2023年はどんなセキュリティ事故が起きた?被害事例をご紹介
はじめに
※2022年度版はこちらです
参考コラム:2022年はどんなセキュリティ事故が起きた?被害事例をご紹介 |
2023年~2024年サイバー攻撃の傾向
1位. ランサムウェアによる被害
2位. サプライチェーンの弱点を悪用した攻撃
3位. 内部不正による情報漏えい等の被害
4位. 標的型攻撃による機密情報の窃取
5位. 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃)
6位. 不注意による情報漏えい等の被害
7位. 脆弱性対策情報の公開に伴う悪用増加
8位. ビジネスメール詐欺による金銭被害
9位. テレワーク等のニューノーマルな働き方を狙った攻撃
10位. 犯罪のビジネス化(アンダーグラウンドサービス)
参考:情報セキュリティ10大脅威 2024|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/10threats/10threats2024.html
挙げられた10つの攻撃手法は、2023年に公表された「情報セキュリティ10大脅威 2023」と同じとなっています。1位「ランサムウェアによる被害」と2位「サプライチェーンの弱点を悪用した攻撃」は昨年と順位が変わらず、3位「内部不正による情報漏えい等の被害」が昨年よりも順位を上げてきています。
実際にどのようなセキュリティ事故が起きたのでしょうか。トップ3となった脅威に関連し、2023年に起きた事例をご紹介します。
2023年に起きたランサムウェア攻撃の事例
ランサムウェアは、PCやサーバ上のデータを暗号化して利用不可にし、データの復号化と引き換えに身代金を要求するものです。近年では「LockBit」というランサムウェアの活動が目立ちます。
名古屋港コンテナターミナルのシステム障害
2023年7月、ある海港のコンテナターミナルでシステム障害が起き、2日あまりに渡って全ターミナルの作業が停止となりました。リモート接続機器に脆弱性があり、この脆弱性からランサムウェアが侵入したものと見られています。この影響で民間企業でも一部の工場が稼働停止となりました。ランサムウェアはLockBitが使用されたと推測されています。
その後政府は、サイバー攻撃への対策強化を図るため、経済安全保障推進法の対象となる国の基幹インフラ指定に「港湾運送」を追加する方針を示しました。この法では重要な物資の安定的な供給を目的としており、「港湾運送」は今後国の重要な基幹インフラと見なされ、重要な設備を導入する際に国の事前審査を受けることとなります。
ステーショナリーメーカーへのランサムウェア攻撃
2023年6月、文房具やオフィス家具、事務機器を製造・販売するメーカー企業において、グループの一部情報システムに対する外部攻撃や人事システムへのランサムウェア攻撃がありました。このメーカーは広く販路があり認知度が高かったため、セキュリティ事故発生時は一時、約186万件の情報漏えいの恐れがあるという報道もありました。しかしその後の調査で外部転送関連のデータ通信量がわずかであったことがわかり、情報漏えいの可能性は低いと判断されています。
2023年に起きたサプライチェーン攻撃の事例
参考コラム:いま警戒すべきサプライチェーン攻撃とは?手口や実例、対策を解説 |
2023年に起きたサプライチェーン攻撃の事例をご紹介します。
大手インターネット企業の情報漏えい
2023年11月、大手インターネット企業Aでサイバー攻撃が発生し、約44万件の個人情報が漏えいした事件が起きました。この企業Aでは海外の企業Bを関係会社としており、情報漏えいはこの企業Bが業務を委託する企業Cにおいて、従業員のPCがマルウェアに感染したことが発端で起こりました。この海外の企業Bと企業Cが使う認証基盤は企業Aと同じものを使っていたため、企業Cの従業員のPCからも不正アクセスが可能となってしまったのです。
企業Aは対策を行いましたが、その後も情報漏えいや、2024年に入ってさらに従業員の個人情報が流出したなど、いくつか問題が発覚しています。
ホテル予約サービスへの不正アクセス
2023年5月、日本国内のホテルが宿泊予約情報の管理に利用していた外部のホテル予約サービスへ不正アクセスがあり、ホテルの顧客情報が流出する事件が起きました。事件はホテル予約サービスからの連絡で発覚。過去のホテルの利用者に対してフィッシングサイトへ誘導するメッセージが配信されたことも確認されています。
外部サービスを糸口に、そのサービスの利用者である企業を狙ったサプライチェーン攻撃の典型例といえます。
2023年に起きた内部不正によるセキュリティ事故事例
内部不正、すなわち悪意ある組織内部の人間が原因となるセキュリティ事故もありました。
情報通信関連企業の関係者による情報漏えい
2023年10月、ある情報通信関連企業で過去に運用保守従事者として派遣された元派遣社員により、顧客情報を不正に持ち出す事案が発生しました。持ち出された情報は、69のクライアントに関連した顧客:928万件、クライアント不明の顧客数:117万件に及びました。この情報漏えい事件をきっかけに、委託元の承諾を得ずに個人情報の取り扱いを再委託するという、事前に定めたルールとは異なる情報管理が行われていたことも指摘されています。
この元派遣社員は2024年1月に逮捕され、犯行動機など調べが進められています。
商社元社員による不正アクセス
ある商社の元社員が、以前勤務していた企業のクラウド型の経費精算システムに侵入し、データを不正にダウンロードする事件が起きました。この元社員は取引先に商社の誹謗中傷メールを送信しており、この取引先からの知らせで事件が発覚しました。
元社員は既に逮捕されており、犯行動機はかつての職場に抱いていた不満ではないかと推測されています。
2024年以降に脅威となることは?
2023年には、経済産業省から「サイバーセキュリティ経営ガイドライン Ver 3.0」が発行されました。IPAでも「サイバーセキュリティ経営ガイドラインVer3.0 実践のためのプラクティス集 第4版」が公開されています。チェックしておくとよいでしょう。
参考:サイバーセキュリティ経営ガイドラインVer 3.0|経済産業省
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集|IPA 独立行政法人 情報処理推進機構
https://www.ipa.go.jp/security/economics/csm-practice.html
参考コラム:セキュリティ教育とは?従業員のセキュリティリテラシーを高める方法 |
まとめ
サイバーレジリエンスソリューションとしてご提供しており、サイバー攻撃やシステム障害による機会損失のリスクを最小化するだけではなく、顧客のUX(User Experience)を高め、収益機会を最大化するための最適なサービスを、お客様の課題に合わせて提供することができます。
お困りのことがありましたら、まずはご相談ください。
サービスにご興味をお持ちの方は
お気軽にお問い合わせください。
Webからお問い合わせ
お問い合わせお電話からお問い合わせ
平日09:30 〜 18:00
Free Service