情報セキュリティ 関連コラム

Emotetへの対応について

2022.03.14

総合研究部 研究員 吉田 基

Emotetへの対応について

メール ウイルスのイメージ

1.はじめに

2月の初旬より、Emotet(エモテット)への感染を狙う不審なメールが送信されるという事案が散見されます。また、企業によるEmotetに感染した旨のプレスリリースが、執筆時点(3月7日)においても多数確認されています(筆者が2月以降に確認する限りで、プレスリリース上、Emotetと明確に言及したものを75件確認しています。)。Emotetへの感染が目立っている状態で、Japan Computer Emergency Response Team Coordination Center (JPCERT/CC)より、「2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています」(マルウェアEmotetの感染再拡大に関する注意喚起)と注意喚起を公表されています。本稿では、Emotetへの対応について、見ていきます。

2.Emotetについて

Emotetとは、不正なメールにファイルが添付され送信され、同ファイルをデバイス上で開くと感染するウイルスです。そして、上述の通り、Emotetへの感染を狙う攻撃メールが広く送信されています。この攻撃メールの特徴として、受信者が過去にメールのやり取りをしたことがある、相手方の氏名、メールアドレス等が使用され、あたかも正規のメールになりすましているものや業務上開封してしまいそうな文面となっています。

システムやセキュリティソフトでの対策が回避されてしまうため、攻撃メール受信者一人ひとりが、注意をする、安易にメールを開かない等が対策として提唱されています。そのため、受信者が「不審なメール」かどうかを見分けることが求められますので、どのようなメールが攻撃に用いられているのかを知っておくことは重要となります。以下、既に確認されているものを列挙しておきます(メールのイラストイメージは、IPA等で公表されていますので、そちらをご確認ください。)。

  • パスワード付きのzipファイルが添付されており、パスワードが本文中に記載され、一見しただけでは不自然ではない文章が記載されている。
  • メールにdocmファイル、xlsmファイル、パスワード付きzipファイルが添付されている、あるいはメール本文にリンクが貼られdocmファイル、xlsmファイルがダウンロードできるようになっている。
  • 時期に合わせて、賞与、クリスマスや新型コロナウイルスに関する内容をメール本文に記載されている
  • 会社HPに掲載されている正しい署名欄と会社ロゴ画像がメール本文に掲載されている。

ちなみに、4つ目のパターンについては、英語圏内で用いられていた手法で、2022年3月に入って日本でも利用され始めたもの(日本語対応された)といわれています。したがって、最近のEmotetへの感染を狙うメールは、日本を狙っているものと予測されます。また、2月中旬のなりすましメールは、過去のやり取りが引用されたり、メールの差出人が実在する人を使用されていた等でしたが、3月に入ってから会社HPに掲載されている会社ロゴ画像や署名が用いられています。このように、短期間で攻撃する側も手法を変えて、より一層、受信者を偽ろうとしていることがうかがえます。

3.感染してしまった場合

(1)感染拡大防止措置

仮に「Emotet」に感染した場合には、同端末をネットワークから遮断し、続けて他のマルウェアに感染していないかを調査する必要があります(海外では、標的型ランサムウェアの感染が確認された事例もあります。)。調査には専門知識が必要となるので、専門のセキュリティーベンダーに依頼しなくてはなりません。また、「Emotet」はメール経由で感染を拡大させていくため、感染したアカウントにつきメールアドレスやパスワードの変更を行っておくべきです(警察庁 Emotet(エモテット)感染を疑ったら 参考)。

もっとも、感染したアカウントに対して、対策を施しても、既にメールでのやり取りの内容やメールアドレス等が盗まれている状態です。また、マルウェアが添付されたなりすましメールは、不特定多数のメールアカウント(攻撃インフラ)から送信されているため、メールの送信自体は止めることはできません。したがって、警察庁が公表する「Emotet(エモテット)感染を疑ったら」においても、言及されている通り、感染拡大の防止に向けて不審なメールが送信されている取引先等に向けた注意喚起を行うことが必要となります。

