情報セキュリティ トピックス
総合研究部 研究員 吉田 基
【もくじ】
(1)人手によるランサムウェア攻撃
(2)二重の脅迫
(3)感染経路
ランサムウェアによる被害と対応
1.はじめに
警察庁が公表する「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」によると、国内の企業・団体等に対するランサムウェアによる被害は、令和2年下半期が21件であるのに対し、令和3年上半期が61件で、大幅に増加しています。また、日本経済新聞9月20日の朝刊によると、ランサムウェア攻撃に対し、身代金支払いに応じた日本企業は、33%(約50団体)も存在しました。
一般的にランサムウェアとは、身代金を意味する「Ransom」とソフトウェア「Software」を組み合わせた造語で、身代金を要求するマルウェアの一種です。ランサムウェアに感染すると、パソコンのファイルが暗号化されたり、画面がロックされる等して、利用することができなくなり、場合によっては、事業継続を脅かしかねない事態に陥りかねません。また、ドイツの病院では、ランサムウェア攻撃を受けたため、システムがダウンし、同病院へ搬送中の女性を受け入れることが不可能となりました。また、日本でも徳島県の町立病院において、ランサムウェアに感染し電子カルテを使用できなくなり、新規の患者の受け入れを停止する事態に陥っています(徳島の町立病院にサイバー攻撃 新規患者受け入れ停止 復旧は未定)。このように、国内外で、ランサムウェアによって、事業継続だけではなく、人の生命身体が脅かされかねない事態に陥る可能性もあります。
2.攻撃手法
従来は、明確に標的を定めることなく不特定多数人に対して、広く、ランサムウェアによる攻撃が仕掛けられていました。もっとも、新たな攻撃手口として人手によるランサムウェア攻撃(human-operated ransomware attacks)と二重の脅迫(double extortion)が確認されています(【注意喚起】事業継続を脅かす新たなランサムウェア攻撃について~ 「人手によるランサムウェア攻撃」と「二重の脅迫」~)。
また、従来型のランサムウェアの場合、システム担当者であれば十分に支払い得る少額の身代金の要求でしたが、近時のランサムウェア攻撃では、数千万円を超える額が要求される場合もあります。
(1)人手によるランサムウェア攻撃
攻撃者自身が様々な攻撃手法を駆使して、企業・組織のネットワークへひそかに侵入し、侵入後の侵害範囲拡大等を行います。そして、事業継続に関わるシステムや、機微情報等が保存されている端末やサーバを探し出してランサムウェアに感染させたり、ドメインコントローラのような管理サーバを乗っ取って、一斉に企業・組織内の端末やサーバをランサムウェアに感染させたりする攻撃方法です。
ランサムウェアの対策としては、バックアップをとっておき、ランサムウェア感染した際に、復元するというものが挙げられます。しかしながら、攻撃する側は、標的とする企業がバックアップをとっていることを前提に攻撃を仕掛けてくるため、バックアップも同時にランサムウェア攻撃の対象にしています。
したがって、バックアップ体制を改めて確認しておき、もしもランサムウェアに感染した場合に備えておく必要があります。バックアップの方法として、注目を集めているのが、バックアップにおける「3-2-1ルール」です。バックアップの「3-2-1ルール」とは、重要なデータを保護するのであれば「ファイルのコピーは3個(プライマリー1個とバックアップ2個)を保管して、ファイルを保管する記録メディアは異なる2種類を採用して、コピーのうちの1個はオフサイトに保管すべし」とするルールをいいます。さらに、Veeam Softwareというスイスに本社を置くソフトウェア会社より「3-2-1-1-0ルール」が提唱されています(ランサムウェア対策に「3-2-1-1-0」–ヴィームが推奨)。「3-2-1-1-0ルール」は、「3-2-1ルール」に加え、データ操作の可能性を排除するために、コピーの書き変えを不能とし、オフラインで保存すること、エラーのない検証済みのバックアップを確保するというものです。また、バックアップを毎日監視し、復元テストを定期的に実行して有効であることを確認していくことも求められます。
このように攻撃手法の進化にあわせるように、対応策たるバックアップの方法が続けざまに提唱されています。常時あるいは定期的に対応策を向上できれば理想的といえますが、多くの企業で難しいのが現実かと思います。したがって、自社にとって重要な情報や直ちに復旧を要する情報は何かを洗い出し、どこまでリスクを許容できるか等を検討し、見合った対応をとることとなります。
(2)二重の脅迫
ランサムウェアにより暗号化したデータを復旧するための身代金の要求に加え、暗号化する前にデータを窃取しておき、支払わなければデータを公開する等と脅迫する攻撃方法です。
窃取されたデータは、例えば、攻撃者がインターネットやダークウェブに設置した、データ公開のためのウェブサイト(リークサイト)にて公開されます。身代金が支払われない場合、データの一部を公開し、日数の経過に伴い徐々に公開範囲を広げると脅す場合もあります。
(3)感染経路
