デジタル化が進む昨今、どの業界においてもサイバー攻撃や情報漏洩といった情報セキュリティインシデントに見舞われる危険性が高まっています。
万が一、情報セキュリティインシデントが発生すれば、企業の信用問題に関わるほか、取引先や顧客にも大変な損害を与えかねません。対策を練るためには、どのような事態が起こり得るか把握しておくことが大切です。
本記事では、情報セキュリティインシデントの事例と対策を解説します。不測の事態に備えて、ぜひ参考にしてみてください。
目次
情報セキュリティインシデントについて
情報セキュリティインシデントの事例を知る前に、まずは概要と発生する原因を解説します。
情報セキュリティインシデントとは
情報セキュリティインシデントとは、サイバー攻撃や人為的ミス、天災などによって発生する情報セキュリティに関する事故やリスクを意味する言葉です。
例えば、マルウェア感染によりデータが破壊されたり、第三者が不正にアクセスして情報を操作したりといった事例が挙げられます。また、天災によるシステム障害も、情報セキュリティインシデントの一例です。
こうした状況に陥ると、業務停止に追い込まれるだけでなく、顧客や取引先の情報が外部に漏洩しかねません。その結果、企業の信頼性が下がり、賠償責任問題を問われるケースもあります。
デジタル化が進む昨今、情報セキュリティインシデントは他人事ではありません。万が一の事態に備えて、情報セキュリティインシデントの対策を講じることが大切です。
情報セキュリティインシデントの原因
情報セキュリティインシデントの原因は、内的要因・外的要因・外部環境要因の3つに分けられます。ここでは、それぞれの原因を詳しく解説します。
内的要因
内的要因とは、悪意の有無を問わず自社の従業員の行動によって引き起こされる情報セキュリティインシデントです。
IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」によると、組織における脅威の第3位は「内部不正による情報漏えい等の被害」でした。第6位には「不注意による情報漏えい等の被害」が入っており、情報セキュリティインシデントの原因として内部要因が多くを占めることがわかります。
内部要因による情報セキュリティインシデントの具体例は以下のとおりです。
- メールの誤送信や添付ミスによる情報漏洩
- パスワードの使い回しや推測されやすい文字列使用による不正アクセス
- 機密情報を記録した媒体の紛失・盗難による情報漏洩
- 従業員が許可なく使用した端末からの情報漏洩やマルウェア感染
- 不適切なアクセス権限付与によるデータの改ざん
参照:IPA(独立行政法人情報処理推進機構)「情報セキュリティ10大脅威2024」
外的要因
外的要因とは、悪意ある社外の第三者からの攻撃による情報セキュリティインシデントです。前章でも触れた「情報セキュリティ10大脅威2024」の第1位は「ランサムウェアによる被害」であり、9年連続で同じ結果でした。
外的要因による情報セキュリティインシデントの具体例は以下のとおりです。
- ランサムウェア感染による金銭支払いの要求
- マルウェア感染による機密情報の流出
- 不正アクセスによるデータ改ざん
- DDoS攻撃によるサービス停止
外部環境要因
外部環境要因は、停電や火災、地震、天災などによる情報セキュリティインシデントです。特に、システム障害が発生しやすく、復旧までに時間を要するケースも少なくありません
外部環境要因による情報セキュリティインシデントの具体例は以下のとおりです。
- 停電によるシステム・サービスの停止
- 地震や暴風雨に伴う、サーバーの損壊やセキュリティ設備のトラブル
- 契約中の外部サーバーの障害・停止、及びそれを要因とするデータ消失
- 火災による設備崩壊
情報セキュリティインシデントの事例
デジタル化が広く浸透するなかで、情報セキュリティインシデントはさまざまな現場で発生しています。ここでは、実際に起きた事例を7つ解説します。
事例①地方自治体でUSBメモリーを紛失
2022年6月21日、尼崎市役所において、尼崎市民の個人情報が記録されえたUSBメモリが一時的に紛失するという情報セキュリティインシデントが発生しました。紛失したのは、尼崎市の業務を再々委託された企業の従業員でした。
