この度、10月1日〜3日に開催される「DX総合EXPO」に出展することが決まりました!前回6月にも出展したDX総合EXPO、会場は東京...
【最新】情報漏洩事例総まとめ|原因と被害規模
年々情報資産の重要性が高まる中、それを狙ったサイバー攻撃も増加し続けています。
このサイバー攻撃においては、新たな手口が次々と現れるため、ユーザー側も知識と対策の更新が必須です。
本記事では、最新の情報漏洩事例を原因別に紹介します。情報セキュリティ対策にぜひご活用ください。
目次
情報漏洩の原因
情報漏洩には、内部からの情報漏洩と外部攻撃による情報漏洩が存在します。対策にあたっては、いずれの経路での漏洩への対策かを意識しておきましょう。
内部からの情報漏洩
企業や組織の内部に原因がある情報漏洩です。誤操作、設定の誤り、管理ミス、内部不正などが主要な原因となります。本記事内では、「内部不正」「ヒューマンエラー」に関する事例を紹介しています。
外部攻撃による情報漏洩
組織の外部からアクセス、攻撃が行われて情報が漏洩するケースです。マルウェアへの感染や外部からの不正アクセスによる侵入などが主な原因となります。本記事内では、「SQLインジェクション」「フィッシング」「不正アクセス」「サプライチェーン攻撃」「マルウェア」に関する事例を紹介しています。
SQLインジェクションに関する事例
SQLインジェクションというサイバー攻撃によって情報漏洩が発生した事例を紹介します。
SQLインジェクションとは
SQLインジェクションとは、主にWebアプリケーションに対して想定外の入力を行うことにより、不正にデータベース操作を行い情報の不正入手、改ざんなどを行うサイバー攻撃です。Webアプリケーション上にSQLインジェクションに対する脆弱性が存在する場合に発生しえます。
事例一覧
漏洩情報 | 規模 | 手口 | 被害状況 |
---|---|---|---|
統計数理研究所の研究参加者のメールアドレス | 5,527件 | SQLインジェクション | -(迷惑メール受信の可能性) |
株式会社リコーのクラウドストレージサービス「RICOH Drive」のお客様のログインID | 3,798ID うち、メールアドレス606件 |
XXE(XML External Entity)脆弱性を利用した情報取得 ※SQLインジェクションに類似 |
-(スパムメール等のメール受信、なりすましによる不正ログインの可能性) |
フィッシングに関する事例
個人でも接する機会の多いサイバー攻撃であるフィッシングは、2023年も多数確認されています。
フィッシングとは
フィッシングとは、実在の組織などを騙り、個人情報や組織の機密情報を略取するサイバー攻撃です。メールでフィッシング用のWebサイトに誘導する手口などが代表的で、取得された情報は更なるサイバー攻撃に利用されることもあります。
事例一覧
フィッシング対策協議会に掲載された事例の一部です。
騙られた事業者、組織名等 | 報告日時 |
---|---|
Amazon | 2023/01/05 |
ヤマト運輸 | 2023/02/03 |
厚生労働省 | 2023/03/30 |
ETC 利用照会サービス | 2023/09/04 |
マイナポータル | 2023/12/06 |
不正アクセスに関する事例
年々被害が増加している不正アクセスもサイバー攻撃の一種です。
不正ログインとは
不正アクセスとは、本来アクセス権限を持たない者がシステムに侵入することです。個人情報を搾取する、システムの改ざん、サービスの停止などの被害が発生する可能性があります。
不正アクセスの手口には、ログイン情報を不正取得する不正ログイン、システムやネットワークの脆弱性を狙った攻撃、ソーシャルエンジニアリングがあります。
事例一覧
漏洩情報 | 規模 | 手口 | 被害状況 |
---|---|---|---|
NEW 北海道大学の学生・教職員の個人情報 | 約2万2000人 過去に工学部に在籍した学生や教職員の個人情報(氏名、メールアドレスなど) |
