2022年10大セキュリティニュース総括
2022年も世間を騒がせた情報セキュリティに関する事件や事故が数多く発生した年でした。テレワークの普及もあり、情報セキュリティに関する興味関心も高まっている昨今、ワンビが2022年に発生した10件のインシデントをピックアップしてみました。
かっぱ寿司元社長ら、はま寿司の営業秘密を不正取得で逮捕
はま寿司の元役員であったかっぱ寿司元社長が、はま寿司の仕入れ情報などの内部情報を不正に取得して、不正競争防止法違反で逮捕されました。
検察側は、かっぱ寿司元社長らは、当時勤務していていた会社の子会社であるはま寿司の商品原価や商品の使用量などの情報を、かっぱ寿司社員にメールで送信したと指摘しています。
大手企業でもこうした情報漏洩事件は発生するため、データの管理体制を改めて考えることが大切です。
トヨタ自動車の仕入れ先の部品メーカーがサイバー攻撃を受けて、トヨタの国内全工場の稼働が停止
ロシアがウクライナに侵攻する直後に発生していたこともあり、まさか日本で…という声も。大手の企業ではITセキュリティの対策が進んではいるものの、下請け企業や取引先となると、まだ追いついてはいないのが現状。モノづくり中心の製造業では、デジタル化に対してリソースも予算も足りていない状況があり、サプライチェーン全体の対策を強化する必要性が露呈したインシデントとなりました。
兵庫県尼崎市からの委託業者、全市民46万人の個人情報が入ったUSBメモリを紛失
尼崎市全市民約46万人分の氏名、住所、生年月日、住民税額、児童手当、生活保護の受給世帯の口座情報などが入ったUSBメモリが一時紛失。紛失から発見までログインされた形跡はなく情報漏洩はなかったと結論づけられました。
ただ、委託先企業が契約に反して再々委託を行い、その社員が飲酒したあとにUSBメモリの入ったかばんを紛失したことが発覚して大きな問題に発展しました。
NTTデータ関西でEmotetマルウエアの感染被害、電子申請利用者のメール情報が流出
自治体向けにサービスを展開している電子申請サービスのヘルプデスク業務に使用しているパソコンで、申請者からの問い合わせを装ったメールを受信した添付ファイルを開いたところ、マルウェアのEmotetに感染。サービス利用者のメールアドレス2,312件が流出しました。感染したパソコンにはウィルス対策ソフトが導入されていましたが、マルウェアは検出されなかったため、Emotetの感染へとつながったようです。
加賀電子社員が飲食店での飲酒後、ノートPCの入ったかばんを紛失
かばんの紛失後に警察に遺失物届を提出しましたが現在も発見されていません。
ノートPCには、同社グループ社員、取引先の個人情報約3,000件が保存されていましたが、同社の監視システム等で調査を行った結果、現時点でも不正利用などは確認できていない状態です。
飲食後の紛失はそれほど珍しいことではないため、企業側での持ち出しパソコンの管理と個人情報の取り扱いに関する社員教育の再度徹底が非常に重要となります。
東京都杉並区職員、住基ネットの個人情報を友人に漏洩
住民基本台帳ネットワークシステム(住基ネット)にログインして得た情報を、自身の友人に漏洩した住民基本台帳法違反容疑で、区役所の職員を逮捕が逮捕されました。
友人から依頼を受けて、その友人に情報提供を行っていたインシデントで、暴力団関係者による人探しに寄与した疑いも持たれています。
こちらも職員への教育や指導の強化が求められます。
外部から不正アクセスにより病院で数万人分の電子カルテ使えず
大阪府藤井寺市の病院が身代金要求型のコンピューターウイルス「ランサムウェア」とみられるサイバー攻撃を受け、数万件の患者の電子カルテが見られない状況になりました。このコンピューターウイルスは、データなどを暗号化したのち、解除することを引き換えに身代金を要求する「ランサムウェア」という不正アクセスです。
病院は、1ヶ月以上にわたって患者の電子カルテが閲覧できない被害を受けました。
ここ数年で、医療機関を標的にしたサイバー攻撃は相次いで発生しています。
北海道ガスが保管していたハードディスク1台が所在不明、個人情報関連データ3万1,463件に流出の可能性が
ハードディスクは以前使用していたもので、誤廃棄による可能性が高いとしています。紛失した時点でデータは削除しているものの、復元可能なデータ消去だったかどうかが確認できず、公表に至りました。発表時点ではデータが悪用されたとする事実や被害は確認できていないとのことでした。
JTBがクラウドサービスの「アクセス権限」の設定間違いで1万人超の個人情報漏洩
JTBは、観光庁の補助事業者として、クラウドサービスを管理・運営していますが、本来、そのサービスでは、申請した事業者の申請書以外はアクセスできない仕様でしたが、運用担当者の設定ミスで、各事業者のデータが相互に閲覧可能な状態になっていました。閲覧可能な情報には、最大1万1,483件の氏名、電話番号、メールアドレスなどの個人情報と申請書が含まれていて、結果18件の申請書のファイルがダウンロードされていたと判明。JTBは、ダウンロードしたすべての事業者に対してデータの削除を依頼して、すべて削除がされたことを確認しました。
JTBでは、再発防止策として、アクセス権限設定のチェック体制ならびに事業管理体制の徹底強化を図るとのことでした。
かすみがうら市婚活サポートセンター職員、メールアドレスを流出、謝罪メールも誤送信
茨城県かすみがうら市の職員が、複数回にわたり個人情報を流出させていたことが判明しました。通常受取人以外のメールアドレスが見られないように「BCC」送信するところを、「CC」にすべてのメールアドレスを入力して送信。その後、謝罪メールを「BCC」送信するところ、1名のメールアドレスを「TO」に、57名のメールアドレスを「BCC」で送信していまい、57名に1名のメールアドレスが閲覧できる状態となってしまいました。
人によるミスは起こる可能性はありますが、それゆえに、個人情報を扱う場合には入念なチェック体制が必要不可欠だと考えさせられるインシデントでした。
まとめ
情報セキュリティのインシデントは、年々増加傾向にあります。情報漏洩の原因も「紛失・誤廃棄」「不正アクセス」「誤表示・誤送信」「盗難」など多岐にわたりますが、「紛失・誤廃棄」と「誤表示・誤送信」だけで60%近くになるというデータもあります※。
他の要因を対策することはもちろんですが、この2つを対策するだけでも多くの情報漏洩を未然に防ぐことが可能です。
テレワークも一般的な働き方として浸透してきたため、2023年はさらなる情報セキュリティの対策を意識することが必要だと思います。
※参照元:JNSAセキュリティ被害調査ワーキンググループ 2018年 情報セキュリティインシデントに関する調査報告書
