COLUMN COLUMN
2022.9.2 /
情報セキュリティ白書2022に見る情報漏洩の現状
セキュリティインシデントによる被害の中でも「情報漏洩」はよくニュースなどでも目にする機会があります。2021年に東京商工リサーチが公開した上場企業の個人情報の漏洩や紛失の事故調査結果では2021年で事故を公表した上場企業は前年の88社から120社、事故件数は前年の103件から137件と増えています。
また、漏洩した個人情報も約575万件に及んでいます。漏洩した個人情報の数自体は突出して多かった前年の約2,500万件に比べると減少していますが、公表した会社数・事故件数は調査を開始した2012年以降で最も多くなっています。
情報漏洩には様々な原因がありますが、IPA 独立行政法人 情報処理推進機構が先日発表した「情報セキュリティ白書2022」の内容をもとに被害事例とともに見てみましょう。
1.2021 年の情報漏洩の概況
2021年の情報漏洩・紛失事故137件のうち、原因として最も多かったのは「ウイルス感染・不正アクセス」の68件、次いで「誤表示・誤送信」が43件となっており、2つ合わせて全体の80%を占めています。
主な理由について順番に説明します。
2.不正アクセスによる情報漏洩
不正アクセスの手口は、アプリケーションやセキュリティの脆弱性を利用したものや、対策が不十分な委託先など年々複雑化・巧妙化しており、様々な原因から不正アクセスが発生しています。
SQLインジェクション攻撃による情報漏洩
「SQLインジェクション」とは、アプリケーションのセキュリティ上の脆弱性によって本来意図していないSQL文が不正に作成され、アプリケーションに注入(インジェクション)されることで、データベース内のデータを盗まれたり、消去されたりする攻撃のことで、すでに10 年以上にわたって問題であり続けています。
アプリケーションのSQLインジェクション対策を十分にしておくことが必要です。
事例
株式会社メタップスペイメント
決済情報などを格納したデータベースに不正アクセスされ、最大46万件にのぼるクレジットカード情報が流出した可能性がある。
調査によりSQLインジェクションによる攻撃とバックドアになる不正なアプリケーションファイルの設置が確認されている。
ランサムウェア攻撃による情報漏洩
「ランサムウェア」とは、暗号化などによってファイルを利用できない状態にした上で、そのファイルを元通りにすることと引き換えに身代金(Ransom)を要求するマルウェアです。
最近はファイルを元通りにするための身代金を支払わければ、盗んだ機密情報を公表するとしてさらに金銭を要求する、二重脅迫型ランサムウェアも出回っています。
既存の定義ファイルによるウイルス対策だけでなく、EDRなどのエンドポイント内の怪しい動きに対応できるセキュリティソフトの導入が必要です。
事例
日本サブウェイ合同会社
ランサムウェア攻撃により、約30万件のサブクラブカード会員番号、約8万人分の顧客情報、約1万人分の個人情報、64名の顧客情報に不正アクセスされた恐れがあると公表している。
委託先のシステムへの不正アクセスによる情報漏洩
自社でのセキュリティ対策は十分おこなっていても、委託先のセキュリティ対策が不十分な場合、その委託先が狙われることで連鎖的に情報漏洩が発生します。委託先にも自社が要求するセキュリティ対策がなされているか、そのセキュリティレベルが維持されているかを定期的に確認することが必要です。
事例
富士通株式会社
プロジェクト情報共有ツール「ProjectWEB」に不正アクセスがあり、保存していた情報の一部が不正に閲覧またはダウンロードされたと公表した。
プロジェクト運営の際に、委託元を含む関係者との情報共有用としてそのツールを利用していた。被害のあった可能性のある顧客はNISC、外務省、国土交通省、総務省などの行政機関や成田国際空港株式会社などの重要インフラ企業など142組織に及んだ。
3.過失による情報漏洩
2021年10月、一般財団法人日本情報経済社会推進協会(JIPDEC)は「個人情報の取扱いにおける事故報告集計結果」を公表しました。その中で、2020年度の事故報告2,644件のうち、発生原因として最も多いのが「誤送付」で62.3%、「紛失」が14.9%となっており、特に「誤送付」のうち「メール誤送信」は過去5年間で最も多くなるなど、人が情報を操作したりデータを扱う場面がある以上、うっかり間違えることによる情報漏洩は完全になくすことが不可能といえますが、そうした操作を極力減らしたり、二重チェックなどのアナログ的な対応も時には必要です。
事例
日本年金機構
年金振込通知書の印刷ミスにより、本人とは別の受給者の情報が記載されたはがきを送付。
印刷業務の委託先であるサンメッセ株式会社での工程上の作業ミスが原因だった。
またその後の調査で、仕様書どおりの環境で作業せずに虚偽報告をした上、
出力に誤りがないことを確認する仕組みがない、宛名と記載情報のチェック作業をしていないなど、複数の作業ミス防止策が取られていなかったことが分かった。
4.内部不正による情報漏洩
IPAによる「企業における営業秘密管理に関する実態調査2020」で営業秘密の漏洩の原因で最も多いのは「中途退職者」で、2016年の調査から7.7ポイント上昇し36.3%を締めています。また、確信犯的な内部不正は増加しており、内部スタッフの操作状況などを監視して、不正な操作にはアラートを鳴らすような仕組みも必要となっています。
事例
株式会社村田製作所
委託先の日本アイ・ビー・エム株式会社の再委託先にあたる中国法人の社員が、同社の取引先情報や従業員関連情報を含むプロジェクト管理データを許可なくパソコンへダウンロードした上、これらのデータを中国国内のクラウドストレージサービスの個人アカウントへアップロードしていた。
5.不適切な情報の取り扱いによる情報漏洩
紙媒体を含めた情報の不適切な管理による漏洩も継続しています。取り扱いに十分気をつけるべき情報を紛失したり、間違った運用をしたりするケースです。設定した運用ルールの徹底や、社内スタッフに対するセキュリティ意識の定期的な教育も必要です。
事例
金沢信用金庫
為替関係帳票や住宅ローン稟議書、ATMジャーナルなどの書類を保管していた文書箱合計11箱、約55万件の顧客情報の所在が分からなくなったことを公表。
保存期限を経過した書類の廃棄の際、誤って一緒に廃棄した可能性が高いとしている。
トヨタ自動車株式会社
自社が提供する顧客向け Web サイト認証サービス「TOYOTA/LEXUSの共通ID」のID発行のため、本人の同意を得ないまま勝手に顧客情報を登録していた。
また、同社の販売店で同様の事例がないか調査した結果、27社、5,797人分の個人情報が本人の同意を得ずに登録されていたことがわかった。
最後に
情報漏洩の多くは、ちょっとした油断やミス、セキュリティ意識の欠如などが原因です。システム的にミスを防ぎ、操作を監視してアラートを鳴らすような仕組みも重要ですが、スタッフ全員が常にセキュリティに対して高い意識を持ち続けるような環境を作ることが最も重要ではないでしょうか。情報漏洩は企業や組織が直接的に被害に遭うだけでなく、社会的信用を失墜させ事業継続をも危うくさせうる大きなリスクであることを忘れないことが重要です。