不正アクセス | 流出の可能性のある情報が実際に悪用された事実は認められていない |
株式会社ジチタイワークスのデジチタイワークス会員登録およびジチタイワークスHA×SHを通じて取得した個人情報 | 最大20,912件 個人情報(所属団体、部署、役職、氏名、電話番号、メールアドレスなど) |
不正アクセス | データの滅失、ウェブサイトの障害(3サービスの一時的利用停止) -(不審なメールやハガキの受信の可能性) |
株式会社ビッグモーターのお問い合わせフォームをご利用した方の個人情報 | 件数は非公表 個人情報( 氏名、住所、電話番号、メールアドレス等) |
不正アクセス | -(不審なメールや通知の受信の可能性) |
東京大学の教職員、学生、卒業生、学会参加者、過去の学生成績などの情報 | 2,409件ほか 本学教職員、学生、卒業生等の情報 (氏名、所属情報、教職員番号、学生証番号、生年月日、住所など) |
マルウェア感染などの不正アクセスによる情報外部送信 | 二次的被害等の情報は確認されていない |
アルプスアルパイン株式会社の北米現地法人における社員の個人情報および業務ファイル | -(非公表) | ランサムウェア感染による不正アクセス | 国内ほぼすべての拠点、海外の一部拠点で3日間の生産、出荷に影響 |
ETC利用照会サービスの利用者のメールアドレス、登録ID、秘密の質問・答え及び利用履歴 | -(非公表) | 海外のIPアドレスからの不正アクセスによるログイン | -(不審なメールの受信の可能性) |
サプライチェーン攻撃に関する事例
サイバー攻撃の多様化の中でも、サプライチェーン攻撃は防ぐことが難しく、大きな企業でも課題となる攻撃です。
サプライチェーン攻撃とは
モノの製造、供給においては、エンドユーザーの手元に渡るまでが複数の企業が連携して構成されており、その供給の輪はサプライチェーンと呼ばれます。サプライチェーン攻撃は、このサプライチェーンの一部を突いてサイバー攻撃を行うことです。転じて、製造以外でも複数の企業などが連携して構成する組織を狙った攻撃もサプライチェーン攻撃と呼ばれます。
攻撃されるのは一部でも、サプライチェーン全体を停止させる影響が出たり、連携先にもサイバー攻撃が広がるなど影響が大きい点も特徴です。
事例一覧
内容 | 規模 | 手口 | 被害状況 |
---|---|---|---|
大阪急性期・総合医療センターが取引のある給食事業者経由で攻撃を受けた | 個人情報漏洩の可能性は極めて低い -(個人情報漏洩調査を実施中) |
取引のある給食事業者経由でのサプライチェーン攻撃 (不正アクセスを発端とし、ランサムウェアも使用された) |
電子カルテを含む総合情報システム停止43日、全体システム73日停止 大幅な診療制限 調査復旧に数億円、逸失利益は十数億円 |
ヤマハの海外子会社(アメリカ、フィリピン)が攻撃を受けた | -(現地システムの情報漏洩可能性あり) | ランサムウェア | 国内サプライチェーンには影響ないことを確認 |
マルウェアに関する事例
マルウェアの中でも、企業にとって業務の停止を盾に直接的な被害が大きく、知名度が高まっているのがランサムウェアでしょう。2023年も猛威を振るっています。
ランサムウェアとは
ランサムウェアはマルウェアの一種で、感染したコンピュータのデータを暗号化します。暗号化することでコンピュータが利用できなくなり、このデータを盾にとって身代金を要求するサイバー攻撃です。また、データを外部送信し、データを公開すると脅す場合もあります。
事例一覧
内容 | 規模 | 手口 | 被害状況 |
---|---|---|---|
NEW 富士通株式会社の業務パソコンがマルウェアに感染 | -(調査中) 個人情報や顧客情報を含むファイルを持ち出すことができる状態になっていた |
マルウェア | -(調査中) |
