を見つける役、マルウェアを作成する役、ターゲットに対して巧妙に不正侵入する役、その他にも専門的な役割が多数存在するはずです。それでもリソースが足りない時は、「ダークウェブ」などの闇市場から必要な情報や攻撃のためのツールなども入手することができます。もちろん、購入するだけでなく攻撃者の手元にある情報やツール類を売ることもできます。このダークウェブがサイバー攻撃をする者たちのエコシステムの役割を担っているであろうことは想像に難くありません。
これらのことは、もちろん推測の域を出ない部分もありますが、サイバー攻撃をビジネスとして考えれば、先述のようなスキームが機能していることは当然です。既にサイバー攻撃は、より高い収益を求めた組織によるビジネスになっており、攻撃力も以前とは比べ物にならないほどに強化されています。
このように、数年前と現在を比較した際に、IoT等のデジタル技術の普及に伴って、ITやセキュリティについての前提条件が変わってきました。企業にとっての”IT”とは、以前は、オフィス内の業務の効率化・省力が主な目的でした。現在ではそれに加えて、事業部門が主導して既存ビジネスのデジタル化を進める等、今や企業にとってのITはビジネスとしても位置付けられるようになってきました。そして、それに伴ってセキュリティ上の焦点も大きく変わりました。今までの主な焦点はオフィス内でしたが、これが、ビジネス化することにより、工場や子会社や委託先等ともITで密接に繋がるようになり、これらの部分も企業にとってのセキュリティの焦点として含まれるようになりました。つまり、守るべき対象が拡大してしまったのです。加えて、第三者による攻撃の目的も、単純ないたずら目的から、金銭の搾取や物理的な破壊等のテロ行為へと変わっていき、それに伴って脅威はどんどん巧妙化・複雑化していきました。これによって、企業にとって必要なセキュリティ人材像が変わってしまいました。今までは、企業・社会が求めるスキルは、ある程度画一的なものだったため、セキュリティ人材が保有するスキルが、それにマッチした状況が続いていました。しかし、現在は、前述のような背景もあり、人材に求めるスキルが各企業や組織によって固有なものになり、かつ、より複雑な「形」になってしまいました。これにより、これまでのセキュリティ人材のスキルではカバーしきれない領域が広がり、人材と市場ニーズがアンマッチな状況になっていると考えられます。
(3)組織に求められるセキュリティ人材
それでは、セキュリティ人材とはどういう人たちのことを指しているのでしょうか。「サイバー犯罪者を巧みに追い詰める、凄腕のホワイトハッカー」というイメージしやすいとこかもしれませんが、確かにこうした人材も活躍していますが、人数としてはごくわずかであり、国内企業の大多数で活躍する情報セキュリティ人材は、サイバー攻撃の監視や防御、インシデント対応や再発防止措置といった地道な作業を日々繰り返しています。セキュリティ人材と一言でいってもその領域は幅広く、日本ネットワークセキュリティ協会(JNSA)が2016年に公開した「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」では、セキュリティ人材の役割(ロール)を16に整理し必要なスキル項目を全体で400弱と具体化しています。
役割の表を見ていくと、「CISO(最高情報セキュリティ責任者)」や「情報セキュリティ監査人」など、聞きなじみのあるものに混じって、「脆弱性診断士」や「フォレンジックエンジニア」といった、自組織に必要なのか判断が困難なものが並んでいるのではないでしょうか。
▼日本ネットワークセキュリティ協会「セキュリティ知識分野(SecBoK)人材スキルマップ2017年版」
そもそも自組織に必要なセキュリティ人材モデルを明確に定義できていない組織が大半です。セキュリティ人材モデルが明確になっていない状態で、すべてをアウトソースしてしまったり採用や育成プランを検討したりしても、組織の特性を踏まえたセキュリティ対策が実現できないおそれがあります。
本スキルマップでは、役割ごとに「セキュリティベンダ職種」の記載があり、どういう専門業者にアウトソースすればよいのかが整理されています。中には「外部委託(アウトソース)しない前提」というのもあり、組織に適用しやすくなっていますが、役割をアウトソースした場合でも、その内容や結果の適切性については誰かが確認しなければなりません。もちろん、その確認もアウトソースすることが可能ですが、中長期で見た場合にセキュリティ業務の大半をアウトソースすることがよい結果になるかは判断が分かれるところです。
