近年、個人情報漏洩のニュースが多くなっています。個人情報の漏洩は個人、組織双方で起こりうる問題ですが、特に組織による個人情報の漏えいは、組織自体に甚大な被害をもたらすため、早急に対応しなければならない問題であり、経営者やIT担当者が意識しなければならない時代と言えます。
このような情報漏えいに対する注意喚起を目的として、2022年に起きたニュース情報の整理と有効な対策などを解説しますので、お役に立てればと思います。
2022年セキュリティ事故5選
今年を振り返ってみると、企業規模や業種を問わず様々な企業がサイバー攻撃の標的になっており、様々なタイプの攻撃が行われました。トヨタ自動車関連会社のサイバー攻撃をはじめ、多くのセキュリティインシデントが発生しています。特にこれらに伴う情報漏洩、ないしは未遂事案も多く発生しており、IPAからも注意喚起が出ている状況です。
今回は2022年に発生した情報漏洩を中心としたセキュリティ事故5選をご紹介いたします。
1.サイバー攻撃による顧客情報流出(1月)
2022年1月、石橋楽器店は、自社サイトの脆弱性を突いた不正アクセスにより、お客様のメールアドレス9万8635件が外部に流出した可能性があることを明らかにしましました。
発表によると、 攻撃者はWebアプリケーションのセキュリティ上の脆弱性を利用し、アプリケーションが使うデータベースに不正なSQL文を意図的に注入する「 SQL インジェクション攻撃」という攻撃手法で不正アクセスを仕掛けました。
原因が判明された後、同社は、不正アクセスされたプログラムを停止しました。なお、今後外部専門機関による脆弱性診断を実施し、Webシステムのセキュリティを強化するなどの対策を取ることで、サイバー攻撃の再発防止に努めると発表しました。
2.ランサムウェア被害によりグループ全体の操業停止(3月)
2022年3月、自動車部品メーカーの小島プレス工業は、サイバー攻撃を受けたことを公表しました。
原因は、リモート接続機器の脆弱性を突かれた攻撃でした。攻撃者は、同社の子会社が特定外部企業との専用通信に利用していたリモート接続機器の脆弱性を標的とし子会社のネットワークに侵入し、さらに同社内部ネットワークへ侵入しました。2月26日深夜にファイルサーバの障害を検知し、マルウェアの感染や脅迫メッセージを確認し、攻撃を受けたことが分かったということです。
さらに、「3日以内に私たちに連絡しなければ、データを公開する」との脅迫メッセージが残されていたことが確認され、データを人質にし身代金を要求する「ランサムウェア」による攻撃であったことも分かっています。
トヨタ自動車の協力会社の同社への攻撃により、結果的にトヨタグループは3月1日、国内全14工場28ラインを停止しました。すぐ復旧されましたが、サプライチェーンを狙った攻撃で大きなダメージを受けました。
3.アプリ不正改ざんによる顧客データ流出(6月)
2022年6月井上商事株式会社は同社が運営する「スイーツパラダイス オンラインショップ」において、個人情報が流出した可能性があると明らかにしました。
2021年の一時期、オンラインショッピングでクレジットカード決済を利用した7,409人のカード情報が流出したとされています。
ここでは、システムの脆弱性を悪用して決済アプリケーションが改ざんされました。店舗で入力したクレジットカード情報が悪意のある第三者に流出し続けていたのです。この手口は「Webスキミング」と呼ばれ、国内外のさまざまな企業が被害を受けています。
同社が情報漏えいを発覚してから公表するまでに約半年を要し、その間に不正利用が発生したことから、対応の遅さを批判する声もでていました。
出典:https://www.itmedia.co.jp/business/articles/2206/08/news186.html
4.電子カルテシステムのサイバー攻撃(10月)