名古屋港コンテナターミナルのシステムがランサムウェアに感染 | 外部への情報漏洩については確認されていない | ランサムウェア | システムを利用する港湾業務の停止2日間以上 |
エーザイ株式会社の関連会社複数サーバーがランサムウェアに感染 | -(調査中) | ランサムウェア | -(調査中) |
社労士向けシステム「社労夢Cpmpany Edition」を提供するエムケイシステムのサーバーがランサムウェアによる不正アクセスを受けた | 流出は確認されていない | ランサムウェア | サービスを利用する社労士の業務停止(3400ユーザー、25日間) フォレンジック調査の実施 システム再構築 |
内部不正に関する事例
大手通信関連企業に委託したデータが委託先の派遣社員により持ち出されたニュースは、大々的に報道されたためご存知の方も多いでしょう。内部不正による情報漏洩は重要なデータを精度高く狙っているため、被害は大きい傾向にあります。
内部不正とは
本項で扱う内部不正は、企業や組織の内部に属する人物が情報を持ち出す、外部に送信するなどの行為を行い情報が漏洩するケースを指しています。組織内の人物による犯行のため、パスワードなどの入手がしやすく、外部のように監視していないため発覚が遅れる、発覚しづらい点も難しいところです。
事例一覧
漏洩情報 | 規模 | 手口 | 被害状況 |
---|---|---|---|
NEW ダイキン工業の仕入先情報 | 約2.2万件 仕入先情報(仕入先担当者名、住所、電話番号、振込先情報) |
再々委託先の作業者が仕入先情報を私用目的でダウンロードした | 第三者への漏洩の痕跡がないことを確認 |
株式会社山田養蜂場の顧客情報 | 400万件 顧客情報(氏名 、住所、電話番号、生年月日、性別) |
コールセンター業務委託先であるNTT マーケティングアクト ProCXの再委託先NTT ビジネスソリューションズの派遣社員がデータを持ち出し | -(調査中) |
森永乳業株式会社の顧客情報 | 34万件 顧客情報(氏名、電話番号、郵便番号、住所等) |
コールセンター業務委託先であるNTT マーケティングアクト ProCXの再委託先NTT ビジネスソリューションズの派遣社員がデータを持ち出し | 第三者に流出した事実は確認されていない |
NTTドコモの提供するサービスのユーザー情報 | ・165万件 個人向けインターネット接続サービス「ぷらら」のお客さま情報 ・431万件 「ひかりTV」のお客さま情報 (氏名/住所/電話番号など) |
業務委託先のNTTネクシアの派遣社員が業務に使用しているパソコンから個人として契約する外部ストレージへアクセスして業務情報を不正持ち出し | 第三者による不正利用などは確認されていない |
ヒューマンエラーに関する事例
情報漏洩の原因の中でも、実は多くを占めているのがヒューマンエラーです。
ヒューマンエラーとは
情報漏洩につながるヒューマンエラーとしては、誤操作、設定の誤り、知識不足による管理ミスなどがあります。ITを利用する側にとっても、リテラシーが問われることを指しています。
事例一覧
漏洩情報 | 規模 | 原因 | 被害状況 |
---|---|---|---|
公立甲賀病院の腹腔鏡手術患者の情報 | 5名 患者の腹腔鏡手術録画映像(氏名、生年月日入り) |
外科医師が個人情報を格納したUSBメモリを紛失 | 外部への漏洩は確認されていない |
野村乳業株式会社の会員のメールアドレス | 72名 | メールのBCCに設定すべき宛先をCCに設定して送信 | -(非公表) |
島根県立大学の学生の個人情報・レポート | 92名 学生の個人情報 42名 学生のレポート |
教員が個人情報入りのPCを盗難される | 外部への漏洩は確認されていない |
株式会社マイナビの運営するWebサイト「TECH+(テックプラス)」が実施した過去のセミナー参加者の情報 | 1,210名 個人情報(名前、メールアドレス、職業、勤務先情報など) |
設定の誤り | -(非公表) |