では、なぜセキュリティ人材モデルの定義ができていない組織が多いのか、理由はさまざまですが次のようなことが考えられるのではないでしょうか。
まず、前述したようにセキュリティ人材の専門性は非常に広範且つ複雑です。400弱から構成されるスキル項目を取捨選択し組織に備えていく必要がありますが、これらの中身を理解することから始めなければなりません。
また、自社のビジネスとセキュリティリスクの関連を明確にし、自社に必要な役割等を洗い出す必要があります。例えば、インターネットに接続できる機器を製造している会社であれば、データセンターに設置しているサーバやクライアントPCだけを守るのではなく、製造する製品のセキュリティ対策も考えなければなりません。
さらに、セキュリティ担当者が日々の業務に忙殺され、定義の整理や育成プランを考える時間がなく、セキュリティ対策が事後への対応のみになっており根本的な原因が把握されていないケースがよくあります。根本的な原因が不明であるため、その対策に必要な役割・スキルも明確にできないという問題になっているものと考えられます。
つまり、セキュリティ人材モデルを作成するにも、組織の状況を把握し相応のスキルを有したセキュリティ人材が必要ということです。人材あってのセキュリティ対策であるため、セキュリティ人材モデルと育成プランの作成を外部のコンサルタント等に支援を依頼するケースも増えています。人材育成には時間と費用がかかるため、中期セキュリティ戦略の中にセキュリティ人材戦略も組み込み、育成できるまではアウトソースを活用するといった企業も珍しくありません。
(4)セキュリティ人材不足の解消に向けた取り組み
国家資格として情報処理安全確保支援士制度の導入や産学官連携の教育の充実を促進するなど、国としてもセキュリティ人材充実に向けた動きは見られます。企業として、自社のセキュリティレベルを損なわず、また、人員数を出来る限り抑えながら人材不足の状況を改善する取り組みとして次のようなことが考えられます。
まず、やることとして推奨したいのが自社の“セキュリティ業務の可視化”です。セキュリティ業務は、次から次へと発生する新たな脅威に対して技術的な観点で迅速にキャッチアップしていく必要があり、「この製品のことはあの人しか分からない」等、運用管理業務が属人的になり易い傾向にあります。そうなると、特定の数名だけが“なぜか”忙しい状態に陥り、経営層は、人員補充をしようにも、その必要性が理解できない、という状況になってしまいがちです。このような“セキュリティ業務のブラックボックス化”を防ぐためには、セキュリティ業務全体のプロセスを可視化することが重要です。そして企業にとって求められるセキュリティレベルを維持していくためには、“どのような業務が必要なのか“を定義します。
また、企業にとって必要なセキュリティ業務を定義したら、次に“その業務を誰がやるのか”という人員配置戦略を考えます。選択肢は「社内人材」、「新規採用」、「アウトソース」、そしてシステム等を利用して人の手をかけない=「自動化」の大きく4つに大別されます。セキュリティ業務や企業の特性、経営戦略に従って、これらをバランスよく選択することが重要です。
さらに、人材配置のためには、キャリアパスの整備が欠かせません。セキュリティ業務に就く人材確保のために、社内リソースを有効活用(ローテーションや配置転換など)する際、“この業務を通してどういうキャリアを積めるのか”というキャリアパスの整備および明示が重要です。多様な経験を積んだ高度なセキュリティ人材は、会社を選べる立場にあります。その際に、キャリアパスが整備されており、“この会社に勤めたらこういうキャリアを積める”と明示されていることは、企業を選択するときのポイントになり得ます。これらは“ヒト・モノ・カネ”に関わることであり、経営層の関与が欠かせません。経営層と橋渡しをする人材が中心となって、セキュリティ人材難を乗り切れるだけの戦略を練り、経営層に重要性を訴えることが求められます。
経済産業省の「サイバーセキュリティ経営ガイドライン」の後押しもあり、サイバーセキュリティの取組を“投資”として捉える考え方が、 企業にも浸透しつつあります。人材不足を嘆くだけではなく、経営層を巻き込んで戦略的に改善活動に取り組む姿勢が企業に求められています。
「2020年にセキュリティ人材が19万3000人も不足する」予測に対して、「担当者の数を増やすべき」という意見から「しかるべきスキルや能力を有する人を増やすべき」という意見まで、IT業界内にはさまざまな見解があります。実際に人数がもう少し多ければということはありますが、それ以上に必要なことは「質」を確保し、高めていくことが重要なのではないかと考えます。インシデント対応の現場でよく実感するのが、脅威が分かっても対応できないから何とかしてほしいという声は多く、現場での対応を指揮したり、管理したりできる人材がいないことが一番の課題だといえます。