(2)受け入れ体制の整備

既に、不審なメールが送られてしまい受信者より問い合わせがなされているため、早急に注意喚起を行うことが前提となります。そうであっても、いつ注意喚起を行うかの検討が必要となります。実務的な話をしておきますと、不審なメールが誰に送信されているのか厳密には確定できず反響率の予測が難しいため、どれくらいの規模で体制を整備すべきかが難しいのが現状です。また、相応程度の受け入れ体制を整えるとしても時間的制約でハードルが高いことが現状です。早急に注意喚起を行わなければならないのは、当然のことですが、受け入れ体制を整えない(不十分)まま公表を行い、問合せを受けきれないとなると、かえって、信用を低下させてしまう可能性があるためです。したがって、注意喚起を行うとしても、早急にとはいえど、受け入れるだけの体制を整備したタイミングとなるものと思われます。

(3)コールセンターの設置

受け入れ体制として、情報漏えいインシデントにおいて、コールセンター事業者の利用を検討するケースが多数あります。筆者のこれまでの情報漏えい対応の経験でもコールセンター事業者を利用・協力をお願いしましたが、情報漏えいの問い合わせにも慣れており、かつ、非常に丁寧に問合せに対応していただいている印象です。また、通常、情報漏えいという有事対応に、一般企業は慣れていないので、事案対応に慣れたコールセンター事業者にお願いすることは極めて有用と思っています。

もっとも、コールセンター開設に複数日程を要してしまう一方で、問合せ自体は、不審なメールが送信された(受信した)後、数日に集中するので、コールセンターを開設した時点では、問合せ数は少なく、自社のみでの対応が可能といった事態になることも予測されます。したがって、コールセンターの設置をするにしても、日数との兼ね合いで、どの程度の効果が期待できるのかは見極めが必要となってきます。

4.公表文

初動として注意喚起を行った後、調査を行い原因究明等の事実確認を行います。もちろん、自社で専門的な調査が可能であれば問題ありませんが、第三者の専門機関等によるフォレンジング調査を行うケースがあります。また、ステークホルダーから信用の回復の観点や安全性を担保する趣旨から、第三者調査を経ておくことが推奨されます。加えて、実務的な話でいくと、「第三者の調査をして安全性を確認しないと信用できない」といったご指摘を受けることがあります。自社あるいは第三者の調査の結果を経て最終の公表を行っていくこととなります。各企業、公表を行っており、確認していますが、様々で参考になるものも多かったのですが、以下、サンプルを掲載しておきますので、ご活用ください。

初動対応 注意喚起(HP掲載)

20○○年○月○日
株式会社○○

株式会社○○を騙った
なりすましメールについて【注意喚起】
(第1報)

平素は格別のご厚誼にあずかり、厚く御礼申し上げます。

20○○年○月○日より、弊社関係者を騙った不審なメールの配信が確認されています。不審なメールを受信された皆さまや関係する皆さまには、多大なご迷惑、ご心配をおかけしたことを心よりお詫び申し上げます。

  1. 不審なメールの見分け方
    • 不審メールの見分け方として、送信者の氏名表示とメールアドレスが異なっていることが挙げられます。
    • 弊社では、「***@sp-netwrk.co.jp」等のメールアドレスを利用しております。当該不審メールでは、送信者には弊社の従業員の氏名が表示されていますが、上記と異なるメールアドレスから送信されていることを確認しております。
  2. 不審なメールを受信された皆様へのお願い
    • ウイルス感染、フィッシングサイトへの誘導のリスクが高いためメールの開封、添付ファイルの解凍あるいはメール本文のURLのクリック等を行うことなく削除していただきますようよろしくお願いします。
  3. 本件に関するお問い合わせ先
    • ○○
最終報告 調査完了後(HP掲載)

20○○年○月○日
株式会社○○

株式会社○○に騙った
なりすましメールについて(第○報)

平素は格別のご厚誼にあずかり、厚く御礼申し上げます。

20○○年○月○日より、弊社関係者に騙った不審なメールの配信が確認されています。不審なメールを受信された皆さまや関係する皆さまには、多大なご迷惑、ご心配をおかけしたことを心よりお詫び申し上げます。