感染経路は、VPN機器からの侵入やリモートデスクトップからの侵入などがあり、テレワーク環境が利用されています。ランサムウェアの被害にあわないために、VPN機器などのネットワーク機器をはじめとして、重大な脆弱性が公開されれば速やかに修正パッチの適用を行う必要があります。
また、SNSやメールに添付されたファイルを安易に開封しないことや本文に記載されたURLにアクセスしないなど、改めて基本的な対策を従業員に周知・啓蒙しておくことが重要となります。ちなみに、メールがhtml形式で書かれている場合、本文に記載されているURLと実際のクリックした先のURLが異なる場合があります。オンライン会議のURLなど、日常的にメール本文のURLをクリックしアクセスしがちですが、ウェブサイトにアクセスする場合には、検索エンジンを介し目的のサイトへアクセスする方が安全といえます。
3.身代金を払うべきか
令和3年上半期におけるサイバー空間をめぐる脅威の情勢等によると、ランサムウェア攻撃の被害にあえば、復旧まで1週間で済む場合もあれば、2か月以上も期間を要する場合があります。復旧費用についても1000万円以上を要する場合もあります。さらに、バックアップを取得していても復元できなかった企業が51%存在します。
ちなみに、法執行機関および民間組織が連携しランサムウェアの撲滅を目的とした「No More Ransomプロジェクト」(日本では、JPCERT/CC、IPA、JC3が参加しています。)があり、複合するためのツールが無償で利用することができます。
さて、身代金を支払うべきかについては、経済産業省の公表する「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」では、金銭の支払いを慎むべきであるとしています。詳細を確認しておくと、「データ公開の圧力から、攻撃者からの支払い要求に屈しているケースは少なくないとの報告は存在するが、こうした金銭の支払いは犯罪組織に対して支援を行っていることと同義であり、また、金銭を支払うことでデータ公開が止められたり、暗号化されたデータが復号されたりすることが保証されるわけではありません。さらに、国によっては、こうした金銭の支払い行為がテロ等の犯罪組織への資金提供であるとみなされ、金銭の支払いを行った企業に対して制裁が課される可能性もある。」とされています。したがって、一般論としては、企業は身代金の支払いを拒否すべきこととなります。もっとも、既に述べた通り、ランサムウェア攻撃により、生命身体が脅かされうる事態も発生しています。また、アメリカでは、市のシステムに対し攻撃がなされ、市や警察の公共機関が機能不全に陥るという事態も発生しています。このように一企業の業務に留まらず、公共機能が停止するため、早期復旧のために身代金を支払う判断も必ずしも否定されるものではないものといえます。
したがって、復旧可能性、復旧費用や復旧までの期間、事業がストップすることによる逸失利益、事業がストップすることにより生じる影響・被害を考慮し、身代金を支払うか否かの経営判断をしていくこととなります。近時の公表されているランサムウェア攻撃を見ていると、システム担当者では手に負えない状態であるように感じています。ちなみに、アメリカでは、バイデン政権が、ロシア系ハッカー集団への制裁措置を加えることを発表し、また、国務省がランサムウェア攻撃等の国際的サイバーセキュリティ問題に対応するための専門組織を新設することを発表しています。このように、サイバー攻撃を国家安全保障上の脅威として位置づけ、国家レベルで対応する動きがあります。
4.ランサムウェアに感染した場合の対応
【緊急レポート】ランサムウェアによる被害の拡大と対策のポイントで述べられている通り、相手に既に渡っているデータを回収する術はなく、ランサムウェアへ感染してデータが第三者に渡ってしまった後に実施可能な対策はほとんどありません。また、ランサムウェアの場合、リークサイトにおいて、公開され、広く情報を拡散されるため、被害企業が不特定多数人にランサムウェアに感染した事実を知られてしまいます。したがって、フォレンジック調査等の結果を待たず(この点は、不正アクセスによるカード情報漏洩等とは対応を異にします。)、攻撃を受けた事実を公表するか、する場合にはどのように公表するかなど迅速な対応を迫られることとなります。
基本的には、情報主体へ謝罪と説明を行うことが優先され、クレジットカード情報の漏洩と同じであり、漏洩原因・件数・期間・発生しうる二次被害などを公表文に記載していくこととなります。これまでの漏洩事案対応の経験則からすると、自分は対象なのか(情報漏洩されてしまったのか)、という問い合わせがなされるため、必要に応じ第三者の調査機関の調査により漏洩の対象範囲を確認しておく必要もあります。
また、身代金を支払わないとしてもフォレンジック調査、コールセンターの設置、弁護士費用、コンサルティングカンパニーの利用など多額の費用を要します。そのため、事前準備としてサイバー保険に加入しておくことも検討しておく必要があります。なお、身代金に関してはサイバー保険の補償対象範囲となりません(サイバー保険とは)。また、フランスでは、大手損害保険会社が、ランサムウェア攻撃に遭った顧客がサイバー犯罪者に支払った身代金を補償する契約を停止することを発表しています。一方で、アメリカでは身代金の支払いが保険で補償される場合もあり、世界的に議論がなされている現状です。