社内外の人材によるチームワークをうまく回せるバランス感覚や調整力、コーディネートができる素質が重要になる一方、脅威の解析や理解あるいは対応の実務といった現場寄りの人材では、セキュリティとは異なる視点やスキル、経験を持っているかがポイントになります。
それと、従業員全員が、セキュリティの専門家である必要はありませんが、ITの安全な利活用のためには、従業員全員がセキュリティの重要性を理解しておくことも大事です。まずは、経営層が、サイバーセキュリティを企業の責任として捉えること。そして、セキュリティの重要性を率先して社員に訴えることです。そして、従業員は新しいサービスを創出するとき、または既存のサービスについてあらためて考えたとき、「セキュリティ面ではどういう課題があるのか」「どんな事故が起こりうるか」「事故対応の方法は」などを課題に加え、明確な対応方法を定めておくことも大事な視点です。
2.最近のトピックス
▼トレンドマイクロ
「法人組織におけるセキュリティ実態調査2019年版」
トレンドマイクロ社は、10月15日、「法人組織におけるセキュリティ実態調査2019年版」の結果を公表しました。本調査は、国内の民間企業や官公庁自治体といった法人組織を対象に、セキュリティのインシデント被害状況や対策状況などを把握するために行われた調査結果を公表したもので、同社は大きく2つのポイントを挙げています。
1つめは、「法人組織のセキュリティインシデント発生率」です。調査期間である2018年4月~2019年3月までの1年間で何らかのセキュリティインシデントを経験した法人組織の割合は57.6%で、前年(66.6%)から改善がみられたものの、依然として高い状況が続いています。特に発生率が高い業種は、中央省庁、都道府県庁、金融で、これらの組織は「行政に関する情報、個人情報や金融情報などの機密性の高い情報を多く取り扱っていることから、サイバー犯罪者に狙われやすいことが背景にある」と同社では言及しています。
また、他業種と比べセキュリティ意識が高く、対策が進んでいるために「サイバー攻撃を受けた場合に検知しやすいことも発生率の高さの一つだ」と推測しています。
インシデント別には、最も多かったのが「なりすましメールの受信」となっています。
また、遠隔操作ツール(2位)やランサムウェア(4位)など、ウイルス感染も上位に入っており、特に遠隔操作ツール感染の発生率は昨年調査から約1.7倍に増加しており、法人組織としてはこうした脅威への対策強化も急がれます。
2つめは「重要インフラのセキュリティの課題」です。医療や金融、製造、運輸・交通、インフラといった業種特有の環境におけるセキュリティインシデント発生率を見ると、水道・ガス・電力といった生活インフラサービス提供環境での発生率が50.0%と高い結果が得られています。これらの社会インフラ事業ではウィルス感染のインシデントが最多で、「ランサムウェアなどの、サービス提供に深刻な影響を及ぼす脅威が想定される」ということになります。
また、医療や金融など、機密性の高い情報を取り扱う環境においても、数多くのセキュリティインシデントが発生していることから、「業種特有環境におけるセキュリティの課題は依然として多い」と同社は指摘しています。
実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。
また、標的となるのは、その多くが一般社員であり、十分な知識等をもっていない場合も少なくありません。そのためには、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理になれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だといえます。
▼トレンドマイクロ
「「App Store」と「Google Play」上で偽ギャンブルアプリが多数拡散」