なお、○日より、不審なメールを受信された方には、本日より、電子メールにてお詫びとお知らせを個別にご連絡申し上げております。

弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。

関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。

  1. 経緯
    • 20○○年○月○日
      • 弊社関係者に成りすました不審なメールを受信した旨のご連絡をいただきました
    • 20○○年○月○日
      • 注意喚起の第一報を弊社ホームページで掲載しました
    • 20○○年○月○日
      • 専門調査会社である「株式会社○○」によるフォレンジック調査を開始いたしました。
    • 20○○年○月○日
      • 専門調査会社よる調査が完了し、一定の期間に弊社より○名の方に不審なメールが送信されたことを確認いたしました。
    • 20○年○月○日
      • 専門調査会社よる調査結果を踏まえ、個人情報保護委員会へ報告し○○警察署へ被害の申告をいたしました。
  2. 調査結果
    • 弊社システムの一部の脆弱性に対する第三者の不正な攻撃が行われたことによります。
    • 20○○年○月○日~○月○日の期間中に○名の方に不審なメールが送信されております。また、本件において、個人情報の流出の可能性がございます
    • 調査会社にて、不審なメールに添付されていたファイルを解凍し、ドキュメントを実行した場合、不正なHPにアクセスしファイルをダウンロードする等の動作を実行されることを確認しました。メールを受信された皆さまにおかれましては、不審なメールを受信されましたら、お手数ですが削除をお願い致します。
    • 上記に該当する○名の方については、別途、電子メールにて個別にご連絡申し上げます。
  3. 再発防止策
    • 弊社は、このたびの事態を厳粛に受け止め、調査結果を踏まえてシステムのセキュリティ対策および監視体制の強化を行い、再発防止を図ってまいります。
  4. 本件に関するお問い合わせ先
    • 担当部署 ○○
    • 電話番号 ○○
    • 受付時間 平日 9:00~18:00(土・日・祝日を除く)
【確認された不審な電子メールの例】

(実際に送られているメール例を画像等で掲載)

【不審なメールの見分け方】

不審メールの見分け方として、送信者の氏名表示とメールアドレスが異なっていることが挙げられます。

弊社では、「***@sp-network.co.jp」等のメールアドレスを利用しております。当該不審メールでは、送信者には弊社従業員の氏名が表示されていますが、上記と異なるメールアドレスから送信されていることを確認しております。

  1. FAQ(よくある質問を掲載し問い合わせ数を減らすため)
    1. 被害の有無
      • Q 個人情報の流出はありませんか?
      • A ○○
      • Q 添付されていたZipファイルの解凍を試みましたが、大丈夫ですか?
      • A ○○
    2. 調査結果と今後
      • Q 何が原因で今回のことが起こったのですか?
      • A
      • Q セキュリティ対策は整備されていたのか?
      • A

5.最後に

本稿では、最近、注目を集めるEmotetについて簡単に見た後、初動対応・注意喚起・公表文について言及してきました。実際の対応では、個別具体的事情を念頭に細かい部分で検討やステークホルダーとの調整が必要となります。2021年7月のコラムでも述べた通り、情報漏えい対応は、最終目的である情報主体への謝罪と説明というゴールから逆算して、今、誰との関係(ステークホルダーは誰か)で、何をすべきかを検討していけば、十分に対応し得るものです。

また、攻撃する側が圧倒的に有利であり、その手法も高度であることに鑑みて、情報漏えいは起きることを前提として、平時より、備えておくことが肝要で、マニュアルを整備したり、他社の漏洩事例を参考に検討をしておくこと、CSIRTにおいて、攻撃者による事業への影響分析や事業計画の策定などリスクヘッジをしておく必要があります。

最近の個人情報漏えい事故(2022年1月、2月)

下記の表は、2022年1月と2月に発生した情報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

No 業種 原因 漏洩件数・原因
1 誤設定 2021年6月30日から2022年1月22日にかけて、住民1人の氏名、住所、電話番号を含むファイルを、同市ウェブサイト上で誤って公開していた。
2

サイバー攻撃 管理事務所のパソコンがマルウェアに感染し、同施設ウェブサイトの利用者に関する個人情報、メール最大約2000件が外部に流出した可能性がある。

原因としては、管理事務所のパソコンが「Emotet」と見られるマルウェアに感染したこととされている。

3 誤送信 約400件のメールアドレスを200件ずつ2グループにわけて送信したが、送信先を誤って宛先に設定。同一グループ内の受信者にメールアドレスが表示された状態となった。
4 ECサイト 不正アクセス 不正アクセスを受け、顧客のクレジットカード情報が流出し、一部が不正利用された可能性がある。

