近年、企業・組織の秘密情報や個人情報が漏洩する事件・事故が増えています。
原因としては、マルウェアによるサイバー攻撃や、内部関係者による不正、さらにはサーバー、システムなどの設定ミスやメールのご送付などの事故などさまざまです。
いずれの原因にせよ、秘密情報や個人情報が外部に漏洩してしまった場合、その企業・組織の信用は失墜し、賠償による経済的損失や、場合によっては信用低下による経営への影響も与えかねない重大なリスクとなります。
本稿では、情報漏洩の現状から、その原因と影響、そしてその対策までをわかりやすく解説していきます。
サイバー攻撃は増加傾向にあり、方法も高度化・巧妙化しています。
特に最近増えているのはマルウエア (悪意あるソフト。いわゆるウイルスソフト) を使った情報の摂取です。
近頃、その数が増え、実際に大きな被害が出ているランサムウエアは、もともとデータを暗号化し、暗号化したデータを復号するための鍵となるソフトの代金を身代金として要求するサイバー攻撃でしたが、近年では暗号化の前にデータを盗み出し、その情報を公開するという2重の脅迫が行われることも増えています。
また、2019年に世界的に猛威をふるった Emotet (エモテット) ですが、再び感染が増えています。
Emotet は感染したPCからメールアドレスを盗み取るマルウエアですが、盗み取ったメールアドレスがランサムウエアの攻撃に悪用されているという事例も数多くあげられています。
このように、サイバー攻撃の攻撃者はPC上のさまざまなデータを狙っているのです。
では、情報漏洩の現状はどうなっているのでしょうか。
個人情報の漏洩件数や人数について、東京商工リサーチが上場企業とそのグループ会社が公表した情報を独自に集計したレポートを公開しています。
株式会社東京商工リサーチ TSRデータインサイト
「2023年の「個人情報漏洩・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分」
https://www.tsr-net.co.jp/data/detail/1198311_1527.html
東京商工リサーチのレポートによれば、2023年に上場企業とそのグループ会社が公表した個人情報の漏洩事故は175件に上り、これは前年 (2022年) 比で6.0%増だとしています。
漏洩した個人情報の人数は約4,091万人分で、これは前年の約7倍 (約593万人) と大幅に増え、年間漏洩人数としても過去最多となる結果となっています。
特に2023年は大規模な漏洩事故が多く、100万人分以上の情報が漏洩した大型事故の件数は8件と、前年の2件から4倍増となっています。
この内、最大のものは大手通信事業者の顧客情報が派遣社員によって持ち出された928万人分でした。
原因別で見ると、ランサムウエアなど「ウイルス感染・不正アクセス」によるものが約5割強で過去最多となる93件、ついでメール送信やシステムの設定ミスなどの人為的な要因による「誤表示・誤送信」が全体の1/4にあたる43件、さらに、情報の不正利用や内部関係者などの持ち出しなどによる「不正持ち出し・盗難」が24件と続きます。
特にこの「不正持ち出し・盗難」は前年比で5倍となっており、刑事事件に発展したものや、監督官庁による行政指導が行われた事例もありました。
企業の秘密情報や個人情報などが窃取され、それが外部に発覚した場合、取引先や顧客の信用を失い、取引停止に陥るだけではなく、場合によっては多大な損害賠償を求められる可能性もあります。
このように、情報漏洩は単なるセキュリティーの問題ではなく、経営リスクであるということを意識する必要があります。
情報漏洩の原因にはさまざまなパターンがあります。
ここでは、大きく分けて意図的に行われるものと、ミスなどで発生する2つのパターンについて紹介します。
意図的に行われる情報漏洩としては、内部犯による不正持ち出しや、サイバー攻撃によるものがあります。
2023年の動向でも触れましたが、大手通信事業者が受託している業務において、クライアントの顧客情報を長年にわたって派遣社員が持ち出していた例が挙げられます。
このような事例の多くは、個人情報・機密情報に触れることができる内部の従業員が、情報の販売目的などで不正に持ち出す例が多くあります。