トレンドマイクロ社は、10月15日、「App Store」「Google Play」というアプリ公式マーケット上で数百もの偽アプリを確認したとして、ブログで注意喚起しています。これらの偽アプリは、表面上は一般的な正規アプリのように見えるものの、実際のお金を賭けるギャンブルやカジノなどのリアルマネーゲームアプリの側面を隠し持っているとのことです。一部のアプリ概要欄では日本語が使用されているものもあったといいます。たとえば、アプリの概要欄では「世界の休日情報」を提供するアプリと記載されているものの、ダウンロード後にアプリを開くと、概要欄の説明とはまったく異なるアプリの内容が表示されるといったケースです。攻撃者は、正規のアプリになりすまし、これらの偽アプリを、利用者が気づかないうちにダウンロードするよう仕向けているとみられます。確認された偽アプリの一部は、App Storeのアプリランキングで100位圏内に入っており、評価が10万件以上に上ったものも確認されています。
同社の調査では、偽アプリはギャンブルアプリ画面を読み込むだけで、利用者に不利益を与えるような不正な活動は確認されていません。しかし、被害が確認されていないからといって、アプリが安全であるとはいえません。偽アプリはすでに削除されているということですが、同社は、偽アプリが公式マーケットの審査を通過した事実を重視しており、被害を未然に防ぐため、アプリをインストールする前にアプリの概要欄やレビューをよく読み、不審な機能や動作がないか確認するなどの対策を行うよう呼びかけています。
このようなフィッシングは、利用者を偽サイトに誘導し、金融機関などのサイトにログインするID、パスワードや、送金などの重要な処理に必要な情報を盗み出す詐欺行為です。アカウント情報が盗まれ「なりすまし」により不正送金やウィルス拡散などの犯罪行為の片棒を担がされる可能性もあります。このような脅威に対して、「知らない、(実態が)見えない、(被害に遭った)経験がない」ことで、多くの企業・個人が現実感を持てず、十分な対策をとれていないのが現状です。企業は、社内でフィッシング詐欺の手口や注意の必要性をアナウンスするとともに、セキュリティ対策の見直しと万が一被害に遭った場合の対処法を確認しておく必要があります。
▼内閣サイバーセキュリティセンター(NISC)
「政府のサイバーセキュリティに関する予算」
内閣サイバーセキュリティセンター(NISC)は、10月18日、政府のサイバーセキュリティに関する予算について発表しました。令和2年度の予算概算要求額は881.1億円となり、令和元年度当初予算額(712.9億円)から約168億円増加しています。最も予算が多かった施策は「システム・ネットワークの充実・強化」(防衛省)の176.5億円となっており、次いで「サイバーに関する最新技術の活用」(防衛省)の44.6億円です。前者は「陸上自衛隊が運用するシステム・ネットワークの状況を一元的に管理するシステム整備」、後者は「不正メール等の自動判別や脅威度の判定にAIを活用」と説明しています。
また、NISCの予算要求額は40.5億円で「不正な通信の監視・監査及びインシデントの事後調査等」「サイバーセキュリティ協議会の運用等」「2020年東京大会とその後を見据えた取組」「サイバーセキュリティに係る情報発信・意識啓発の方策の強化」「国際連携の強化」などが予算重点化方針として挙げられます。10億円以上の予算を計上しているのは11施策で、省庁別に概算要求額の割合を見ると、防衛省(27.0%)、総務省(17.6%)、経産省(13.5%)、文科省(5.6%)、警察庁(5.6%)、NISC(4.6%)の順となっています。
東京五輪のほか、インフラや仮想通貨(暗号資産)取引所など、標的は広範囲に及んでいる今、官民に関わらずより踏み込んだ取り組みや迅速な対策に当たる体制づくりが求められています。サイバー空間は目に見えなくても、身体、生命、財産、社会活動に対し、「目に見える脅威」だということをあらためて認識する必要があります。「守るべき情報に対する安全は、十分な配慮がなされているか」、組織規模に関わらず十分な対策が進んでいないところが攻撃者にとってターゲットであり、都合の悪い状況を生み出していないか自問する必要があります。政府含め企業も今後、全社的なリスク管理として、自社が十分な情報を管理するレベルを満たしているかどうか、自ら評価し律していくことが要求されています。
▼独立行政法人 情報処理推進機構(IPA)
「情報セキュリティ安心相談窓口の相談状況[2019年第3四半期(7月~9月)]」
独立行政法人 情報処理推進機構(IPA)は、10月25日、「情報セキュリティ安心相談窓口」の相談状況(2019年7月~9月)を発表しました。これは、2019年7月1日から9月30日の間に対応した相談に対する統計を紹介したものです。