同サイトでクレジットカード情報を新規に入力した顧客4万6702人に影響があり、クレジットカードの名義や番号、有効期限、セキュリティコードなどが外部に流出し、不正に利用された可能性がある。

5 住宅メーカー サイバー攻撃 グループ会社の一部パソコンがマルウェア「Emotet」に感染した。情報が窃取されたと見られ、外部より関係者に対してグループ会社の従業員を装ったなりすましメールが送信された。
6 放送事業者 誤送信 顧客情報が記載された書類を、本来届けるべき顧客とは別の顧客に誤って届けるミスがあった。

営業委託先の担当者が顧客情報が記載された書類を異なる顧客宅の郵便受けに誤って投函したもの。顧客の氏名と住所など61件が流出した。

7 紛失 履歴書や運転免許証、通帳の写しなども含まれる申請書類の所在が不明となっている。

関連書類には、5申請事業者7人分の個人情報が記載されていた。代表者の氏名、住所、生年月日、メールアドレス、被雇用者の氏名、住所、電話番号、メールアドレス、就業履歴などが含まれる。申請書類の管理方法が不適切な状況だったことから、誤って処分した可能性が高い。

8 サービス 不具合 アカウント登録時にほかの会員の個人情報が閲覧できる不具合が発生し、個人情報が流出。

流出したのは会員に関する個人情報8件で、氏名、住所、電話番号、生年月日、性別、メールアドレスなどが含まれる。

9 大学 誤送信 セミナー申込者288人に関係資料をメール送信したところ、誤送信が発生したもの。担当者が送信先のメールアドレスを誤って宛先に設定したため、受信者間にメールアドレスが表示された状態となった。
10 製造業 サイバー攻撃 グループ会社従業員のパソコンがマルウェア「Emotet」に感染し、メール情報を窃取され、同社従業員を装ったなりすましメールが送信された。

メールサーバよりメールアドレスを含むメール情報を窃取され、同社従業員を装ったなりすましメールが複数送信されたという。また感染端末から同社や外部関係者に関する氏名やメールアドレスなどの情報も外部に流出したと見られている。

送信されたなりすましメールは、送信者として同社従業員の氏名が記載されていたものの、同社以外のメールアカウントより送信されていた。暗号化されたZIP形式のマルウェアファイルが添付されている。

11 誤送信 複数の団体へ送信したメールにおいて、各団体の住所やメールアドレスが記載された表を誤って添付した。
12 コンサルティング サイバー攻撃 グループ会社のウェブサイトが不正アクセスを受けて改ざんされ、フィッシングサイトが設置された。

ウェブサイトの閲覧者におけるフィッシング被害については、否定的な見方を示している。

13 誤送信 情報提供メールをサポーター企業へ送信した際、メールの送信ミスが発生したもの。

送信先のメールアドレス487件を誤って「CC」に設定したため、受信者間でメールアドレスを閲覧できる状態となった。

14 職員を装ったなりすましメールが施設の利用者に対して送信された。

施設利用者から不審なメールが送られているとの連絡があり、指定管理者が確認したところ、同施設からではなく、第三者より送信されたものと判明。同様の連絡が29件寄せられたという。これまでに同施設へ送信されたメールのメールアドレスが外部に流出した可能性がある。

15 メーカー サイバー攻撃 グループ会社従業員のパソコンがマルウェアに感染し、「なりすましメール」が送信された。

グループ会社従業員のパソコンがマルウェア「Emotet」に感染し、メールサーバからメールアドレスを含むメール情報が窃取され、同社従業員を装ったなりすましメールが複数関係者に送信された。

感染したパソコンから社内や外部関係者の氏名、メールアドレス、メールの件名をはじめとするデータが外部に流出したものと見られる。

「なりすましメール」には、暗号化されたzipファイルが添付されており、送信者として同社従業員の氏名が表示されているが、同社のメールアカウントとは異なるアカウントより送信されていた。

16 サービス サイバー攻撃 従業員のパソコンがマルウェア「Emotet」に感染し、「なりすましメール」が送信された。同社従業員1人のパソコンがマルウェア「Emotet」に感染している。

メールサーバよりメールアドレスを含むメール情報を窃取されたほか、感染端末を調査したところ、内部に保存されていた個人情報の一部が外部のサーバへ送信された形跡を確認したという。同社サイトをはじめ、同社と取り引きをしたことがある顧客の氏名、住所、電話番号、メールアドレスなどが流出したおそれがある。