5.まとめ
ランサムウェア攻撃により、事業継続や生命身体が脅かされうる事態が生じ得て、感染した場合、対応の緊急性が要求されます。また、平時より、もしもの場合に備えて重要な情報や直ちに復旧を要する情報は何かを洗い出し、どこまでリスクを許容できるか等を検討しておくことが重要です。
参考
- 令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について
- 最近のサイバー攻撃の状況を踏まえた経営者への注意喚起
- ランサムウェア対策特設ページ
- 増島雅和・蔦大輔『事例に学ぶサイバーセキュリティ 多様化する脅威への対策と法務対応』(経団連出版)
最近の個人情報漏えい事故(2021年9月、10月)
下記の表は、今年9月と10月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。
No | 原因 | 漏洩件数・原因 | |
1 | 市 | 盗難 | 自家用車が盗難に遭い、車内に置いていた高齢者の台帳などが盗まれた。
見守りの対象者46人や対象者の緊急連絡先35人に関する氏名、住所、電話番号、生年月日などが含まれる。 同市では、原則台帳の持ち出しは行わないこととしており、やむを得ず持ち出す必要がある場合も常時携帯することと定められていた。 |
2 | 県 | 誤設定 | サイト上にアクセスした利用者とは異なる個人情報が誤表示される不具合が発生した。アクセスの増加を見込んで導入したサービスの組み込みに問題があり、意図しない情報がキャッシュされていたことが判明した。 |
3 | 水産加工業者 | サイバー攻撃 | 基幹ネットワークがランサムウェア被害に遭い、サーバや端末に保管されていた業務関連情報をはじめ、顧客、従業員の一部個人情報が暗号化された。 |
4 | 製造販売業 | サイバー攻撃 | 管理システムが不正アクセスを受け、個人情報が流出した可能性があるという。対象となる個人情報は、最大10万件としており、氏名や住所、電話番号、ファックス番号、メールアドレス、問い合わせ履歴、購入履歴などが含まれる。 |
5 | 販売業 | サイバー攻撃 | 利用するサーバがランサムウェアによる攻撃を受けた。影響があったと見られる範囲を特定し、対応を進めているとしているが、情報流出の可能性などについては明らかにしていない。 |
6 | 公益財団法人 | 誤送信 | 送信先を誤って「CC」に入力したため、受信者間でメールアドレスが閲覧できる状態となった。流出したメールアドレス35件のうち、23件は団体代表者個人のメールアドレスだという。 |
7 | コンサルティング | サイバー攻撃 | 利用するサーバがランサムウェアの被害に遭った問題で、東京都は総務局、建設局、港湾局、都市整備局の4部局が同社へ業務を委託しており、業務関連データが外部に流出した可能性がある。
業務にあたり提供した情報には、八丈島と青ヶ島内における土砂災害特別警戒区域に該当する土地の所有者に関し、氏名と住所、該当する土地の地番、登記情報など個人情報約6300件が含まれていた。 建設局では、道路やトンネル整備など6事業、港湾局では、海底トンネルや防潮堤、運河、岸壁など7事業、都市整備局では、浸水対策や地域不燃化の検証、交差点設計など4事業において業務のために調査、測量、設計、施工などに関するデータを提供していた。 |
8 | 旅行業 | サイバー攻撃 | 北米の複数グループ会社が利用するサーバがサイバー攻撃を受けた問題で、調査結果を明らかにした。一部アカウントが不正アクセスを受け、システムに侵入されたという。
国内への影響については、これまでJTBの顧客に関するローマ字氏名2525件や、ログインID用のメールアドレス2396件が流出した可能性があると公表しているが、状況に変化はなく、流出の可能性を否定できないとしている。 またメールアドレス2396件に関して、このうち2180件は暗号化されており、1件は関係会社の企業アドレスであることが判明した。 今後身代金の要求があった場合も、応じることはないとの姿勢を明確に示している。 |
9 | ガス事業 | 紛失 | 顧客の個人情報を含む10年間分の書類が所在不明となっていることを明らかにした。誤って廃棄した可能性が高い。氏名、住所、連絡先、顧客番号など18万369件の顧客情報が含まれる。毎年8月に実施している自主監査で判明したという。 |
10 | 通販サイト | 不正アクセス | 顧客が決済に用いたクレジットカード情報1131件が流出し、不正に利用された可能性があることが判明したもの。
システムの脆弱性を突く不正アクセスによりサイトが改ざんされ、顧客が入力したクレジットカードの名義、番号、有効期限、セキュリティコードなど決済情報が転送される状態になっていたという。 |
11 | 通販サイト | 不正アクセス | システムの脆弱性を突く不正アクセスを受け、決済アプリケーションを改ざんされ、偽麺へ誘導される状態となり、クレジットカードの名義、番号、有効期限、セキュリティコードを窃取された。 |
