情報化社会と言われる今、暮らしや経済は多くの情報化やデータの蓄積によって支えられています。一方で個人情報の漏えいをはじめとする情報セキュリティに関するインシデントが後を断ちません。今回は企業が最低限知っておくべきセキュリティインシデントについての基礎知識や現状、そのセキュリティ対策までを2回に分けてみていきたいと思います。
セキュリティインシデントとは
セキュリティインシデントとは、コンピュータの利用や情報管理、情報システム運用に関して保安上の脅威となる事象のことを指します。コンピュータウイルスなどのマルウェア感染、不正アクセス、アカウント乗っ取り(なりすまし)、Webサイトの改ざん、情報漏えい、迷惑メール送信、DoS攻撃、情報機器や記憶媒体の紛失や盗難といったサイバー攻撃から人的ミスまであらゆる情報セキュリティ上の問題が含まれます。これらの「インシデント」は日々世界中で絶えることなく起こっています。
絶え間なく生じている脅威
島大 患者情報入ったUSB紛失 NHKニュース
島根大学によりますと、ことし7月下旬に開かれた研究会で、島根大学医学部附属病院の医師が、別の医師から借りたUSBメモリーを使用し、その後、紛失しました。
USBメモリーには、244人の患者の名前や病名、手術記録などの情報が入っていたということです。
引用:https://www3.nhk.or.jp/lnews/matsue/20191115/4030004035.html
国体参加者などのデータ消失 不正アクセスで―日本スポーツ協会 時事通信
日本スポーツ協会は15日、新システム開発の委託先のサーバーが不正なアクセスを受けたため、国民体育大会参加者など延べ63万2402人分のデータが消失したと発表した。データ流出は確認されておらず、同協会内に保存している元データは残っているという。
「Office 365」の管理者狙うフィッシング攻撃 - さらなる攻撃の起点に
組織における「Office 365」の管理者を狙ったフィッシング攻撃が確認されている。乗っ取られた組織から送信されており、スパムフィルタを通過する上、攻撃が成功するとさらなる攻撃の踏み台に悪用されるおそれがある。
マイクロソフトを装い、偽のログインページへ誘導するメールが広範囲に出回っているもので、PhishLabsが確認した。
これらはほんの一例ですが、今年11月に入って実際にニュース等で報じられた個人情報漏えいや不正アクセス等のインシデントです。
IPA「情報セキュリティ10大脅威 2019」
独立行政法人情報処理推進機構(IPA)が発表している、最新の「情報セキュリティ10大脅威 2019」では、2018年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおけるインシデント(事案)トップ10がまとめられています。
引用:https://www.ipa.go.jp/files/000072668.pdf
それによると組織における脅威の1位「標的型攻撃による被害」、2位「ビジネスメール詐欺による被害」、3位「ランサムウェアによる被害」と、トップ3の順位は昨年と変わっていません。4位に入った「サプライチェーンの弱点を悪用した攻撃の高まり」は初めて圏外からランクインしています。そして5位に「内部不正による情報漏えい」が入っています。
重大なセキュリティインシデント
ここでは先に紹介したIPA「情報セキュリティ10大脅威 2019」の中から重要なインシデントを抜き出し解説していきます。
標的型攻撃による被害
標的型攻撃は、機密情報を盗み取ることなどを目的として、特定の個人や組織を狙った攻撃です。 業務関連のメールを装ったウイルス付きメール(標的型攻撃メール)を、組織の担当者に送付する手口が知られています。重要情報の入手を最終目標として、時間、手段、手法を問わず、目的達成に向け、特定の組織を攻撃対象として、その標的に特化して継続的に行われる一連の攻撃を指します。一般に「APT攻撃」、「持続的標的型攻撃」と呼ばれる場合もあります。
システムの隙を突いて広い範囲に被害をもたらすタイプのマルウェアとは違い、標的型攻撃ではターゲットの企業のPCやサーバーに入り込むために組織的な攻撃者によって長期間にわたり段階的な攻撃を継続して行われます。手口は巧妙化しており、有名な企業の名前を使って安心させたり、納品データや請求書データなどを装ったりと様々な手法を使ってPCに入り込もうとします。もし乗っ取られてしまうと、データベースの管理情報などが盗まれ、顧客情報等が流出したり攻撃の踏み台にされたりします。
