2023年はどんなセキュリティ事故が起きた?被害事例をご紹介
はじめに
2023年は、国の基幹インフラともいえる海港を狙った攻撃や大手インターネット企業を狙った情報漏えいなど、さまざまな企業・組織でセキュリティ事故が発生しました。この記事では、今対策しておくべき脅威とサイバー攻撃の手口、2023年のセキュリティ事故事例をご紹介します。今後のセキュリティ対策の参考にしてください。
※2022年度版はこちらです
※2022年度版はこちらです
 | 参考コラム:2022年はどんなセキュリティ事故が起きた?被害事例をご紹介 |
2023年~2024年サイバー攻撃の傾向
まずは注意すべきサイバー攻撃から見ていきましょう。独立行政法人 情報処理推進機構(IPA)では例年1月に「情報セキュリティ10大脅威」を発表しています。これは前年に発生した情報セキュリティにおける事案から、IPAが脅威候補を選定、専門家による審議を経て決定するものです。「情報セキュリティ10大脅威 2024」は「個人」部門と「組織」部門の2つがあり、組織における脅威のランキングは下記の通りとなっています。
1位. ランサムウェアによる被害
2位. サプライチェーンの弱点を悪用した攻撃
3位. 内部不正による情報漏えい等の被害
4位. 標的型攻撃による機密情報の窃取
5位. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位. 不注意による情報漏えい等の被害
7位. 脆弱性対策情報の公開に伴う悪用増加
8位. ビジネスメール詐欺による金銭被害
9位. テレワーク等のニューノーマルな働き方を狙った攻撃
10位. 犯罪のビジネス化(アンダーグラウンドサービス)
参考:情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
挙げられた10つの攻撃手法は、2023年に公表された「情報セキュリティ10大脅威 2023」と同じとなっています。1位「ランサムウェアによる被害」と2位「サプライチェーンの弱点を悪用した攻撃」は昨年と順位が変わらず、3位「内部不正による情報漏えい等の被害」が昨年よりも順位を上げてきています。
実際にどのようなセキュリティ事故が起きたのでしょうか。トップ3となった脅威に関連し、2023年に起きた事例をご紹介します。
1位. ランサムウェアによる被害
2位. サプライチェーンの弱点を悪用した攻撃
3位. 内部不正による情報漏えい等の被害
4位. 標的型攻撃による機密情報の窃取
5位. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位. 不注意による情報漏えい等の被害
7位. 脆弱性対策情報の公開に伴う悪用増加
8位. ビジネスメール詐欺による金銭被害
9位. テレワーク等のニューノーマルな働き方を狙った攻撃
10位. 犯罪のビジネス化(アンダーグラウンドサービス)
参考:情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
挙げられた10つの攻撃手法は、2023年に公表された「情報セキュリティ10大脅威 2023」と同じとなっています。1位「ランサムウェアによる被害」と2位「サプライチェーンの弱点を悪用した攻撃」は昨年と順位が変わらず、3位「内部不正による情報漏えい等の被害」が昨年よりも順位を上げてきています。
実際にどのようなセキュリティ事故が起きたのでしょうか。トップ3となった脅威に関連し、2023年に起きた事例をご紹介します。
2023年に起きたランサムウェア攻撃の事例
ランサムウェアは、PCやサーバ上のデータを暗号化して利用不可にし、データの復号化と引き換えに身代金を要求するものです。近年では「LockBit」というランサムウェアの活動が目立ちます。
名古屋港コンテナターミナルのシステム障害
2023年7月、ある海港のコンテナターミナルでシステム障害が起き、2日あまりに渡って全ターミナルの作業が停止となりました。リモート接続機器に脆弱性があり、この脆弱性からランサムウェアが侵入したものと見られています。この影響で民間企業でも一部の工場が稼働停止となりました。ランサムウェアはLockBitが使用されたと推測されています。
その後政府は、サイバー攻撃への対策強化を図るため、経済安全保障推進法の対象となる国の基幹インフラ指定に「港湾運送」を追加する方針を示しました。この法では重要な物資の安定的な供給を目的としており、「港湾運送」は今後国の重要な基幹インフラと見なされ、重要な設備を導入する際に国の事前審査を受けることとなります。
ステーショナリーメーカーへのランサムウェア攻撃