12 | 鉄道会社 | 不正アクセス | 不正アクセスにより、ウェブサイト経由でサービスの利用を予約した顧客の氏名、住所、電話番号、メールアドレスなど最大4698件、ウェブサイトで問い合わせを行った顧客の氏名、メールアドレス、問い合わせ内容など最大880件が流出した可能性がある。 |
13 | 医療機関 | 不正アクセス | 医師が利用するクラウドサービスのアカウントが不正アクセスを受け、個人情報が流出した可能性がある。
同アカウントで送受信されたメールについて、患者情報の有無を調べたところ、パスワードを設定せずにのべ183人分の患者に関する個人情報を扱っており、攻撃者が取得できる状態だった。メールによって対象となる個人情報の項目は異なるが、患者の氏名や生年月日、患者のIDのほか、病状、手術記録、転帰、患者家族の氏名、住所、紛争状況などが含まれる。 |
14 | 県 | 誤送信 | 送信先を誤って宛先に設定したため、受講者53人の氏名とメールアドレスが互いに閲覧できる状態となった。 |
15 | 市 | 借金した相手方の要求に応じ、他職員の個人情報を伝えたと。
同市によれば、同職員は自身による借金の返済期限を延ばすため、個人的に知っている職場の上司や同僚など6人に関する氏名や個人の携帯電話番号を無断で伝えたもの。職務上扱う住民に関する個人情報は含まれていないとしている。「高金利とわかっていながら借金し、返済しない」とする同職員を名指しした怪文書が同市に対してファックスで届き、職員の情報も伝えているなどとして5人分の個人情報も記載されていたことから問題が判明。同市に届いたファックスは、77カ所に対して送信されており、あわせて約2500枚にも及んだ。 |
|
16 | 小説投稿サイト | 不正アクセス | 小説投稿サイトを装う偽サイトが確認されたとし、アカウント情報を窃取されたり、マルウェアに感染するおそれがあるとして利用者に注意を呼びかけた。
偽サイトが同社を参照できないようにアクセスを遮断。偽サイトが使用しているサーバの管理会社に対して削除要請の手続きを行った。同社のサーバが不正アクセスを受けたものではないため、情報流出の可能性については否定している。 |
17 | 市 | 誤送信 | 個人情報を含む新型コロナウイルス感染症の疫学調査資料を、別の事業所へメールで誤送信。
過去に新型コロナウイルス感染症の疫学調査を行った1事業所の情報の一部を、今回調査対象となった別の事業所に対してメールで送信したもの。誤送信された添付資料には、17人分の氏名、住所、連絡先などが記載されていた。 |
18 | 東京都 | 誤送信 | 広報誌を送付する際、宛名と住所が異なる状態で送付。
委託事業者が都よりデータを預かり、宛名ラベルを作成したが、作成時に宛名と住所のデータがズレが発生。送付した836件のうち少なくとも489件で宛名と住所に不一致が生じた。 |
19 | 情報通信 | サイバー攻撃 | 一部製品のウェブサイトが改ざんされ、意図しないサイトへ転送される状態となっていた。
同サイトでは顧客情報は保存しておらず、情報流出については否定している。 |
20 | 県 | 紛失 | 個人情報が記載された公文書の紛失や手続き不備が判明した。
許可申請に関する公文書11件、収入調査票20件などが所在不明になっているという。申請者の氏名、住所、電話番号が含まれる。 |
21 | 商工会 | 誤送信 | 問い合わせメールの転送ミスにより、問い合わせを行った人の個人情報や、利用者のメールアドレスが流出した。 |
22 | 大学 | 不正アクセス | メールアカウント1件が不正アクセスを受け、迷惑メールの送信に悪用された。
8月24日22時ごろから25日1時14分にかけて、同アカウントから1万件の迷惑メールが送信されたことが確認されている。 |
23 | 旅行業 | 紛失 | イベントの受付業務で利用した名簿を一時紛失した。参加者の氏名や住所、生年月日、イベントの参加整理番号、受付時間、参加回数、主催者との関係区分などが記載されていた。 |
24 | 都 | 紛失 | 申込書を本社で回収後、協会へ送付するまでの間に担当者が誤って廃棄した。 |
25 | 製造販売業 | 不正アクセス | 海外グループ会社の一部サーバがサイバー攻撃を受けた。調査で、一部のデータが流出した可能性があることが判明しました。影響の範囲について調査を行っている最中である。 |
26 | 市 | 紛失 | 保管期間が経過した住民異動届などの書類を焼却処理場へ運搬する途中、書類が飛散した。
書類はコンテナなど梱包して運搬することとなっていたが、運搬方法が変更となり約190キロほどある書類をトラックの荷台に平積みし、飛散防止のためにネットをかけ、重しを載せて運んでいたが、ネットのかけ方が弱く振動でズレが生じ、一部書類が飛散した。 |
27 | 通販サイト | 不正アクセス | 同サイトの決済アプリケーションが改ざんされ、顧客のクレジットカード情報が外部に流出した可能性がある。購入時にクレジットカード決済を利用した顧客23人。クレジットカードの名義、番号、有効期限、セキュリティコードを窃取された可能性がある。 |
28 | 観光業 | 観光業 | スキー学校に受講者として登録していた689人に送信したスキー学校の案内メールにおいて誤送信が発生した。送信先を誤って宛先に入力したため、メールアドレスが受信者間に表示された状態となった。 |