17 ECサイト 不正アクセス ンラインショピングサイトが不正アクセスを受け、顧客のクレジットカード情報が流出し、不正に利用された可能性がある。

クレジットカード決済を利用した191人。クレジットカードの名義、番号、有効期限、セキュリティコードなどが被害に遭った。

18 不正アクセス システムのメールサーバが不正アクセスを受け、不正なメールの送信に悪用された。

同県メールアカウントより31万1871件のスパムメールが外部へ送信された。ただし、12万3434件については送信エラーになった。メールアカウントでは、脆弱なパスワードを使用しており、同サーバは庁外からもアクセスできる状態だったため、不正なメール送信の踏み台として悪用された。サーバ内のデータを改ざんされたり、個人情報の流出といった被害については否定している。

19 サイバー攻撃 「なりすましメール」が、第三者より入居者を含む関係先に対して送信されている。
20 ファイナンスサービス サイバー攻撃 パソコンがマルウェア「Emotet」に感染し、従業員を装った「なりすましメール」が送信された。

同社の一部端末にマルウェア「Emotet」が感染。情報を窃取されたと見られ、同社従業員を装うメールが複数の関係者に対して送信されたという。

問題のメールは、パスワードを設定したzipファイルが添付されており、送信元として同社従業員を名乗っているが、同社のものとは異なるメールアカウントより送信されていた。

21 観光業 サイバー攻撃 外国の現地法人がサイバー攻撃を受け、顧客情報が流出した可能性がある。ファイルサーバにおいてマルウェアを検知。外部事業者による調査を実施したところ、第三者がファイルサーバに対してアクセスしていた。

氏名、住所、生年月日、パスポート情報などた流出した可能性がある。

22 報道 サイバー攻撃 従業員を装ったメールが送信されていることを明らかにした。マルウェア「Emotet」に感染した可能性がある。
23 弁護士法人 サイバー攻撃 一部パソコンがマルウェアに感染し、同法人の関係者をかたるなりすましメールが送信されている。

弁護士や職員を装ったメールが、過去にメールでやり取りがあった複数の関係者に送信されていることが判明したもの。「Emotet」に感染した可能性があるという。

24 公益社団法人 誤送信 会員へ送信した案内メールにおいて、メールアドレスが流出。会員20人に対して送信したスクール活動に関する案内メールにおいて誤送信が発生した。
25 サイバー攻撃 新型コロナウイルス感染症対策においてPCR検査のデータを管理するシステムがランサムウェアに感染。利用できない状況に陥った。感染被害が発生したサーバに外部からのアクセスが確認されており、サーバ内部には個人情報も保存されているが、今回の攻撃を通じて個人情報の窃取が実際に行われたかは不明。
26 紛失 15世帯分の世帯主氏名、世帯人員、住居などの区分、調査員がメモ書きした世帯の状況などが記載されていた書類を紛失。
27 クレジットカード事業者 誤送信 カードキャンペーンを紹介するダイレクトメールにおいて、誤送付が発生した。

1万1379件のダイレクトメールについて宛名と住所が異なる状態で送られたことが判明。

ダイレクトメール送付対象者のリスト作成時の作業ミスが原因。

28 ウェブサイトに設置した申し込み入力フォームより個人情報を閲覧できる状態となり、参加申込者28人に関する氏名、住所の一部、年代、メールアドレス、参加動機などの個人情報が流出した。
29 紛失 新型コロナウイルス感染症患者の個人情報が記載された資料が窓から飛散し、一部が所在不明。

回収した資料には、2世帯に関する4人の氏名、住所、電話番号、生年月日などが記載されていた。1世帯分の情報を含む未回収の1枚に関しては対象者の照合を進めている。

30 メーカー サイバー攻撃 一部端末がマルウェア「Emotet」に感染。同社従業員になりすました不審なメールが複数送信されたという。

問題のメールには、パスワードが設定された「zipファイル」を添付しており、メール本文に添付ファイル名とパスワードを記載。さらに送信元として同社グループ会社従業員を名乗っている。