本レポートによると、同窓口に寄せられた相談件数は2,925件と、前四半期から約10.7%減少しています。そのうち、相談員による対応件数は1,817件だったとしています。また、本レポートでは、主な手口に関する相談員の対応件数も発表されています。まず、ウィルスを検出したという偽警告で不安を煽り、電話をかけさせてサポート契約に誘導する「ウィルス検出の偽警告」に関する相談件数は326件で、前四半期から約6.3%減少しています。続いて、「ワンクリック請求」については、パソコンとスマートフォンをあわせた相談件数が90件となり、前四半期から約12.5%増加しています。また、「不正ログイン」に関する相談件数は64件で、こちらは前四半期から約20.0%減少、「宅配便業者をかたる偽SMS」に関する相談件数は、334件となり、前四半期から約27.2%減少しています。そして、「仮想通貨で金銭を要求する迷惑メール」については、95件の相談が寄せられ、前四半期から約4.4%の増加となっています。
最近、国内外でサービスを提供しているポータルサイト、ECサイトが相次いで不正ログインの被害に遭っています。攻撃者は、世界中で数十億件流出している使い回されたIDとパスワードを用いて正規の手順で不正にログインすることができます。対策として、生体認証や二段階認証などの仕組みが登場しているものの、すべて事業者がシステムの改修や投資に即踏み切れていないのが現実です。多要素認証は安全性の向上に繋がる一方、認証手順が増えるため利用者の利便性を低下させることになります。多要素認証の導入を単に推進するのではなく、扱う情報や資産の性質と、安全性や利便性のバランスを考慮して、サービスごとに適切な認証環境を構築する必要があります。また、利用者においては、極力サービスごとにパスワードを使いまわさないということであり、利用者側の意識の持ちようも重要だといえます。
3.最近の個人情報漏えい事故(2019年9月、10月)
下記の表は、今年9月と10月に発生した個人情報漏えい事故一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
※情報セキュリティに特化したニュースサイトであるSecurity Next、その他マスコミで報道されたものをまとめたポータルサイト、各行政や企業がWebサイトで公表したものを参考に当社作成。
業種 | 発生原因 | 対象 | 備考 | |
1 | 公立高校 | 書類紛失 | 3年生95名の氏名と、81人の進学希望先が記載された書類 | 教諭がプリンターから2枚出力して、手に持って担任を務める教室に移動したところ、2枚のうち1枚が無いことに気付いた |
2 | 教育 | メール誤送信 | メールアドレス157件 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
3 | 外食チェーン | ノートPC紛失 | 顧客数最大67,280件の氏名、電話番号、その内、10,475件はメールアドレス | 社員が帰宅途中に立ち寄った小売店舗で紛失 |
4 | 市 | 書類紛失 | 19名の氏名、性別、生年月日等が記載された書類 | 事業者の職員が本部に当該書類を持ち込むため移動中に、当該書類を入れた鞄を電車内に置き忘れ、紛失 |
5 | 県立高校 | USBメモリ紛失 | 1年生と3年生の生徒64名の氏名、課題テストの点数などが記録されたUSBメモリ | |
6 | 医療 | 携帯電話紛失 | 取引先担当者約170件の氏名、電話番号、同社の社員約40件の氏名、電話番号が登録された携帯電話 | |
7 | 私立大学 | メール誤送信 | メールアドレス282件 | |
8 | スポーツ協会 | 書類紛失 | 報道関係者96名の氏名、会社名、携帯電話番号などが記載された書類と15名の名刺 | |
9 | 市 | メール誤送信 | メールアドレス129件 | Bcc」で送信すべきところを誤って「To」で送信したため |
10 | 市立中学校 | 書類紛失 | 3年生35名の部活動・ボランティア活動などが記載された書類 | |
11 | 県 | メール誤送信 | イベントの参加者15名 | |
12 | 水道局 | メール誤送信 | 職員33名の氏名、人事評価等が記載された内申書のファイル | |
13 | 市 | 書類紛失 | 医療費助成制度の申請書13枚 | |
14 | 支援高校 | ハードディスク紛失 | 事などで使用する児童や生徒名のリスト360名分等が記録されたハードディスク3台 | |
15 | 研究機構 | メール誤送信 | 不明 | 「Bcc」で送信すべきところを誤って「To」で送信したため |
16 | 市 | メール誤送信 | メールアドレス95件 | 「Bcc」で送信すべきところを誤ってメールアドレスが表示される形式で送信したため |