29 | 学校 | 誤送信 | オープンキャンパスに申し込んだ中学生121人に送信した連絡メールにおいて教員が送信先を誤って「CC」に入力するミスがあり、受信者間にメールアドレスが流出した。 |
30 | 通販サイト | 不正アクセス | サイトを利用した顧客272人のクレジットカード情報283件が外部に流出し、不正利用された可能性があることが判明した。
同サイトの脆弱性が突かれ、決済アプリケーションが改ざんされた。クレジットカードの名義、カード番号、有効期限、セキュリティコードなどの個人情報を窃取された可能性がある。 |
31 | 県 | 誤送信 | 新型コロナウイルス感染症の陽性者に関する資料をファックスする際、関係ない番号へ送信するミスがあった。
医療機関へ短縮ダイヤルを用いて送信する際、報道機関の短縮ダイヤルにも触れて同報送信が設定されたが、気づかずそのまま送信してしまった。 |
32 | 一般財団法人 | 不正アクセス | 法人で利用するサーバが不正アクセスを受けた。
影響を受けた可能性があるサーバを停止し、ネットワーク回線を遮断。影響の範囲などの特定を進めている。 |
33 | 情報通信 | 誤設定 | オンラインセミナーの参加者79人に送信したメールにおいて、本来アンケートを記入するページのURLを記載すべきところ、誤って回答内容を閲覧できるページのURLを記載して送信するミスがあった。
同URLへアクセスすると、回答者64人に関する氏名、会社名、メールアドレス、アンケートの回答内容のほか、一部住所などを参照できる状態だった。 |
34 | 学校 | 誤設定 | コミュニケーションアプリ「LINE」を利用していたところ、制限なく参加できるトークルームだったため、無関係の第三者が参加し、情報が外部に流出した。
過去180日分のトーク履歴が参照できる状態で、在籍する生徒の氏名37人分のほか、出欠、健康観察に関する情報などが書き込まれていた。 |
35 | システム開発 | 不正アクセス | メールアカウント1件が不正アクセスを受け、スパムメール送信の踏み台として悪用された。 |
36 | 市 | 誤送信 | 新型コロナウイルスワクチンの大規模接種について登録者232人に対し、予定通り実施することをメールで案内したところ、95人分のメールアドレスが流出したもの。
5グループにわけてメール送信したが、2グループにおいて送信先を誤って「CC」に設定したため、それぞれ46人分、49人分のメールアドレスが同一グループ内に表示された。 |
37 | システム開発 | 不正アクセス | SQLインジェクションによる不正アクセスを受けたもの。登録ユーザーのメールアドレス約12万8000件が外部に流出した可能性がある。 |
38 | 通販サイト | 不正アクセス | ウェブサイトを改ざんされ、情報を窃取するプログラムが設置された。商品購入時に入力されたクレジットカード情報が窃取され、悪用された可能性がある。
対象となる顧客は206人で、クレジットカードの名義、番号、有効期限、セキュリティコードなどが被害に遭った可能性がある。 |
39 | 小売業 | 誤送信 | 一部顧客に対して、異なる顧客の個人情報が記載されたメールを送信するミスがあった。
メールには、顧客の氏名、ポイントの情報、Amazonギフト券の情報など個人情報が記載されていた。 |
40 | サービス業 | 不正アクセス | 欧州のグループ会社がサイバー攻撃を受けた。
今回のサイバー攻撃により、オランダ、ベルギー、イギリスのグループ会社が影響を受けた。対象となるシステムや原因など詳細については調査中としており、個別に攻撃が行われたのか、共有するシステムが攻撃対象となったのかは不明。障害が生じたメールサーバのほか、ファイル共有サーバなども外部よりアクセスを受けた可能性があるという。 ファイル共有サーバの内部には従業員や取引先関係者の連絡先など個人情報も保存されていた。 |
41 | 都 | 紛失 | 飲食店でビールや焼酎など10杯ほどを飲酒。自宅にタクシーで向かったが気分が悪くなったため途中下車したところ、そのまま眠り込み、目を覚ました翌日には鞄が見あたらなかった。
酒に酔って児童の個人情報が記載されたノートを紛失した。 |
42 | 通販サイト | 不正アクセス | サイトを運営するスピックによると、同サイトにおいて脆弱性を突かれ、不正プログラムを設置された。
メールアドレスやパスワードなどの会員情報1万5674件や、期間中に登録内容が変更されたり、決済に利用されたクレジットカード情報9515件が外部に流出した可能性がある。 不正アクセスを受けたことはわかっているが、具体的な流出件数は特定できておらず、ログイン状況や出荷データなどより割り出したという。クレジットカード情報には、名義や番号、有効期限、セキュリティコードが含まれており、不正に利用された可能性がある。 |
43 | 情報通信 | 不具合 | プラットフォームサービスにおいて誤った利用者の通話記録を作成、提供するミスがあったほか、サービス内で、日次データ利用量履歴が別の契約者より閲覧できる状態や、アプリで別の契約者情報が表示される不具合が発生。
総務省は、通信の秘密や個人情報が漏洩する事案が6件発生しているとして、行政指導を行った。 |
