このページの本文へ

不正アクセスやランサムウェアの被害が大きかった2021年の教訓

2021年12月31日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

この時代だからこそ、サイバー犯罪の隆盛も変わる

 2021年は、新型コロナウイルスの影響で、多くの人の生活が変わり、それが新しい様式(ニューノーマル)として定着していった1年でもあった。

 昨年に引き続き、コロナ禍においてオンラインサービスの利用が増加した。さまざまなサービスがオンラインで提供されることで利便性は高まる一方、サイバー犯罪もそれを狙ったものになる。

 マカフィーは12月14日、2021年の10大セキュリティ事件を発表した。日本国内の経営層や情報システム部門などのビジネスパーソンを対象とした調査を実施し、その結果をもとにまとめたものだ。

順位 セキュリティ事件(時期) 認知度(%)
1 電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害を受け、加盟店の名称など2,000万件以上の情報が流出した恐れがあると発表した。(2020年12月) 43.0
2 東京オリンピック・パラリンピックの期間中、大会運営に関わるシステムやネットワークに、合計4億回を超えるサイバー攻撃があったことが判明。対策の結果、全てブロックし大会運営への影響はなかった。(10月) 27.2
3 人材情報サービスのポータルサイトの運営企業は、同社が運営する転職情報サイトで、外部で不正に入手されたとみられるパスワードを使った不正ログインが発生したと発表した。(2月) 23.1
4 政府機関や当該機関の職員らが使用するファイル共有ストレージに不正アクセスがあり、231人の個人情報が外部に流出したと発表した。(4月) 17.5
4 米石油パイプライン最大手企業は、ランサムウェア攻撃を受けて全ての業務を停止したと発表した。(5月) 17.5
6 婚活など交際相手を探すマッチングアプリのサーバーが不正アクセスを受け、最大で会員171万人分の運転免許証などの画像データが流出した可能性が高いことが判明した。(5月) 15.1
7 官公庁や企業で使われている総合電機メーカーの情報共有ソフトに不正アクセスがあり、ソフトを利用している国土交通省や内閣官房で情報漏洩があったことが判明した。(5月) 14.4
8 国立大学に対する外部からの不正なログインによって、学生2人のメールアドレスから約3万5,000件の迷惑メールが送信されていたと発表した。(1月) 14.3
9 精密化学メーカーがランサムウェアとみられる攻撃を受け、グローバルネットワークの一部停止を余儀なくされた。(6月) 11.4
10 私立大学の会議室予約システムに存在していた脆弱性を突いた不正アクセスにより、個人情報が漏洩した可能性があると発表した。(5月) 11.3

 第1位は、電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害を受け、加盟店や従業員の情報など2000万件以上の情報が流出したとされる事件。

 コロナ禍においてクラウドの有用性は増していく一方、そこに重要な情報を預ける場合、サービスを提供するシステム全体の監査と、セキュリティ脅威に関しての情報収集や対策の重要性をより意識するきっかけになったといえる。

 また、電子決済サービスは、非接触で利便性の高い決済手法であるため、利用がますます増加している。そのような背景から、世間に与えるショックも大きかったといえる。

 また、話題性が大きかったのがランサムウェアだ。国内の大企業や米国の重要インフラ事業者を狙った攻撃に注目が集まっっている。

 ランサムウェアといえば、パソコンやスマートフォンなどのデータ、もしくは端末自体を暗号化して使用不能にし、それらの復号化と引き替えに身代金を要求する不正プログラムだ。しかし、最近では、暗号化する前にデータを窃取し、支払わなければそのデータを公開する……と脅迫する、“二重”のランサムウェアを活用する例もある。

 ランサムウェアの対策として、データのバックアップを取るということはよく言われる。企業ともなれば、それは徹底するだろう。そこでランサムウェアを使う側は、データを復号化しなくてもバックアップから復旧できる企業などに対して、「盗んだデータを公開するぞ」と脅迫することで、身代金を取ろうとするわけだ。