17 | 市立小学校 | 書類紛失 | 4年生・6年生2クラス計54名の氏名、住所、電話番号などが記載された緊急時引渡しカード | |
18 | 県 | 書類紛失 | 申請者23名分の氏名、住所などが記載された狩猟免状31枚 | |
19 | 市 | メール誤送信 | メールアドレス17件 | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
20 | 県警 | 書類紛失 | 39名の氏名、クレジットカード番号等が記載された捜査資料のコピー | 居酒屋で飲酒を含めた飲食を約5時間にわたって行い、翌朝、同書類が入ったリュックサックを紛失したことに気付いた |
21 | 市立小学校 | 書類紛失 | 1年生34名分の氏名、学年、組等が記載された採点前のテスト用紙 | |
22 | 府 | メール誤送信 | 企業5社12名のメールアドレス | 「Bcc」で送信すべきところを誤って「Cc」で送信したため |
23 | 協会 | 不正アクセス | 検定試験のテキストや過去問の購入、通信教育の受講申込などを行った顧客2851件の氏名や住所、電話番号、メールアドレスなど。一部生年月日や性別、会社名など | データベースが削除されており、復旧を条件に身代金が要求された。
失われたデータベースの回復を条件に、約3万円相当にあたる0.03BTCのBitcoinを指定のアドレスへ送信するよう要求する内容だった。 |
24 | 国立大学 | USBメモリ紛失 | 受講生320人分の氏名や学籍番号、学部、出欠記録など | |
25 | 交通 | 不正アクセス | 同サイトでは個人情報を保有していないが、閲覧者が改ざんされたサイトへ誤ってクレジットカード情報など個人情報を入力した場合、詐取された可能性がある。 | |
26 | 決済サービス | 不正アクセス | 法人情報7930件をはじめ、法人代表者や窓口連絡担当者1万539件の氏名、住所、電話番号、メールアドレス、一部代表者の生年月日など | 人為的ミスによる設定の不備で、テスト用システムに対し、インターネット経由でアクセスできる状態になっていた |
27 | 電力 | 書類紛失 | 顧客116契約分の氏名や住所、契約管理番号など | |
28 | ゲーム・イベント | 不正アクセス | アーケードゲームをプレイした最大3255人のユーザー情報 | |
29 | 県立病院 | 書類紛失 | 患者59人のカタカナ表記の氏名や年齢、病名、ID、一部患者の薬品名など | |
30 | 交通 | 不正アクセス | 顧客の氏名、企業または団体名、住所、電話番号、メールアドレスなどが流出したおそれ | |
31 | 通販 | 不正アクセス | クレジットカード情報最大1269件で、名義や番号、有効期限、セキュリティコー | |
32 | 市 | メール誤送信 | 寄付者1人の氏名と住所が記載されたファイル | ファイルの誤添付 |
33 | 通販 | 不正アクセス | クレジットカードで商品を購入した顧客情報8件。クレジットカードの名義、番号、有効期限、セキュリティコードな | |
34 | 私立大学 | メール誤送信 | 499名の氏名とメールアドレス | |
35 | 情報サイト | 不正アクセス | 16万9843件のアカウントでメールアドレスと暗号化されたパスワード | |
36 | 市 | 書類紛失 | 退所者19人分の個人情報が記載された入退所の報告書。氏名や性別、生年月日、野宿生活地、最終住民登録地、入退所日、退所理由、入所中の就労経験の有無など | |
37 | 府 | メール誤送信 | 職員7人の氏名や生年月、年齢、最終学歴などの人事関連情報含むファイルを誤って添付 | ファイルの誤添付 |
38 | 通販 | 不正アクセス | クレジットカードの名義や番号、有効期限、セキュリティコードなど2905件 | |
39 | 県 | 不十分なマスキング処理 | 封筒の宛名に関する墨塗り処理が適切に行われていなかった | |
40 | 地方銀行 | 書類紛失 | 本人確認書7114件で、氏名や住所、生年月日と運転免許証や健康保険証など、公的証明書のコピーなど | 誤廃棄の可能性 |
41 | 県立高校 | USBメモリ紛失 | 夏休み課題テストの素点など、生徒64人分の個人情報 | |
42 | オンラインショップ | 不正アクセス | 個人情報最大228件で、クレジットカードの名義や番号、有効期限、セキュリティコードなど | |
43 | 医療 | 不正アクセス | サーバがランサムウェアに感染し、システム障害が発生 | |