44 | 不動産 | 誤送信 | 資料請求を行った顧客に送信したキャンペーン案内メールにおいて、誤送信が発生したもの。個別送信の設定を失念し、一斉送信を行ってしまったことから、顧客176人のメールアドレスが流出した。 |
45 | 学校 | 誤送信 | 学習支援サービスを利用して、学習記録の提出先を示したファイルを担任を務めるクラスの生徒へわたそうとしたところ、誤って担当科目の成績一覧表3クラス119人分を送信するミスが発生した。 |
46 | 市 | 誤設定 | 同市議会に開示した複数の資料に個人情報が含まれており、ウェブサイトを通じて一般にも公開されていた。
資料には約3万3000件の情報が含まれ、契約の相手方である債権者などの個人名は削除していたが、一部取引の内容を示す件名に含まれる氏名や個人を特定できる裁判の事件番号など、のべ397件の個人情報が残存していた。に公開中の資料を確認したところ、9月の定例予算決算委員会に随意契約一覧を記した資料を提出しているが、5万9578件のうち、契約内容を示す件名にのべ181件の個人情報が含まれていた。 |
47 | 市 | 紛失 | 講座の講師が受講生36人分の個人情報を含む資料1枚を紛失したもの。氏名や住所、電話番号、学校名、学年が記載されていた。
自宅に持ち帰ったが、帰宅したところ資料が見当たらないことに気がついた。窓を開いた状態で車を走行させており、後部座席に置いてあった資料が車外に飛散した可能性がある。 |
48 | 農業組合 | 誤破棄 | 生命保険や損害保険など同組合の共済契約にかかる共済金の支払調書について、保管用として記録していた光ディスク28枚を、建物の改修にともなう物品整理の際に誤廃棄した。
共済金支払調書のデータで、1792人分の個人情報が記録されていた。氏名や住所、組合員コードのほか、マイナンバーも含まれる。 |
49 | 医療機関 | 医師が個人で利用するパソコンより個人情報が外部に流出した可能性がある。
医師がパソコンでセキュリティ対策ソフトの更新作業を行っていたところ、メールが消えるなどの異常が発生したもの。マルウェアへの感染など含め、原因については調査中。 端末内部には同センター以外の診療業務で扱った個人情報3件が保存されており、外部に流出した可能性がある。氏名、住所、生年月日、職業、病名などが含まれる。 |
|
50 | 大学 | 不正アクセス | クラウドサービスで運営していたサーバのアカウント1件が侵害を受け、迷惑メール5万3733件の外部送信に悪用された。 |
51 | 県 | 誤送信 | 同県薬務感染症対策課より270の県内医療機関にメールを送信した際、送信先を宛先に設定したため、メールアドレスが流出した |
52 | 市 | 紛失 | 委員に謝礼を支払う際に用いる「口座振替依頼書兼個人番号確認書」の一部を紛失したもの。氏名、住所、生年月日、振込先となる金融機関の名称、口座番号、口座名義、マイナンバーなどが記載されている。 |
53 | 情報通信 | 不正アクセス | キャラクターに扮した女性と会話できるサービスにおいて、通話担当者の個人情報が外部に流出した可能性がある。
氏名269件のほか、キャストに使用されたサービス内通貨額が外部に流出した可能性があるという。 |
54
|
特殊法人 | 誤送信 | 約97万人に対して、誤って別人の内容が印刷された通知書を送付した。 |
55 | 医療機器メーカー | 不正アクセス | サーバに対して第三者によりアクセスが行われた形跡を確認。サーバを一時停止するとともに、翌4日より原因究明、被害の詳細など調査を進めている。 |
56 | 学校 | 誤設定 | 生徒や保護者から受信した緊急連絡のメールが、一定操作により同校生徒より閲覧できる状態だった。
生徒や保護者など26人分のメールアドレスのほか、生徒の氏名や電話番号、新型コロナウイルス感染症に関する健康情報などメール本文の記載内容が閲覧できる状態だった。 |
57
|
一般財団法人 | 不正アクセス | 海外からメールサーバが不正アクセスを受け、メールアカウント1件から約450件の迷惑メールが送信されたもの。メールアドレスの誤りなどを除くと約270件が送信されたものと見られる。
同団体は、不正アクセスを受けたメールサーバに保存されていたメールの送受信データについては、外部よりアクセスされた痕跡はなかった。 |
58 | 村 | 紛失 | 個人情報が記載された文書など含む資源ゴミの盗難被害が発生した。隣県の路上で散乱した書類が見つかったことで問題が判明したが、一部は所在が不明。
持ち去られたのは、紐で縛って保管していた4括りの書類。このうち観光イベントのパンフレットやチラシなど300部と、職員が作成した文書など約1200枚が路上で見つかり、回収された。わざと放置したものか、移動中に落下したものなのか、原因はわかっていない。 このうち文書5枚には、氏名や住所などあわせて68人分の個人情報が含まれる。個人情報が記載された文書は本来シュレッダーを用いて裁断する決まりだったが、見落として資源ゴミに紛れ込んでいた。 |
59 | 一般社団法人 | 誤送信 | 講演案内メールの誤送信が発生し、会員のメールアドレスが流出した。