2022年10月31日、大阪急性期総合医療センターは、電子カルテシステムに障害が発生したため、緊急を要しない手術と外来診療を中止すると発表しました。 ランサムウェアウイルスと思われるサイバー攻撃により、給食を外部委託している企業を経由してシステムに侵入した可能性が高い。
この会社は、2021 年 10 月に攻撃を受けた徳島県鶴来市の半田病院と同じ会社の VPN ツールを使用していました。ソフトウエアが古いため、ウイルスが侵入できる脆弱性が悪用されたと考えられます。
5.二要素認証の除外アカウントに大量の不正ログイン(12月)
2022年12月、熊本県立大学は同大学名誉教授のメールアカウントに不正ログインされ、個人情報が流出した可能性があると発表した。 名誉教授は 2 要素認証を例外的に免除され、他のサイトでも使用する短いパスワードを設定していました。
事実が明らかになったのは7日。 ある名誉教授のメールアカウントに、8月30日以降、海外から約1,000件の不正ログインがあったことが判明しました。漏洩した可能性のあるデータには、3,537名の教職員と学生の名前とメールアドレス、43名の教職員の履歴書、991名の名誉教授の住所録、その他の人事資料です。
熊本県立大学は二要素認証を原則としているが、名誉教授はスマホを持っていなかったために免除されていいました。さらに名誉教授が使用したパスワードは短く、他のサイトで使用されていたものであり、これらの要因が不正ログインに寄与したと考えられます。
出典:https://news.yahoo.co.jp/articles/edc2c9da2cc1e614e184347d1704f413903fc0a1
セキュリティ事故を防止するために有効な対策とは
年々高度化するサイバー犯罪に対し、各社対応を進める中で、2022年度も多くのインシデントが発生してしまっています。御社においても例外ではありません。対策を怠れば、いつ同様の事故・攻撃が発生するかもしれません。
それではどのような対策を講じればよいのでしょうか?ここではその対策方法について2点ご紹介いたします。
ソフトウエアのアップデートや脆弱性対策は必ず実施すること
まず1つ目は、個人単位で簡単にできるセキュリティ対策になりますが、ソフトウエアアップデートや脆弱性対策をこまめに実施すること、です。
今回ご紹介した事例の中の多くで、既知の脆弱性をつかれた攻撃や、セキュリティツール(VPN等)ソフトウェアバージョンが古かったことで攻撃がすり抜けてしまったなどのケースが散見されました。この手の問題は対策を講じていれば防げた問題です。
このような状況は多くの企業で散見されます。自社を守るためにもツールのアップデートや脆弱性対策はしっかり行いましょう。また、定期的なセキュリティ監査等でチェックするのもよいでしょう。
セキュリティソリューションを導入し対策強化
個人単位でのセキュリティ対策だけでは、日々高度化するサイバー攻撃に十分対応できないため、企業側でセキュリティ対策を強化していくことが求められます。
近年のサイバー攻撃は全てWebシステムの脆弱性を狙った攻撃という共通点があります。先にもお話した通りサーバの脆弱性やVPNソフトウエア等の弱点をついた攻撃によるものが多くみられます。また残念ながら人為的な問題によるデータの紛失などもいまだ発生しています。
有効な対策の為、専門的なセキュリティソリューションの導入による対策強化を行うことをお勧めします。Webであれば単にウィルスソフトウエアによる対策だけでなく、Webに対するふるまい検知、遮断などを実施するWAFなどの導入を行うとよいでしょう。また、データ紛失の防止の為、できるだけオンライン上で安全にデータ送信できるようデータ暗号化ツールなどの導入を検討されてもよいのではないでしょうか?
まとめ
2022年も多くの有名企業で情報漏洩に関するセキュリティ事故が発生しています。またその攻撃方法も年々高度化している一方で、多くのケースで事前対策をしっかりしておけば防げるケースもいまだ発生しているのが実態です。
御社もこれらの事例を教訓とし、今一度セキュリティ対策の見直しを検討されてはいかがでしょうか?