44 | 不動産 | 誤って提供 | オーナーの個人情報1100件が記載された表計算ファイル | |
45 | 通販 | 不正アクセス | 顧客203人のカード情報でクレジットカードの名義や番号、有効期限、セキュリティコードなど | |
46 | 通販 | 不正アクセス | 顧客最大1万1913件のクレジットカード情報でクレジットカードの名義、番号、有効期限、セキュリティコード | |
47 | 医療センター | 書類紛失 | 整形外科で手術予定だった患者33人の氏名、年齢、性別、手術予定日、術式、執刀医の名字など | 委託先の従業員が、業務車両内に鞄を置いたまま、同社倉庫内で作業していたところ、車上荒らしに遭った |
48 | 私立大学 | 書類紛失 | 学生98人分の氏名と学籍番号が記載された学生配置表 | |
49 | 県 | メール誤送信 | メールアドレス11件 | 送信先を宛先に設定したため |
50 | 通販 | 不正アクセス | 顧客34人分のクレジットカード情報でクレジットカードの名義、番号、有効期限、セキュリティコード | |
51 | 市立中学校 | 誤配布 | 「平成30年度いじめ事案集計表」で、被害生徒の氏名や性別、欠席日数のほか、関係する生徒の氏名や性別、いじめの内容、指導経過、対応結果など | |
52 | 旅行 | 不正アクセス | 顧客のメールアドレス1895件など | |
53 | レンタルサービス | 不正アクセス | 支払い方法や届け時間の指定に関するページや、注文完了前に表示される入力内容の確認ページを閲覧すると、フィッシングサイトに誘導される状態だった | |
54 | 地方銀行 | 書類紛失 | 1万397件に関する顧客情報が記載されていた伝票で、氏名や住所、電話番号、生年月日、性別、勤務先、口座番号、取引金額、印影など | 誤廃棄の可能性 |
55 | 市 | メール誤送信 | 登録ボランティア10名のメールアドレス | |
56 | 製造 | メール誤送信 | 19名のメールアドレス | 送信先を誤って宛先に設定したため |
57 | ケーブルテレビ | 書類紛失 | 顧客30世帯の氏名と住所 | |
58 | 市 | USBメモリ紛失 | 257世帯265人分の氏名、住所、性別、生年月日、世帯主氏名など | |
59 | 県 | メール誤送信 | 参加者1組の住所や携帯電話番号、メールアドレス、子どもの氏名、年齢、学年 | |
60 | 通販 | 不正アクセス | 顧客のカード情報最大1万8855件。クレジットカードの名義や番号、有効期限、セキュリティコード | |
61 | 市 | 書類紛失 | 医療助成費支給申請書13件および領収書57件 | |
62 | 国立大学 | 不正アクセス | フィッシングサイトにパスワードを入力、アカウント情報を詐取された | 7件のアカウントから4万1697件のフィッシングメールが送信されたことを公表、関係者へ注意喚起を行っていたが、その後被害にあったアカウントに保存されていたメールを閲覧され、個人情報が流出している可能性があることが判明 |
63 | 通販 | 不正アクセス | クレジットカード情報10万7661件で、クレジットカードの名義、番号、有効期限、セキュリティコード | |
64 | 機構 | メール誤送信 | 送信先を宛先に設定したため | |
65 | 県立高校 | 誤って投影 | 生徒57人分の成績一覧表がホワイトボードに誤って投影され、教室内の生徒が閲覧できる状態になったもの。氏名や出席番号、得点、課題ノートの評価点など | 非常勤講師が、生徒に予習を指示し、その間にパソコンをプロジェクターへ接続してパソコン内の表計算ソフトに成績などを入力していたが、作業の様子がホワイトボードに投影されていた |
66 | 国土交通省 | 書類紛失 | 57件の自動車登録申請書 | 誤廃棄 |
67 | 区立中学校 | 書類紛失 | 288人分の入学予定者の氏名、生年月日、保護者氏名、住所など | |
68 | 通販 | 不正アクセス | 顧客のクレジットカード情報最大1万6109件で、クレジットカードの名義や番号、有効期限、セキュリティコードなど | 2018年11月7日にクレジットカード会社から決済代行会社を通じて指摘があり問題が発覚。クレジットカード決済を停止し、調査などを行っていた。 |
69 | 銀行 | 不正アクセス | 顧客取引先や従業員など1305件で、取引先名、取引銀行、支店名、口座番号、取引金額、メールアドレスなど | |
70 | 市 | メール誤送信 | 17人のメールアドレス | 送信先を誤って「CC」に設定したため |
