キヤノンMJ/サイバーセキュリティ情報局
近年の個人情報流出事例と漏えいを抑止するための対策
本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「相次ぐ個人情報流出を防ぐためのセキュリティ対策とは?」を再編集したものです。
企業・組織がインターネットの世界で便利なサービスを提供する際、ユーザーに個人情報の入力を促すことが多いだろう。しかし、こうした情報が仮に流出した場合、企業・組織は信頼を大きく損なうことになりかねない。この記事では、昨今の個人情報流出の事例と、その抑止のための対策について解説する。
後を絶たない個人情報の流出
個人情報の流出を伴うセキュリティインシデントが今なお後を絶たない。2023年1月に東京商工リサーチが発表した調査結果によると、2022年の事故件数は165件で、漏えいした個人情報は合計592万人に及ぶなど、2年連続で最多を更新するに至った。同社では調査を開始した2012年以降の11年間の累計で、日本の人口に匹敵する1億2,500万人分の個人情報が漏えいしたとしている。
こうした個人情報漏えい事件が増加している背景には、攻撃者にとって個人情報の価値が高まっていることがある。例えば、個人情報の換金性が高まったこと、あるいは闇ビジネスのエコシステムが確立されつつあることなどが挙げられる。
具体的には、オンライン取引の増加により、IDとパスワードが入手できればさまざまなサービスを不正に悪用できる。また、クレジットカード番号が取得できれば、不正利用で換金も容易だ。ほかにも、盗んだ個人情報をもとに、さまざまな詐欺行為につなげることも可能だ。さらに、近年ではダークウェブなどを通じて現金化することのハードルも下がっている。こうした状況が短期間で改善されることはおそらく現実的ではない。したがって、今後も当面、個人情報を狙う攻撃は後を絶たないものと推測される。
内部記事リンク:個人情報流出?発生した際の被害はどうなるのか
近年の個人情報流出事例
先述のように、後を絶たない個人情報の流出だが、近年ではどのような事例が生じているのか。その傾向について、以下に5つ紹介していく。
・Emotetによる情報漏えい
2021年のテイクダウンにより終焉したかに見えたEmotetだが、2023年3月に活動を再開するなど多くの被害事例が報告されている。実際に被害に遭遇した組織は大企業や中小企業、大学、公的機関など広範囲にわたる。過去には大手電力会社の社内ネットワーク上のパソコンがEmotetに感染。社内外合計で3,400件近くのメールアドレスが漏えいしていたことを公表している。
Emotetに感染すると、認証情報や機密情報が盗み出されてしまう場合がある。メールソフトに侵入して不正操作することで、その感染を広げることから、取引先などへも影響を及ぼす。Emotetは近年、ダウンローダーとして機能することも多く、その場合はセキュリティソフトなどでの検出も困難になり得る。そのため、被害が発覚して初めて侵入されていたことが判明するケースもある。今後もEmotetが再流行する可能性は十分に考えられるため、予断を許さないだろう。
・標的型攻撃による情報漏えい
ある特定の企業に狙いを定め、攻撃を仕掛ける標的型攻撃は、従来の不特定多数を狙った攻撃よりも手間やコストがかかる。しかし、攻撃が成功した場合の見返りも大きいことから、主な攻撃手法の1つと言えるほど、こうした攻撃はよく見られるようになっている。
国内では2016年、標的型攻撃によって800万件近くの個人情報が流出した事件も発生している。偽装したメールアドレスから送られた不審メールに添付されていたファイルの開封をきっかけに、開封したユーザーの端末にマルウェアが感染。外部のC&Cサーバーと連携しながら感染が社内に拡大して個人情報が格納された端末にもアクセスがあったとされる。
・業務委託先からの情報漏えい
業務委託先からの情報漏えい事件も後を絶たない。2023年3月には、大手携帯キャリア企業が最大で約529万件の情報漏えいがあったことを公表。この件では委託先企業のパソコンから情報が流出した可能性があることを明らかにしている。
ほかにも、大手通信教育企業における3,500万件に上る個人情報の流出は当時、大きな話題となった。この場合も業務委託先から漏えいし、顧客情報として転売されていたことがわかっている。個人情報にアクセスできる業務を外部企業に委託する場合、NDA(秘密保持契約)の締結はもちろんのこと、再委託の取り扱いなどを含めて厳格に管理する必要があるだろう。
・医療情報の漏えい
医療の現場では、電子カルテなどの普及が進んだことで、患者のデータへ容易にアクセスできる環境が整備されてきた。加えて、スマートフォン(以下、スマホ)さえあれば、いつでもどこでも写真や動画を撮影、送信できるようになっている。こうした背景から、医療情報が内部犯行によって流出するインシデントも起きやすい状況となっている。
また、個人情報の中でも医療情報は極めて機微な情報である。そのため、こうした情報を窃取して身代金を要求するランサムウェア攻撃も後を絶たない。実際、国内でも病院を狙うランサムウェア攻撃が多数確認されている。このような状況を踏まえても、医療の現場における適切なセキュリティ対策は急務となっている。