原子力規制委員会(行政機関)の核物質防護に関する業務を担当する原子力事業者の関係者のメールアドレス | 105名 | メールのBCCに設定すべき宛先をCCに設定して送信 | 悪用などの被害は確認されていない |
ダークウェブアイによる情報漏洩の検知
本記事で紹介しただけでも、情報漏洩は身近に存在しており、その被害の深刻なことは容易に想像できます。また、流出した情報がダークウェブに拡散された場合には、より被害は広がるでしょう。
情報漏洩はもちろん起こらないことが最も重要です。しかし、漏洩への経路は増加しており、全てを防ぐのが難しくなっています。
もし、情報漏洩が発生した場合には、迅速に対処することで情報の拡散を防ぎ、被害を最小限で抑えることが必要です。
そのためには、情報が漏洩していることを即時に検知しなければなりません。
情報漏洩を検知する方法として、SMSデータテックの提供する情報漏洩監視ツール「ダークウェブアイ」の活用がおすすめです。
ダークウェブアイはダークウェブにある企業情報の漏洩状況を一元管理することができます。
自社に関連する情報がダークウェブ内に漏洩し始めたら、即時に検知して通知します。情報漏洩を完全に防ぐことはできない分、漏洩した際にどれだけ素早く対応するかが重要になります。即時アラートにより、情報が漏洩しても被害が起きる前に対処することが可能になります。
メリットや特徴
ダークウェブアイには、次の3つのメリットや特徴があります。
- 安全にダークウェブからの情報探索ができる
- 会社メールやID・PWなどの漏洩を即時アラートできる
- 漏洩後のセキュリティ対策状況を管理することができる
安全にダークウェブからの情報探索ができる
ダークウェブアイを活用すると、安全に漏洩に関する情報収集ができます。十分なセキュリティ対策が施されていない状態で情報収集を実施するのは却って危険であり、ウイルスに感染したり、詐欺被害にあったりするリスクもあります。
そのため、ダークウェブの情報探索は専門家に任せることをおすすめします。
会社メールやID・PWなどの漏洩を即時アラートできる
ダークウェブアイでは、自社に関する情報がダークウェブに流出した際に、即時に知らせてくれる機能がついています。流出してから即時に知らせてくれれば、迅速に対応可能で、被害を小さくできるでしょう。
特に他社のサービスから漏洩した場合は、自社で把握することが困難なので、すぐに通知する機能は被害拡大のリスク回避につながります。
対策状況を管理することができる
ダークウェブアイでは、対策状況を管理する機能が搭載されています。これにより、情報漏洩が発生した場合でも、該当社員とセキュリティ担当者で対応の進捗状況の確認ができます。情報漏洩が発生した場合の対応状況について管理しやすく、セキュリティ担当者が少ない場合でも対応することが可能です。ダークウェブアイを活用することで、セキュリティ担当者の負担が少なく、情報漏洩の対応ができる点が特徴といえるでしょう。
また、導入から活用までのサポートも充実しているため安心して導入ができます。
まとめ
サイバー攻撃の多様化はとどまることを知らず、サイバー犯罪者はあらゆる手口で企業や組織の持つ情報を狙っています。情報漏洩・流出が発生した場合には、企業は大きな被害を被り、事業の継続にさえも影響を受けることが考えられます。
もし、情報漏洩が発生した場合にも被害を最小限に抑えるために、情報漏洩監視ツール「ダークウェブアイ」を活用することがおすすめです。情報漏洩の監視を行い、検出次第すぐに通知してくれるため、即時に対応することができます。
下記のボタンよりお気軽にご相談ください。
おすすめイベント・セミナー 一覧へ
9月25日(水)に「【生成AI vs 生成AI】脅威にも対策にもなるって本当?」のセミナーを開催いたします。 生成AI あなたはこの言...
2024年9月10日(火)に、簡単にパワポを作成できる「パワポ生成AI」についてのセミナーを開催いたします。 8月9日に開催した同様の...