2023年6月、文房具やオフィス家具、事務機器を製造・販売するメーカー企業において、グループの一部情報システムに対する外部攻撃や人事システムへのランサムウェア攻撃がありました。このメーカーは広く販路があり認知度が高かったため、セキュリティ事故発生時は一時、約186万件の情報漏えいの恐れがあるという報道もありました。しかしその後の調査で外部転送関連のデータ通信量がわずかであったことがわかり、情報漏えいの可能性は低いと判断されています。
2023年に起きたサプライチェーン攻撃の事例
次にサプライチェーン攻撃の事例です。サプライチェーンとは、製品の原材料や部品の調達~製造、在庫管理から消費に至るまでのフローのことを指します。このサプライチェーンには製造業や流通業など、さまざまな企業が関わります。サプライチェーン攻撃は、このサプライチェーンの脆弱性を突いた攻撃であり、情報セキュリティ対策が甘い企業に対して不正アクセスなどを行うものです。
2023年に起きたサプライチェーン攻撃の事例をご紹介します。
2023年11月、大手インターネット企業Aでサイバー攻撃が発生し、約44万件の個人情報が漏えいした事件が起きました。この企業Aでは海外の企業Bを関係会社としており、情報漏えいはこの企業Bが業務を委託する企業Cにおいて、従業員のPCがマルウェアに感染したことが発端で起こりました。この海外の企業Bと企業Cが使う認証基盤は企業Aと同じものを使っていたため、企業Cの従業員のPCからも不正アクセスが可能となってしまったのです。
企業Aは対策を行いましたが、その後も情報漏えいや、2024年に入ってさらに従業員の個人情報が流出したなど、いくつか問題が発覚しています。
2023年5月、日本国内のホテルが宿泊予約情報の管理に利用していた外部のホテル予約サービスへ不正アクセスがあり、ホテルの顧客情報が流出する事件が起きました。事件はホテル予約サービスからの連絡で発覚。過去のホテルの利用者に対してフィッシングサイトへ誘導するメッセージが配信されたことも確認されています。
外部サービスを糸口に、そのサービスの利用者である企業を狙ったサプライチェーン攻撃の典型例といえます。
| 参考コラム:いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説 |
2023年に起きたサプライチェーン攻撃の事例をご紹介します。
大手インターネット企業の情報漏えい
2023年11月、大手インターネット企業Aでサイバー攻撃が発生し、約44万件の個人情報が漏えいした事件が起きました。この企業Aでは海外の企業Bを関係会社としており、情報漏えいはこの企業Bが業務を委託する企業Cにおいて、従業員のPCがマルウェアに感染したことが発端で起こりました。この海外の企業Bと企業Cが使う認証基盤は企業Aと同じものを使っていたため、企業Cの従業員のPCからも不正アクセスが可能となってしまったのです。
企業Aは対策を行いましたが、その後も情報漏えいや、2024年に入ってさらに従業員の個人情報が流出したなど、いくつか問題が発覚しています。
ホテル予約サービスへの不正アクセス
2023年5月、日本国内のホテルが宿泊予約情報の管理に利用していた外部のホテル予約サービスへ不正アクセスがあり、ホテルの顧客情報が流出する事件が起きました。事件はホテル予約サービスからの連絡で発覚。過去のホテルの利用者に対してフィッシングサイトへ誘導するメッセージが配信されたことも確認されています。
外部サービスを糸口に、そのサービスの利用者である企業を狙ったサプライチェーン攻撃の典型例といえます。
2023年に起きた内部不正によるセキュリティ事故事例
内部不正、すなわち悪意ある組織内部の人間が原因となるセキュリティ事故もありました。
情報通信関連企業の関係者による情報漏えい
2023年10月、ある情報通信関連企業で過去に運用保守従事者として派遣された元派遣社員により、顧客情報を不正に持ち出す事案が発生しました。持ち出された情報は、69のクライアントに関連した顧客:928万件、クライアント不明の顧客数:117万件に及びました。この情報漏えい事件をきっかけに、委託元の承諾を得ずに個人情報の取り扱いを再委託するという、事前に定めたルールとは異なる情報管理が行われていたことも指摘されています。
この元派遣社員は2024年1月に逮捕され、犯行動機など調べが進められています。
商社元社員による不正アクセス
ある商社の元社員が、以前勤務していた企業のクラウド型の経費精算システムに侵入し、データを不正にダウンロードする事件が起きました。この元社員は取引先に商社の誹謗中傷メールを送信しており、この取引先からの知らせで事件が発覚しました。
元社員は既に逮捕されており、犯行動機はかつての職場に抱いていた不満ではないかと推測されています。
2024年以降に脅威となることは?