サイバー攻撃による情報漏洩は、これまでは攻撃者が不正にシステムに侵入して、情報を持ち出すものが多い傾向にありましたが、近年ではランサムウエアなどのマルウエア (ウイルス) によって情報を流出させられてしまうパターンが増えており、2023年にも数百万人単位で情報が流出してしまったという例がありました。
故意ではない形で情報漏洩事故が起きてしまう例として多いのが、個人情報・機密情報を添付したメールを送信する際に、誤った送付先に送ってしまうパターンです。
また、最近増えているのが、クラウドサーバーの設定ミスでサーバー上に保存されている情報が公開状態になってしまい、個人情報やクレジットカードの情報などが漏洩してしまうパターンです。
また、システムのバグなどによって公開すべきでない情報が漏洩してしまったという例もあります。
「わが社は強力なセキュリティーシステムを導入しているから大丈夫」と考えている方もいらっしゃるかもしれませんが、サイバー攻撃の攻撃者は常にOSやアプリケーション、ソフトウエアの弱点 (ぜい弱性) を探し、そこをついて攻撃を行います。
ソフトウエアのぜい弱性は、開発者も開発時には気がついていないソフトウエアのバグによるものが少なくなく、後になって修正されることがよくあります。
これはセキュリティーシステムでも同様で、セキュリティーシステムの未知のぜい弱性をついて攻撃されることもあります。
これはゼロデイ攻撃と言われています。
サイバー攻撃の攻撃者は、個人のクラッカー (悪意を持ったハッカー) というイメージを持っている方も少なくないと思いますが、今日の攻撃者は一般の企業のように組織化、分業化され、サイバー攻撃ビジネスとして成り立っており、過去とは比較にならないレベルでぜい弱性を見つけ出し、そのぜい弱性を突くマルウエア開発を行っていますから、もはや100%安全と言いきれるセキュリティーシステムは存在しません。
したがって、攻撃のリスクを下げるためにあらゆる対策を常に行う必要があるのです。
では、サイバー攻撃のリスクを少しでも減らすためにはどうすればいいのでしょうか。
それは可能な限り最新のOSやソフトウエアを使うことです。
アップデートがあれば可能な限り速やかにそれを適用することです。
以前、Emotet が大流行した際には、Windows のファイル共有の仕組みのぜい弱性が利用され、感染が拡大してしまったということが少なくありませんでした。
実はこのぜい弱性、決して未知のものではなく、すでに Microsoft によってセキュリティーアップデートが配布されていました。
つまり、多くの組織で適切にアップデートが実施されていなかったために感染が拡大してしまったと言われています。
また、最近増えているランサムウエア攻撃においても、テレワーク対応で使われていたVPNシステムのバージョンが古いままだったため、そのぜい弱性を突かれて侵入を許してしまったという事例が少なくありません。
このように、すでにOSやソフトウエアを最新のものにアップデートして、ぜい弱性を可能な限りなくすことが、サイバー攻撃のリスクを軽減できるのです。
攻撃者も対策された難しいシステムよりは、簡単に攻撃できるぜい弱性の多いシステムを狙ったほうが効率が良いからです。
とはいえ、PCなど台数が多い端末のOSやソフトウエアを常に最新の状態にアップデートしておくのは、情報システム部門にとっては大きな負担です。
特に大きな組織では簡単ではありません。
そこでうまく活用したいのが、OSやソフトウエアのアップデーターを配信するソリューションです。
これらのツールをうまく活用することで、業務負荷を減らしつつ、OS、ソフトウエアのアップデートを確実に実施することが可能になります。
横河レンタ・リースでは、Windows Update や Microsoft 365 のアップデート配信ソリューションとして「 Flex Work Place Unifier Cast 」を、さまざまなソフトウエアのアップデートをユーザー自身が簡単にできる「 Flex Work Place AppSelf 」を提供しています。
これらのソリューションを活用することで、OSやソフトウエアを最新の状態に保つことで脆弱 (ぜいじゃく) 性を減らし、サイバー攻撃による情報漏洩リスクを少しでも軽減できるよう役立てていただければと思います。