会員177人分のメールアドレスが閲覧できる状態となった。送信エラーのメッセージを受信したため、同様のメールを7回送信した。 |
60 | 市 | 不正アクセス | 業務委託先のサーバが不正アクセスを受け、ポイント履歴やアカウント情報、メールアドレスなどが外部に流出した可能性がある。
「SQLインジェクション攻撃」が行われたもので、データベースに保存されていた実証実験に参加する1万8188人に関する2018年7月20日から2020年1月31日までのポイント付与や利用の履歴、6635人分の郵便番号、アンケート結果などが流出した可能性がある。 |
61 | 国立研究開発法人 | 不正アクセス | 医療施設における小児への薬剤投与や副作用の発生頻度などに関する情報を収集、情報共有や分析を行うために構築しているデータベースに不正アクセスされた。
サイトの管理には「WordPress」を利用していたが、管理用アカウントを不正に利用された。類推されやすいパスワードを設定していたことが原因と見られている。サイト内部に患者情報は保存されていなかったとしている。 またインシデント対応に関しては、発覚当日に委託先業者と連絡がつかず対応が遅れたことや、アクセスログの保存期間が短く、調査が制限されるなど不手際もあった。 |
62 | 大学 | 誤設定 | 前期期末試験の解答用紙を含むファイル内に、2020年度に受講した学生62人分の成績情報が残っていたことが判明。2021年度の学生50人に流出した。 |
63 | 鉄道 | 誤送信 | イベントを案内するメールを送信したところ、送信先のメールアドレスを宛先に設定するミスがあった。受信者間に会員のメールアドレス197件が流出した。 |
64 | 食品 | 不正アクセス | サーバがランサムウェアによる被害に遭い、内部の一部データが外部に流出した。サーバに保管されていた業務関連データの多くが暗号化されたとしており、サーバ内に保管されていた商品関連データ、取引先情報、経理データ、人事情報などの流出も確認した。 |
65 | 小売業 | 誤送信 | 事業に参画する市場関係者33人にメールを送信した際、メールアドレスが流出する事故が発生した。 |
66 | 大学 | 不正アクセス | ハッシュ化した「パスワード」など約400件や、攻撃を受けたサーバの管理者に関する「ログインID」とハッシュ化された「パスワード」3件が外部に流出した可能性がある。 |
67 | 製造業 | 不正アクセス | サーバがサイバー攻撃に遭い、データが外部に流出した。障害などは発生しておらず、事業継続などへの影響も出ていない。
攻撃を受けた日時や被害が判明した経緯、流出した可能性がある具体的なデータの内容などは調査中。 |
68 | 県 | 誤送信 | セミナーの受講証明書発行に関する要件を記載したメールを参加申込者38人へ送信。その際に送信先を誤って「CC」に入力したため、受信者間でメールアドレスが閲覧できる状態となった。 |
69 | 通販サイト | 不正アクセス | 顧客93人が決済に利用したクレジットカード情報が外部に流出し、不正に利用された可能性がある。
決済アプリケーションを改ざんされたことにより、クレジットカードの名義、番号、有効期限、セキュリティコードなどを窃取された可能性がある。 |
70 | 病院 | 紛失 | データが保存された外付けハードディスクが所在不明。
動画データ243件が保存されていた。ローマ字表記の氏名、年齢、性別、患者ID、検査日時など患者156人分の個人情報が含まれる。 |
71 | 市 | 誤送信 | 事業者より取り寄せた書類を住民1人に送付したところ、別人の書類が混入していた。
無関係の給与支払報告書には、23人分の氏名、住所、生年月日、給与に関する情報が含まれており、13人についてはマイナンバーが記載されていた。 |
72 | 大学 | 不正アクセス | メールアカウント1件が不正アクセスを受け、約57万件の迷惑メールが送信された。
33万723件のメールアドレスに対し、57万364件の迷惑メールが3度にわけて送信された。送信されたメールはおもに英文によるもので、ウェブサイトへ誘導する内容が記載されていた。総当り攻撃やフィッシング攻撃、マルウェア感染などの可能性を踏まえて調査を実施したが、メールアカウントが不正アクセスを受けた原因は特定に至っていない。 |
73 | 製薬 | 誤送信 | 講演会に登録した医療関係者に講演会の確認メールを送信した際、講演会登録者リストを誤って添付した。登録者リストには、医療関係者671人のメールアドレスが含まれていた。担当者の操作ミスが原因としている。 |
74 | 製造 | 不正アクセス | グループ会社で利用するネットワークがサイバー攻撃を受け、子会社より、複数顧客に関する一部データが外部に流出した |
75 | 製造 | サイバー攻撃 | 子会社にサイバー攻撃があり、一時生産システムが停止した。
顧客情報が保存されていたサーバに対しても第三者によるアクセスがあったという。サイバー攻撃の影響により、工場の一部では一時稼働を見合わせた |
76 | 通販サイト | 不正アクセス | 不正アクセスを受け、クレジットカード情報が外部に流出し、不正に利用された可能性がある。