・SNSを通じた個人情報の漏えい
SNSを通じた個人情報の漏えいも深刻化している。何気ない投稿から、企業の社員情報や機密情報などが流出してしまう恐れがある。匿名で運用しているTwitterなどの投稿を執拗にチェックして、そのユーザーが所属する組織の情報を断片的に収集していき、それらを統合して特定の個人に紐づける、粘着質なソーシャルエンジニアリングのような攻撃手法も実際に存在している。
SNS経由での流出は、先に挙げた3つの個人情報流出とは若干毛色が異なるとは言え、重要な情報が漏れてしまうことに変わりはない。また、こうした情報を悪用してほかの脅迫や詐欺などにつなげる攻撃も想定され得る。重要な個人情報、機密情報が流出してしまう危険性を適切に認識してSNSを運用する必要があるだろう。
内部記事リンク:個人情報漏えいを招かないために企業に求められるセキュリティ対策
個人情報漏えいへの対応策
個人情報の漏えいを防ぐためには、悪意ある外部からの攻撃に対する防御という観点だけでなく、内部犯行や情報リテラシーレベルの向上といった観点も欠かせない。それぞれの観点から、以下のような対応策が有効となる。
・入口対策
インターネットと組織内部を隔てる境界を強固に防御する必要がある。ファイアウォールやIDS(不正侵入検知システム)/IPS(不正侵入防止システム)をはじめ、外部からの通信を監視・遮断するソリューションを導入することで、不正な通信を事前に検出し、攻撃を未然に防ぐ可能性が高まる。先述のEmotetに代表されるように、マルウェアは個人情報を流出させるための有効な手段となる。したがって、攻撃の起点となるマルウェアの侵入を防ぐための対策が重要となる。UTM(統合脅威管理)などを導入することで、通信を常時監視してマルウェアを早期に発見できる仕組みも検討する余地があるだろう。
また、インターネットを閲覧している際に意図せずマルウェアをインストールしてしまう、といった事態も想定される。ほかにも、攻撃者は手を替え品を替えマルウェアのインストールを試みる。そうした状況への対策として、ネットワーク内のパソコンをはじめ、モバイル端末へのセキュリティソフト導入も検討するようにしたい。
・内部対策
悪意ある内部犯行を防ぐためには、業務に応じた適切なアクセスコントロールの設定が重要となる。業務上、必要ないファイルやネットワークへのアクセス権限を持たせなければ、情報が流出するリスクを大きく低減できる。また、業務用のセキュリティソフトには端末の操作ログを記録するようなものもある。操作ログを取得・保管しておくこと、そして従業員へその周知を行うことで、犯行の抑止力となり得るだけでなく、仮に犯行が発覚した際の原因特定も進めやすい。
一方で、悪意がない場合であっても情報漏えいに至るケースがある。代表的なのはユーザーによるヒューマンエラー、あるいはうっかりミスだろう。このようなケースを見越して、組織側としても事前に対策を講じておく必要がある。例えば、業務利用のパソコンを紛失した際を想定し、内部ストレージの暗号化、あるいはMDM(モバイルデバイス管理)などのソリューションを導入しておくことだ。加えて、端末ごとに二段階認証など、安全性の高い認証を導入しておくことも求められる。
また、先述の大手携帯キャリア企業のケースをはじめ、委託先、再委託先でのインシデントも少なくない。そのため、委託を実施する際には、適切にセキュリティ対策が実施されているかを確認しておくことが必要だ。自社の情報セキュリティリスクを管理する仕組みが整っているかを認証するISMSを取得しているから問題ないだろう、といったように見通しの甘さがこうした事故を生じさせる大元となる。
・出口対策
組織の内部からインターネットへのアクセスも安全であるとは限らない。悪意のある第三者が組織内のネットワークへ不正に侵入し、外部に情報を流出させようとすることもある。従業員の内部犯行により情報を不正に持ち出すこともあり得るからだ。詐欺メールのURLを誤ってクリックして、不正なサイトにアクセスしてしまうケースもあるだろう。こうした観点から考えても、社内からインターネットへの通信も監視を怠らないようにしなければならない。UTMやファイアウォールを設置して通信を監視するとともに、ログを分析して不正な通信がないかどうかを分析することも重要だ。
・SNS対策
先述のように、SNS上の情報を収集して組み合わせ、個人情報とするためのコスト、手間は年々減少する傾向にある。今後はAIを用いた高度なSNS分析ツールなども登場してくるかもしれない。そのため、SNSの利用に関して、適切な教育研修などを実施することが求められる。
DX時代と言われる現代、情報の価値は総じて高まっている。だからこそ、こうした情報を適切に保護していく必要性がある。その第一歩は組織内の意識改革にあるとも言える。改めて個人情報保護の重要性を認識し、組織的に従業員のセキュリティレベルを向上させる取り組みを進めてほしい。
内部記事リンク:情報漏えい対策を始める際に考えておきたい3つのポイント