これにより、機密情報を持ち出す際のルールの確認不足や管理不足が浮き彫りになりました。また、多重下請けをしたことによるガバナンスの欠如も問題となっています。
さらに、この問題が社会的に注目された理由の一つが、その後の記者会見における市職員の発言です。紛失したUSBはパスワードを設定するタイプであり、記者会見でパスワードのヒントにつながる発言がありました。その後、瞬く間に発言内容が拡散されてしまったため、ブルートフォースアタック(総当たり攻撃)の要因ともなりかねない事態になっています。
このように問題が大きくなった背景には、情報セキュリティリテラシーの欠如が挙げられます。
事例②企業の会員サイトへ不正アクセス
ロート製薬株式会社は、2017年9月7日に会員サイトへのリスト型攻撃による不正アクセスの被害に遭いました。以降、同年9月14日までの間に、なりすましによる不正ログインが断続的に発生しています。
リスト型攻撃とは、実在のサービスを装った偽サイトを使ったフィッシング詐欺や非合法の情報が集まるダークウェブなどから、IDやパスワードを入手して不正ログインする手法です。
同事例では、ログインIDの改ざんや不正な会員ポイント使用などの被害が報告されています。同社では、発覚後すぐに不正ログインの有無を問わず、全会員のパスワードを初期化しました。
事例③派遣社員による不正持ち出し
2023年3月31日、株式会社NTTドコモが業務委託している企業で、業務に使っている端末から顧客情報が流出しました。原因は、契約社員による個人情報の不正持ち出しでした。情報のなかには、顧客の氏名や電話番号、住所などが記録されており、個人情報保護委員会から行政指導を受ける事態となりました。
不正持ち出しされた情報の不正利用は確認されていないものの、情報流出や悪用につながりかねない事例です。
こうした業務委託先が関連する不正持ち出しや情報漏洩被害は、近年増加傾向にあります。情報セキュリティインシデントを避けるためにも、企業では事前に防止策を講じることが大切です。
事例④病院へのサイバー攻撃
2021年10月31日、徳島県つるぎ町立半田病院がサイバー攻撃に見舞われました。これにより院内システムが打撃を受け、カルテの閲覧が不可能となっています。感染したコンピュータウイルスは、身代金要求型のランサムウェアです。
同院がサイバー攻撃を受けた原因は特定していませんが、脆弱化したVPNから侵入された可能性が高いとされています。
VPNとは「仮想専用線」を意味し、物理的な専用回線ではなく、他者と共有するインターネット回線内に設けた仮想の専用回線を使って接続するサービスです。VPN機器のバージョンが古かったり、設定ミスがあったりすると、セキュリティが甘くなるため、サイバー攻撃の対象となるリスクが高くなります。
事例⑤飲食店で不正アクセス
株式会社サイゼリヤでは、2024年10月5日以降システム障害が続き、同年12月13日にその原因が不正アクセスだったことを発表しました。この情報セキュリティインシデントにより、同社が保有する取引先他企業関係者の個人情報2,234件、従業員とその家族の情報5万8,853件が漏洩しています。
不正アクセスが起きた根本原因は、同社のサーバーがマルウェアに感染したことでした。これにより、第三者からのランサムウェア攻撃が発生し、約6万件もの情報流出に至っています。
情報セキュリティインシデントは、顧客や取引先に損害を与えるリスクがあるほか、自社の信用を下げる事態にもなりかねません。実際、同社の株価は、不正アクセス後に反落しています。
事例⑥自治体でメールの誤送信
島根県では、2023年11月8日以降5日の間にメールの誤送信が3件発生しています。県統計調査課の職員が非公開情報を関係のない宛先に送ったもので、ルールが徹底されていないことが原因でした。
さらに、2024年9月26日にも、同じく島根県で237社分の企業情報を添付したメールの誤送信が発生しています。
こうした人為的ミスは、悪意がなかったとしても大きなトラブルを招きかねません。特に、個人情報や機密情報の漏洩につながりやすく、万が一発生した場合は速やかな対処と対策が求められます。
事例⑦旅行会社にて情報漏洩