31 誤送信 新型コロナウイルス感染症の陽性が判明した児童の個人情報をメールで送信した際、誤ったメールアドレスへ送信するミスがあった。

誤送信したのは、濃厚接触者について聴取した聞き取りシート。氏名、性別、在籍校、PCR検査情報、体調、同居家族の氏名と感染状況、保護者の連絡先などが含まれる。

32 誤設定 県ウェブサイトへ新規陽性者1262人に関する症例番号や居住地、年代、性別などを含む一覧を掲載した際、新規陽性者が接触した陽性者38人の氏名が特記事項として含まれていた。
33 製造業 サイバー攻撃 マルウェア「Emotet」の感染により、従業員を装った「なりすましメール」が出回っている。

グループ会社の一部端末がマルウェア「Emotet」に感染したもの。情報が流出したと見られ、グループ会社の従業員になりすましたメールが複数送信されていることが確認された。

34 誤送信 メール送信の際に無関係の団体や個人を誤って宛先に指定し、メールを送信したことでメールアドレスが流出した。

保有する4団体および個人10人についても宛先に誤って追加し、送信するミスがあったという。

35 サイバー攻撃 県セキュリティクラウドに対し、30分から1時間ごとにDDoS攻撃が行われているもの。

DNSサーバへ大量にリクエストを送信して負荷をかけ、名前解決を妨害する「DNSフラッド攻撃」を受けており、セキュリティクラウド配下にある同県や同県市町のサーバへアクセスしづらい状態が発生。ウェブサイトの閲覧に支障が出ているほか、市防災情報メールの到達が遅延するといった影響もでているという。

36 ECサイト 不正アクセス 脆弱性を突く不正アクセスを受けた。同サイトで商品を購入したすべての顧客最大7086人の個人情報が流出した可能性がある。氏名、住所、電話番号、生年月日、性別、職業、メールアドレスなどが対象だという。

さらに決済アプリケーションの改ざんにより、同サイトでクレジットカード決済を利用した顧客最大1569人に関しては、クレジットカードの名義、番号、有効期限、セキュリティコードのほか、ログインID、ログインパスワードなども被害にあった可能性がある。

37 誤送信 コンペの資料を第三者のメールアドレスに誤って送信し、外部に流出した。

帰宅後に自宅で業務を行うため、商品企画コンペの資料37件を同県職員が許可なく外部に送信したもの。これら資料のうち4件には、氏名や電話番号、学校名、メールアドレスなど個人情報も含まれる。

38 製造業 不正アクセス 社内で利用するファイルサーバへアクセスできない状態となっていることに従業員が気が付き、サイバー攻撃を受けたことが判明。

顧客に関する情報の外部流出などは確認されていないとし、支払いを含めて重要業務に支障は出ておらず、取引先への影響はないとされているが、被害状況の詳細については明らかにしていない。

39 病院 不正アクセス 複数メールアカウントが不正アクセスを受け、患者の個人情報などが外部に流出した可能性がある。

海外のIPアドレスからアカウント3件に対して不正アクセスが行われたもの。総当り攻撃によりパスワードを特定されたという。

40 決済サービス 不正アクセス 攻撃者が何らかの方法で同一サーバ内にある社内管理システムなど複数のアプリケーションに対して不正にログインし、SQLインジェクションの脆弱性に対して攻撃が行われた。

くわえてバックドアとなる不正なプログラムも設置され、複数のデータベースより情報を窃取されたという。

もっとも被害が大きかったのが、加盟店のeコマースサイト向けに提供しているトークン方式のクレジットカード決済サービスで利用しているデータベースに対する不正アクセスだった。

41 メーカー サイバー攻撃 部品供給元でマルウェアに起因するシステム障害が発生したことを受け、3月1日に国内工場の全製造ラインを一時停止した。国内全14工場にある28の生産ラインについて稼働を停止した。
42 商社 誤送信 イベントの案内メールにおいて送信ミスがあり、顧客のメールアドレスが流出した。