同サイトに対して脆弱性を突く不正アクセスがあり、クレジットカードの名義や番号、有効期限、セキュリティコードを窃取するよう決済アプリケーションが改ざんされた。 |
77 | 大学 | 誤送信 | メール送信した際、他企業との共同研究契約書を誤って添付するミスがあった。 |
78 | 県 | 誤送信 | 職員採用試験の合格通知メールを、誤って合格していない受験者へ送信するミスがあった。
合格通知を配信するため合格者を選択する際、誤った配信データを作成。そのまま配信してしまった。 |
79 | 通販 | 不正アクセス | サイトでクレジットカード決済を利用した顧客129人のクレジットカード情報140件が外部へ流出した可能性がある。
脆弱性を突かれて決済アプリケーションを改ざんされ、クレジットカードの番号、有効期限、セキュリティコードのほか、会員のID、ログインパスワードなどを窃取された可能性がある。 |
80 | 市 | 紛失 | 利用する児童19人分の氏名、学年、性別、日常の様子などが保存されていたUSBメモリを職員が紛失した。 |
不正アクセスを契機に顧客情報やクレジットカード情報が漏洩したケースは、依然として多く見受けられます。さて、あくまで筆者が感じていることであり、調べる限りで統計が存在するわけではありませんが、不正アクセスを契機とする漏洩を認識した時点から公表までに要する期間が長くなっているように感じています。端的にECサイトに対する不正アクセスの増加により、デジタルフォレンジックを専門とする調査会社が多忙となっており、調査開始までに相当の期間を要することが一因と考えられます。また、フォレンジック調査完了後の各ステークホルダーとの調整に時間を要することも要因といえます。例えば、上記69のインシデントでは、
- 2021年7月12日、保守会社から、サイトを利用したお客様のクレジットカード情報の漏洩懸念について連絡を受けた
- 2021年8月18日、調査機関による調査が完了
- 2021年10月20日、公表
という経過をたどっています。公表まで調査完了から2か月を要しており、この期間に決済代行会社並びにカード会社等と公表文案等に関する調整がなされていたものと予測されます。このインシデントでは、不正アクセスの事実を認識してから公表まで3か月程、期間を要していますが、決して対応が遅いとは考えていません。
さて、公表までの期間が長くなると、不正利用に対する補償期間との関係で検討事項が増える場合があります。不正利用に関する補償期間は、カード会社によって異なりますが、60日あるいは90日となっている場合があります。この補償期間はクレジットカードの持ち主がカード会社に届出した日から遡り、60日(90日)までの利用日までのものが対象となります。すなわち、カード会社のモニタリングをすり抜けて不正利用されてしまい、かつ、クレジットカードの持ち主が利用明細を定期的にチェックしていない場合には、公表をもってはじめて不正利用された可能性が認識することとなります。そのため、公表時点でカード会社の補償期間を徒過しているケースが生じます(そもそも、不正利用されたタイミングが、漏洩の事実を認識した時点よりも90日以上前であることもあり得ます。)。この場合には、不正アクセスを受けた企業が補償することとなります(カード会社が補償する場合、最終的には、不正アクセスを受けた企業にカード会社から請求がなされるため、経済的負担をするという点では変わりません。)。ここで悩ましい問題があり、通常の利用・買い物等と不正利用による取引を明確区別できないのが現実です。実務的にはクレジットカードが、漏洩の対象となるカードであることを確認し、利用明細を送付してもらい、申告された額を支払うということとなります。
実務的に漏洩の事実を認識した時点で直ちに注意喚起等を行うことが難しいため、可能な限り、公表を急ぐことが望まれます。どのような対応が必要かはクレジットカード情報の漏洩対応について~ECサイトを中心に~をご確認ください。
セミナーや研修について
当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。
セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。
セミナー・研修系サービスの紹介
SPリスク・ラーニング
新型コロナウイルスの影響により、多くの企業で在宅勤務を前提にしたWeb研修や会議が行われている状況を受け、「コンプライアンス」「ハラスメント」「クレーム対応」「情報セキュリティ」「防災・BCP」など、新入社員から入社2~3年目の若手社員に必須の危機管理に関する知識を詰め込んだ9種類の研修用動画を提供しています。
危機管理会社の新入社員・若手社員研修
社会人に求められる常識や、業務の習得に必要な視点・モチベーション、仕事場におけるコミュニケーションスキル等を「リスクマネジメント」の観点から学び、企業と新入社員本人の双方からのアプローチで、早期離職や問題社員化等の「人財ロス」低減を目指します。数々のリスク対応で培った、危機管理会社ならではのオリジナルメニューで、他社ではできない領域の研修が可能です。理論と実践が結びついた早期の危機管理教育が、「人財」を育てます。
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556