2024年は、ランサムウェア攻撃や情報機器の脆弱性を突く攻撃など2023年と同様の脅威が続くものと見られています。また「情報セキュリティ10大脅威 2024」ではマルウェアや機器の脆弱性のほかに、「内部不正」や「不注意」など人が原因となる脅威がランキングの順位を上げてきていました。情報セキュリティ対策はもちろん、社員へのセキュリティ教育にもアップデートが必要です。
2023年には、経済産業省から「サイバーセキュリティ経営ガイドライン Ver 3.0」が発行されました。IPAでも「サイバーセキュリティ経営ガイドラインVer3.0 実践のためのプラクティス集 第4版」が公開されています。チェックしておくとよいでしょう。
参考:サイバーセキュリティ経営ガイドラインVer 3.0|経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/economics/csm-practice.html
2023年には、経済産業省から「サイバーセキュリティ経営ガイドライン Ver 3.0」が発行されました。IPAでも「サイバーセキュリティ経営ガイドラインVer3.0 実践のためのプラクティス集 第4版」が公開されています。チェックしておくとよいでしょう。
参考:サイバーセキュリティ経営ガイドラインVer 3.0|経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/economics/csm-practice.html
| 参考コラム:セキュリティ教育とは?従業員のセキュリティリテラシーを高める方法 |
まとめ
アクセリアのサイバーセキュリティ対策に係るサービスは、セキュリティエンジニアが検証を重ね、ITに加えOT(制御テクノロジー)にまで及ぶセキュリティサービス、幅広いサイバーリスクに対応する保険サービスなど、他社にない包括的なラインナップが特長となっています。
サイバーレジリエンスソリューションとしてご提供しており、サイバー攻撃やシステム障害による機会損失のリスクを最小化するだけではなく、顧客のUX(User Experience)を高め、収益機会を最大化するための最適なサービスを、お客様の課題に合わせて提供することができます。
お困りのことがありましたら、まずはご相談ください。
▶【Solution CDN】
日本人エンジニアの運用サポートで、最高のパフォーマンスと最先端のセキュリティを提供するCDN
▶【クラウドWAF(Scutum)】
「新しい」を「当たり前」に変えた11年連続 国内シェアNo.1のクラウド型WAF
▶【データバックアップサービス(VDaP)】
ランサムウェア対策としてのデータバックアップサービス。ローカル環境、クラウド2拠点へ自動保存。さらに簡単リストア。
▶【サイバーリスクに備える保険】
3つの保険会社のサイバー保険商品から、保険とサイバーセキュリティに精通したプロが最適な保険商品をご提案
▶【産業サイバーセキュリティ事業】
OT/ITあらゆるレイヤーのリスクを踏まえたセキュリティサービスをご提案
サイバーレジリエンスソリューションとしてご提供しており、サイバー攻撃やシステム障害による機会損失のリスクを最小化するだけではなく、顧客のUX(User Experience)を高め、収益機会を最大化するための最適なサービスを、お客様の課題に合わせて提供することができます。
お困りのことがありましたら、まずはご相談ください。
サイバーレジリエンスサービス ラインナップ
▶【Solution CDN】
日本人エンジニアの運用サポートで、最高のパフォーマンスと最先端のセキュリティを提供するCDN
▶【クラウドWAF(Scutum)】
「新しい」を「当たり前」に変えた11年連続 国内シェアNo.1のクラウド型WAF
▶【データバックアップサービス(VDaP)】
ランサムウェア対策としてのデータバックアップサービス。ローカル環境、クラウド2拠点へ自動保存。さらに簡単リストア。
▶【サイバーリスクに備える保険】
3つの保険会社のサイバー保険商品から、保険とサイバーセキュリティに精通したプロが最適な保険商品をご提案
▶【産業サイバーセキュリティ事業】
OT/ITあらゆるレイヤーのリスクを踏まえたセキュリティサービスをご提案
アクセリア株式会社
サービス事業部
Contact usお問い合わせ
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
03-5211-7750
平日09:30 〜 18:00
Free Service