 非接触の考え方、多様化するオンラインサービス。この流れは2022年も続いていきそうだ。悪意を持った人間は、そこを狙ってくるだろう。また、私たちの生活と密接に関わる企業や重要インフラを狙ったランサムウェア攻撃も、引き続き警戒をしていく必要がある。それが2021年の教訓といえる。

 最新のセキュリティの脅威は、他人事ではない。当事者意識を持ち、セキュリティに対する理解を深めていく必要があるだろう。今回はマカフィーのリリース「McAfee Enterprise、2021年の10大セキュリティ事件ランキングを発表」を紹介しよう。(せきゅラボ)(せきゅラボ)

※以下はMcAfeeのプレスリリースからの転載となります。

McAfee Enterprise、2021年の10大セキュリティ事件ランキングを発表
「2021年のセキュリティ事件に関する意識調査」を実施

オンラインサービスへの不正アクセスやランサムウェア攻撃のリスクに注目が集まった一年に

McAfee Enterpriseは、本日、2021年の10大セキュリティ事件を発表しました。これは、日本国内の経営層や情報システム部門などのビジネスパーソンを対象に実施した「2021年のセキュリティ事件に関する意識調査(調査対象:2020年12月〜2021年11月迄に報道された事件)」の結果を基にしています。

今回は、第1位に電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害を受け、加盟店や従業員の情報など2,000万件以上の情報が流出したとされる事件がランクインしました。この事件は、クラウド上に機密情報を有する事業者にとって、サービスを提供するシステム全体の監査と、セキュリティ脅威に関する継続的な情報収集及び対策の重要性について改めて考えるきっかけとなりました。またその他にも、国内の大手企業や米国の重要インフラ事業者を狙ったランサムウェア攻撃など、収益化を狙った脅威に注目が集まりました。しかしながら全体的に認知度は低い結果となり、世間を大きく賑わせた大型のセキュリティ事件は例年と比較すると少ない印象の1年となりました。

2021年の10大セキュリティ事件ランキングに関するMcAfee Enterpriseの主な見解

・昨年に引き続き、コロナ禍においてオンラインサービスの利用が増加し、ニーズが多様化しました。さまざまなサービスがオンラインで提供されることで利便性は高まりますが、利用者が安全に利用できるよう、サービスを運営する事業者は包括的な対策を取る必要があります。また、1位の事件以外にもクラウドサービス利用時の設定不備を突いた不正アクセス事案がいくつか見られ、企業の信頼性を維持するためにも、セキュリティ観点でのガバナンスの確立、自社の脆弱な点を監査する組織や仕組みの導入等の重要性がますます高まると考えられます。
・今年は国内の大企業や米国の重要インフラ事業者を狙ったランサムウェア攻撃にも注目が集まりました。攻撃の手口は、データの暗号化に加えて事前に重要データを手元に収めておいて、暗号化データの復号のための身代金交渉が上手く行かない場合は、重要データを漏えいさせると脅しをかける2重脅迫型が主流になりました。また、RaaS(Ransomware-as-a-service)のプラットフォームを使用し、データの暗号化や情報搾取のための手法が洗練されたことも特徴です。このようにランサムウェア攻撃の手法は日々巧妙化し悪質化する傾向で、ターゲットも変化しているため、企業や組織は以前から有効とされていたデータのバックアップだけではなく、攻撃者の侵入・横展開・重要データの搾取という一連のフェーズを多層的に防御する対策に加えて、万が一攻撃が成功してしまった場合であっても、迅速に検知し対応を行うための対策を実施していくことが求められています。

調査結果を基にランク付けした2021年の10大セキュリティ事件は以下の通りです。なお、当ランキングは、昨年の調査後(2020年12月)から今回の調査を開始した2021年11月までに報道されたセキュリティ事件に対するビジネスパーソンの認知度(複数回答)を調査した結果によるものです。