送信先を誤って「CC」に入力したため、メールアドレス124件が受信者間で閲覧できる状態となった。

43 誤送信 新成人の名簿を式典の実行委員3人にメール送信した際、1人のメールアドレスを誤り、第三者に送信するミスがあったという。

問題の名簿には、2020年度の新成人6人および2021年度の新成人11人の氏名、住所、電話番号、性別、生年月日が含まれる。

44 サービス サイバー攻撃 サイバー攻撃によりシステムがランサムウェアに感染した。

システムを再構築し、一部業務を再開したが、全面復旧には時間を要するとしている。

45 誤設定 メンテナンス時にアクセス制限の設定を一時変更。そのままの状態となっていたもので、インターネット経由で会員リストを閲覧できる状態になっていた。

同リストには、会員965人分の氏名、住所、電話番号、生年月日、性別、メールアドレス、会員ID、会員登録日などが含まれる

46 金融 誤送信 顧客の口座情報を提供する際、マイナンバーを含む無関係の口座情報を誤って同社に提供するミスがあった。

氏名や生年月日、口座番号、口座と紐付いたマイナンバーなどの個人情報1467件や、法人名、口座番号、法人番号など法人情報2件が含まれる。対象口座のデータ抽出作業に不備があった。

47 ECサイト 不正アクセス 脆弱性を突かれ、クレジットカード決済に用いるモジュールを改ざんされた。

顧客1144人が商品購入時に利用したクレジットカード情報を窃取され、不正に利用された可能性がある。クレジットカードの名義、番号、有効期限、セキュリティコードが含まれる。

48 地方公共団体 紛失 抽選番号を通知するハガキ133件が郵便局より発送されずに所在がわからなくなっている。
49 サービス 不正アクセス ウェブサイトの脆弱性を突く不正アクセスを受け、顧客のメールアドレスが流出した可能性がある。

会員に登録した顧客のメールアドレス9万8635件が外部に流出した可能性がある。

不正アクセスでは、データベースのテーブルにアクセスされた痕跡が残っていたが、メールアドレスを狙ったもので、氏名や住所、クレジットカードの流出はなかった。

50 エネルギー 紛失 外付けハードディスク1台を紛失している。

ハードディスクの内部には工事に関わる顧客情報3万1463件が記録されていた可能性があり、氏名と住所などが含まれる。さらに工事の委託先従業員情報73件なども含まれている可能性がある。

51 誤送信 研修に関する事務連絡メールを送信した際、誤送信が発生したもの。研修申込者のメールアドレス136件が表示された状態となった。
52 サービス 誤送信 6926件のメールアドレスを10件ごとのグループにわけ、700回にわたって送信したが、それぞれで送信先を宛先として設定していたたため、同一グループで送信された受信者間でメールアドレスを確認できる状態となった。
53 ECサイト 不正アクセス サイトで商品を購入した顧客303人分のクレジットカード情報が外部に流出し、不正に利用された可能性がある。

同サイトのシステムの脆弱性が突かれたことによる不正アクセスにより、ペイメントアプリケーションの改ざんが行われ、クレジットカードの名義、番号、有効期限、セキュリティコードなどが窃取された。

54 個人情報保護委員会 2021年10月29日から11月30日にかけて「個人情報の保護に関する法律についてのガイドライン(行政機関等編)」のパブリックコメント案に対する意見を募集。1月7日13時に結果を公表したところ、PDFファイルに意見を提出した12人の氏名や一部所属先が掲載されていた。
55 誤送信 イベント申込者24人にメールを送信したが、誤って宛先に設定したため、受信者間でメールアドレスが閲覧できる状態となった。
56 サービス 資料請求した26人が対象で、氏名、住所、電話番号、メールアドレス、学校名、学年、資料請求校などの情報が含まれる。
57 誤送信 PCR検査の結果を誤って同姓の別人にメールで送信するミスがあった。
58 紛失 主任計量者の個人情報や試験問題、試験結果などが保存されたUSBメモリを紛失した。

問題のUSBメモリには、実施予定の主任計量者試験問題の素案が保存されていた。

さらに1091人分の氏名、住所、生年月日、勤務先、勤務先住所、登録日など記載した主任計量者名簿や、265人分の氏名、住所、主任計量者試験の合否、点数などが含まれる。

59 誤送信 接種予約者57人に送信した確認メールにおいて誤送信が発生。

送信先を誤って宛先に入力したため、受信者間でメールアドレスが閲覧できる状態となった。

60 誤送信 案内メールにおいて誤送信が発生し、メールアドレスが流出した
61 持ち出し 無断で特定児童の個人情報が記録されている家庭連絡票を複写。私的に家庭教師を請け負うことについて提案。
62 住宅メーカー 持ち出し 元従業員が退職にあたり所属部門で保管されていた顧客情報を含む営業資料を不正に持ち出したことが判明した。