ビジネスメール詐欺による被害
ビジネスメール詐欺とは、巧妙に細工されたメールで金銭を振り込ませる手口です。海外の取引先や自社の経営者層等になりすまして、偽の電子メールを送って入金を促す詐欺のことで、BEC(Business Email Compromise)とも呼ばれています。同種詐欺事案は世界中で大きな被害をもたらしており、日本国内においても同種手口による高額な被害が確認されています。前回は3位でしたが2位に浮上しました。
これらのビジネスメール詐欺の多くは、海外の銀行口座を振込先として指定してきます。海外に一度送金してしまうと、そのお金を回収することは非常に困難です。しかし手口が巧妙化し、日本語で文面が来るケースもあるので注意が必要です。こうした被害が増加していることを念頭に、入金を促すメールは電話で確認したり、メールアドレスが正しいかチェックしたりするように気を付けましょう。
ランサムウェアによる被害
ランサムウェアはマルウェアと呼ばれる「悪意のあるソフトウェア」の一種です。感染するとユーザーのデータを勝手に暗号化し、解除やデータの回復と引き換えに「身代金(ransom)」を要求してくるため、その名がつけられました。2017年5月に流行したWannaCryでは、150カ国23万台以上のコンピュータに感染し身代金を要求しました。2018年に一旦減少しましたが、トレンドマイクロは、公式ブログで「『データを暗号化する標的型攻撃』が表面化、2019年第1四半期の脅威動向を分析」と題する記事を公開し再び蔓延しているという警告を発しています。
感染ルートとして最も多いのは標的型攻撃と同様にメールの添付ファイルやウェブサイトで、2018年7月にJPCERT/CCから公開されたレポートによると、国内の約35%の組織がランサムウェアに感染しているとのことです。また、被害額は年々拡大していく傾向にあります。
サプライチェーンの弱点を悪用した攻撃の高まり
サプライチェーンとは製品やサービス提供をするために行われる一連のビジネス活動の流れのことで、製造業で例えると設計開発、資材調達、生産、物流、販売という全プロセスをつなぐ連鎖構造を指しています。セキュリティ対策を強化している大企業を狙わず、取引先や関連企業といった中小規模でセキュリティ対策が手薄な企業を狙い、そこを踏み台にして大企業を攻撃する手法をサプライチェーン攻撃といいます。
サプライチェーンによるインシデントはこれまでランク外だったのが今回重大インシデントとして浮上しています。サプライチェーンを構成する企業のうち一社でもセキュリティ対策の甘いところがあれば、そこを攻撃の足がかりとして狙われるリスクが高まります。そのためセキュリティ要件を満たさない事業者およびそこから提供される製品やサービスは、今後グローバルサプライチェーンからはじき出される可能性があります。
内部不正による情報漏えい
内部不正による情報漏えいは前回の8位から5位に浮上しています。経済産業省が公表した「人材を通じた技術流出に関する調査研究 報告書(別冊)」によると、営業秘密が競合他社へ流出する事案は、「中途退職者(正社員)による漏えい」が50.30%、「現職従業員等による漏えい」が26.90%、「金銭目的等の動機を持った現職従業員による漏えい」が10.90%と、退職者や従業員などの内部関係者によるものがほとんどであると報告されています。こうした不正による情報漏えいを防ぐには、システム的な対策に加え、従業員のモラル向上といった社内での教育活動も必要です。
情報漏えい全体については被害件数をNPO日本ネットワークセキュリティ協会(JNSA)がまとめています。それによると2018年の個人情報漏えいインシデントの件数は443件で2017年(386件)から増加に転じています。一件あたりの漏えい人数が1万3,334人なので漏えい人数は561万3,797人となります。想定損害賠償総額は2,684億5,743万円、一件あたり平均想定損害賠償額は6億3,767万円と報告されています。セキュリティインシデントには過失による情報漏えい等の「事故」も存在します。故意ではないので許されるということはなく、企業は重い賠償責任を負うことになります。
ここまでセキュリティインシデント全般について、実際の事例を交えながら解説しました。次回はセキュリティインシデントが起こってしまった場合の対応の仕方、そして必要なセキュリティ対策を中心にお届けしていきます。