2022年10月25日、株式会社JTBが観光庁の補助事業で行なっていた地域振興事業において、補助金の交付申請をした事業者の個人情報が漏洩しました。原因は、クラウドサービスのアクセス権限の誤設定でした。
当初、同クラウドサービスは、申請者が自社の申請書のみにアクセスできる仕様でしたが、アクセス権限の誤設定により、ログイン権限を持つ事業者であれば誰でも閲覧できる状態になった事例です。
アクセス権限管理は、個人情報や企業の機密情報を守るうえで欠かせない作業であり、業務に関係ない人が権限を持つと、情報漏洩や不正操作などのリスクが高まります。
情報セキュリティインシデントの対策
情報セキュリティインシデントを未然に防ぐには、適切な対策を講じることが大切です。ここでは、3つの対策を詳しく解説します。
従業員へのセキュリティ教育
情報セキュリティインシデントの多くは、従業員による人為的ミスで発生します。つまり、どれだけ効果的なセキュリティシステムを活用しても、従業員が使い方や重要性を理解していなければ、その効果を発揮できません。
企業が保有する大切な情報を守るためには、従業員向けに徹底したセキュリティ教育を行うことが肝要です。例えば、パスワードの管理方法やメール送信時のポイント、端末を持ち出す際のルールといった細かい指導だけでなく、万が一、情報セキュリティインシデントが発生した場合のリスクを伝える必要があります。
こうしたセキュリティ教育は、四半期に一度、年に一度などスパンを決めて定期的に行いましょう。また、新入社員が入社する時期や異動が多い時期などもセキュリティ教育を実施するのに適しています。
セキュリティポリシーの策定
情報セキュリティポリシーの策定も、インシデントを防ぐうえで重要なポイントです。情報セキュリティポリシーとは、情報セキュリティに関連するルールや行動方針をまとめたもので、企業の資産を守るためのガイドラインとなります。
策定する際は、責任者を明らかにして、適切な人材を確保することが大切です。また、より効果的な方針をまとめるには、外部から情報セキュリティに長けた専門家に相談する方法もよいでしょう。
策定した情報セキュリティポリシーは、全従業員に周知して重要性を理解してもらうことが大切です。併せて、定期的に社内研修会を開き、情報セキュリティポリシーの内容を共有すると、企業全体で意識を高めやすくなります。
セキュリティシステムの導入
近年、テクノロジーの進化に伴い、サイバー攻撃の手口は巧妙化・高度化の一途を辿っています。これにより、従来のセキュリティ対策では対応しきれない事例も少なくありません。この先、更なる巧妙化が予想されるサイバー攻撃に対して役立つ手段が、セキュリティシステムの導入です。
セキュリティシステムには、IDパスワードの管理やアクセス制限、ソフトウェアアップデートなど、情報セキュリティインシデント対策に効果的な機能が多数あります。これらの機能は、外部からの攻撃だけでなく、社内で発生しがちな人為的ミスの予防にも効果的です。
例えば、アクセス権限を管理できる機能を活用すると、部署や役職に応じて閲覧・編集権限を与えられるため、情報漏洩のリスクを抑えられます。
また、システム上でセキュリティ管理ができるため、セキュリティ担当者の負担軽減につながり、属人化も避けられる点もセキュリティシステムを導入するメリットの一つです。
セキュリティ機能が充実しているibisStorageがおすすめ
本記事では、情報セキュリティインシデントの事例を解説しました。情報セキュリティに関するトラブルは、サイバー攻撃やウイルス感染といった外的要因だけでなく、メールの誤送信やアクセス権限の設定ミスなど、内的要因で発生するケースも少なくありません。
あらゆる可能性に対処するためには、セキュリティ機能が充実しているシステムを導入することが大切です。ibisStorage(アイビスストレージ)は、安心安全に使えるクラウドストレージで、さまざまなセキュリティ機能が備わっています。
例えば、未承認のパソコンからのアクセスをブロックする「端末承認機能」やフォルダへの権限管理ができる「アクセス権限管理機能」のほか、データにログインした時刻や権限変更した記録が残る「監査ログ機能」といった機能は、サイバー攻撃や不正アクセス防止に効果的です。
情報セキュリティインシデント対策に悩んでいる方は、ぜひibisStorageを活用してみてはいかがでしょうか。