71 | 市立高校 | 書類紛失 | 生徒から回収した8クラス320人分の理科の授業に関するアンケートで、生徒の氏名や学年、クラス、生年月日、出身中学校など | |
72 | 大学病院 | 書類紛失 | 診察予定の患者の個人情報が記載された予約患者一覧表で、患者15人分の氏名や電話番号、年齢、性別、担当医師名、予約日や予約時間など | |
73 | 通販 | 不正アクセス | レジット決済を利用した顧客のカード情報最大133件で、カード名義やカード番号、有効期限、セキュリティコード |
「23」は、仮想通貨(暗号資産)を要求する日本語の脅迫メールで、全国的に「あなたのパソコンをハッキングした」「あなたがアダルトサイトへアクセスした姿をウェブカメラで撮影した」などと称して、撮影したデータの削除と引き換えにビットコインを要求するメールが出回っています。このような詐欺の手口は1年前にも多く確認されており、実際に被害も出ています。メールの内容が凝っていたためにプライベートな動画を知り合いにばらまかれてはたまらないと考えた人が多かった、さらに、データ消去と引き替えに要求された250ドルという金額が手ごろだった、ということから支払ってしまったのではないかと推察されます。一度成功した攻撃の手口は、利用者が忘れた頃に繰り返される傾向にあります。攻撃が下火になったとしても、利用者は継続的に注意を怠らないようにする必要があります。ネット詐欺においても、実社会の「振り込め詐欺」等と同様に、その手口を知っておくことが対策の一つになります。さらに、メールのフィルタリング機能やセキュリティソフトなどを利用し、なるべく不審なメールが手元に届かないようにするのも有効です。
この瞬間、私はあなたのアカウントをハッキングし、そこからメールを送りました。私はあなたのデバイスに完全にアクセスできます。あなたのパスワードは○○○○です。私はポルノ資料のウェブサイトにマルウェアを置きました。あなたはこのウェブサイトを訪れて楽しんでいました。私はあなたのスクリーンとウェブカメラへのアクセスを提供するキーロガーを持っています。私のソフトウェアプログラムはあなたのメッセンジャー、ソーシャルネットワーク、そして電子メールから連絡先全体を集めました。あなたは何をすべきですか?まあ、私は$650が私たちの小さな秘密の公正な価格だと信じています。あなたはBitcoinによる支払いを行います。私のBTC住所:********* (それはcAsEに敏感なので、コピーして貼り付けてください)お支払いを行うには2日以内です。私がBitcoinを手に入れなければ、私は間違いなく、家族や同僚などあなたのすべての連絡先にビデオ録画を送ります。しかし、私が支払いを受けると、すぐにビデオを破壊します。
メールの内容は複数のパターンが確認されていますが、特徴として以下の点があります。
- 「アダルトサイトを閲覧している姿を撮影し、連絡先情報を収集した」と脅す
- 「あなたが見たアダルトサイトにウイルスを仕込んだ。」「それにより、あなたがアダルトサイトを見ている姿をウェブカメラで撮影した。「その後に、あなたの電子メールやSNSにある連絡先を収集した。」というような内容の説明がされています。
- 仮想通貨(暗号資産)を要求する
- 「撮影されたあなたの映像を家族や同僚にばらまかれたくなかったら、ビットコインで5,000ドル(金額はケースによって異なります。)を支払え「支払えば、撮影した映像は即座に消去する」と記載されています。また、ビットコインを利用する際の口座番号に相当するビットコインアドレス等が記載されています。
- 送信元が自分のアドレスになっている場合がある
- 送信先と送信元が両方とも自分の同じアドレスになっている場合がありました。これは送信時に差出人メールアドレスを詐称していると推察され、その様な詐称は技術的に可能です。迷惑メールのフィルタリングを回避することや、あたかもメールアカウントをハッキングしたと信じさせることが目的と考えられます。
- 自分のパスワードが記載されている場合がある
- 実際に受信者がウェブサービス等で設定したことのあるパスワードが1つ、メールの件名や本文冒頭に記載されている場合がありました。「これがあなたのパスワードであることを知っている」というような説明がされています。相談では、そのパスワードは、現在使用中のものである場合と、そうではなく古いものの場合とがありました。これは、外部のサービスから何らかの原因でデータが漏えいし、それをもとに記載されていると考えられます。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556