同社では、情報管理の一環として退職者へ貸与していたPCを回収し、調査を行ったところ、データの持ち出しが発覚。外部サーバにデータをアップロードし、転職先のパソコンからダウンロードしており、顧客情報をはじめ、64件の情報が含まれていた。

63 サービス サイバー攻撃 サイバー攻撃を受け、顧客や従業員などの個人情報が外部に流出した可能性がある。

求人応募者のメールアドレス宛てに、脅迫まがいのメールが数件届いた。

ログを調査したところ、アカウントを削除され、顧客、求人応募者、スタッフなどのデータを窃取されたことが判明。

データベースに登録されていた顧客、求人応募者、スタッフの氏名、電話番号、年齢、性別、メールアドレスなどが流出した可能性がある。

64 コンサルティング サイバー攻撃 不正アクセスが行われ、ストレージ内に保存されていた顧客情報が流出したと結論付けた。

対象となる個人情報は、同社の一社研修およびコンサルティングを実施した顧客企業の担当者に関する氏名、住所、電話番号、会社名、部署役職、一部メールアドレスなど約1000人分。また研修受講者の氏名や部署名など約1万9000人分についても被害に遭った。

同社では、対象となる顧客に経緯を説明して謝罪。業務については、外部クラウドサービスにデータを移行し、対策を実施した上で運用を再開している。

今回、取りあげておきたいのは、No.40と41です。No.40は決済代行会社での情報漏えいで、No.41は関連会社におけるランサムウェアへの感染となります。事案の性質は異なるところ、いずれの事案も漏洩元における事象に留まらず、関連会社にまで影響していることです。いずれも関連会社において、クレジットカードによる決済を停止したり、国内の工場の稼働を停止しています。これを、影響を受けた側(今回でいう加盟店や自動車メーカー)から見たとき、第三者における情報を利用・保管するリスク(サードパーティーリスク)が現実に発生したものといえます。ちなみに、No.40は決済代行会社での情報漏えいでは、各種調査、再発防止等、発生が見込まれる費用として、その他費用に168 百万円が計上されており、インシデントとしての影響・規模の大きさがうかがえます。

サードパーティーリスクは管理していくべきこととなりますが、一般論として、取引先数は相当数となる(情報の利用や管理を委託する企業に限定すれば数は限られますが・・・。)考慮することとなり、当然、サードパーティが重要な役割を担い、依存してしまう場合には管理水準が適切であるのか、ビジネスパートナーとしてふさわしいのかも検討の上、評価しなくてはなりません。

その上で、サードパーティに対して、セキュリティの水準の向上や情報管理体制の整備などを求めていくこととなります。もっとも、過度な負担を強いるような要求やサードパーティに丸投げを行ってはならず、双方で必要なセキュリティ水準に関して認識を一致させておくことが望ましいです。すなわち、委託元単体あるいは委託先単体でセキュリティ体制を構築するのではなく、サプライチェーン全体で構築していくことが望まれます。

参考文献

木下翔太郎著・佐々木良一監修『「つながる世界」のサイバーリスク・マネジメント 「Society5.0」時代のサプライチェーン戦略』(東洋経済新報社)

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

セミナー・研修系サービスの紹介
SPリスク・ラーニング

新型コロナウイルスの影響により、多くの企業で在宅勤務を前提にしたWeb研修や会議が行われている状況を受け、「コンプライアンス」「ハラスメント」「クレーム対応」「情報セキュリティ」「防災・BCP」など、新入社員から入社2~3年目の若手社員に必須の危機管理に関する知識を詰め込んだ9種類の研修用動画を提供しています。

危機管理会社の新入社員・若手社員研修

社会人に求められる常識や、業務の習得に必要な視点・モチベーション、仕事場におけるコミュニケーションスキル等を「リスクマネジメント」の観点から学び、企業と新入社員本人の双方からのアプローチで、早期離職や問題社員化等の「人財ロス」低減を目指します。数々のリスク対応で培った、危機管理会社ならではのオリジナルメニューで、他社ではできない領域の研修が可能です。理論と実践が結びついた早期の危機管理教育が、「人財」を育てます。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556
Back to Top