順位 セキュリティ事件(時期) 認知度(%)
1 電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害を受け、加盟店の名称など2,000万件以上の情報が流出した恐れがあると発表した。(2020年12月) 43.0
2 東京オリンピック・パラリンピックの期間中、大会運営に関わるシステムやネットワークに、合計4億回を超えるサイバー攻撃があったことが判明。対策の結果、全てブロックし大会運営への影響はなかった。(10月) 27.2
3 人材情報サービスのポータルサイトの運営企業は、同社が運営する転職情報サイトで、外部で不正に入手されたとみられるパスワードを使った不正ログインが発生したと発表した。(2月) 23.1
4 政府機関や当該機関の職員らが使用するファイル共有ストレージに不正アクセスがあり、231人の個人情報が外部に流出したと発表した。(4月) 17.5
4 米石油パイプライン最大手企業は、ランサムウェア攻撃を受けて全ての業務を停止したと発表した。(5月) 17.5
6 婚活など交際相手を探すマッチングアプリのサーバーが不正アクセスを受け、最大で会員171万人分の運転免許証などの画像データが流出した可能性が高いことが判明した。(5月) 15.1
7 官公庁や企業で使われている総合電機メーカーの情報共有ソフトに不正アクセスがあり、ソフトを利用している国土交通省や内閣官房で情報漏洩があったことが判明した。(5月) 14.4
8 国立大学に対する外部からの不正なログインによって、学生2人のメールアドレスから約3万5,000件の迷惑メールが送信されていたと発表した。(1月) 14.3
9 精密化学メーカーがランサムウェアとみられる攻撃を受け、グローバルネットワークの一部停止を余儀なくされた。(6月) 11.4
10 私立大学の会議室予約システムに存在していた脆弱性を突いた不正アクセスにより、個人情報が漏洩した可能性があると発表した。(5月) 11.3

この1年間を代表する事件“電子決済サービスへの不正アクセス”

今回の調査対象期間を代表する事件としてランキングの第1位に登場したのは、電子決済サービスを開発・提供する企業が管理するサーバーが不正アクセスの被害にあい、加盟店の名称など2,000万件以上の情報が流出した事件でした。非接触で利便性の高い決済手法である電子決済サービスが浸透し、利用がますます増加しています。加盟店に関する情報へのアクセス権限設定の不備を狙われて発生したとされるこの事件は、世間に大きな衝撃を与えました。

日々進化するランサムウェア攻撃の脅威

今年のランキングの第4位にランクインした米国の重要インフラ事業者を狙った攻撃、第9位の精密化学メーカーを狙った攻撃、またランクインはしなかったものの、11月末の医療機関への攻撃に関する報道などもあり、2021年はランサムウェアによる攻撃が大きなインパクトを残しました。攻撃手法が日々進化、巧妙化する中、企業や組織も後手に回ることなく、対策を行うことが求められます。警察庁から9月に発表された今年の上半期の脅威情勢*によると、ランサムウェアの報告件数は2020年下半期から約3倍と大きく増加しており、企業や団体の被害件数は事実増加していることがうかがえます。

弊社代表取締役である田中 辰夫は次のように述べています。

「新型コロナウイルス感染症の影響が継続する中、新たな常識として非接触の考え方などが浸透し、多様化するニーズに対応したオンラインサービスが多く利用された一年でした。また、私たちの生活と密接に関わる企業や重要インフラを狙ったランサムウェア攻撃も発生しました。セキュリティにおける脅威は決して他人事ではありません。それぞれが当事者意識を持ち、これまでに増して理解を深め、対策を強化していくことが不可避であり、ますます重要になると考えています」。

*警察庁広報資料「令和3年上半期におけるサイバー空間をめぐる脅威の情勢等について」 https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_kami_cyber_jousei.pdf

【調査概要】

調査名: 「2021年のセキュリティ事件に関する意識調査」
調査対象者: 日本国内に在住する企業経営者、企業に勤務する情報システム担当者、一般従業員など22歳以上の男女1,000人
調査方法: インターネットによるアンケート調査
調査項目: 前回調査後の2020年12月から今回の調査を開始した2021年11月までに報道されたセキュリティ事件に対する認知度(複数回答)
調査期間: 2021年11月26日〜2021年11月30日
調査主体: McAfee Enterprise(アスマーク モニタを利用)

※本記事はアスキーとマカフィーのコラボレーションサイト「せきゅラボ」への掲載用に過去のMcAfee Blogの人気エントリーを編集して紹介する記事です。

■関連サイト

カテゴリートップへ