近年、企業・組織の秘密情報や個人情報が漏洩する事件・事故が増えています。
原因としては、マルウェアによるサイバー攻撃や、内部関係者による不正、さらにはサーバー、システムなどの設定ミスやメール誤送信などさまざまです。
いずれの原因にせよ、秘密情報や個人情報が外部に漏洩してしまった場合、その企業・組織の信用は失墜し、賠償による経済的損失や、場合によっては信用低下による経営への影響も与えかねない重大なリスクとなります。
本稿では、情報漏洩の現状から、その原因と影響、そしてその対策までをわかりやすく解説していきます。
サイバー攻撃は増加傾向にあり、方法も高度化・巧妙化しています。
特に最近増えているのはマルウエア (悪意あるソフト。いわゆるウイルスソフト) を使った情報の摂取です。
近頃、その数が増え、実際に大きな被害が出ているランサムウエアは、もともとデータを暗号化し、暗号化したデータを復号するための鍵となるソフトの代金を身代金として要求するサイバー攻撃でしたが、近年では暗号化の前にデータを盗み出し、その情報を公開するという2重の脅迫が行われることも増えています。
サイバー攻撃の攻撃者はPC上のさまざまなデータを狙っているのです。
では、情報漏洩の現状はどうなっているのでしょうか。
個人情報の漏洩件数や人数について、東京商工リサーチが上場企業とそのグループ会社が公表した情報を独自に集計したレポートを公開しています。
株式会社東京商工リサーチ TSRデータインサイト
2025/01/21 発表「2024年上場企業の「個人情報漏えい・紛失」事故 過去最多の189件、漏えい情報は1,586万人分」
https://www.tsr-net.co.jp/data/detail/1200872_1527.html
東京商工リサーチのレポートによれば、2024年に上場企業とその子会社が公表した個人情報の漏えい・紛失事故は、過去最多の189件に上り、これは前年比で8.0%増だとしています。
事故件数は調査を開始した2012年以降、2021年から4年連続で最多を更新。
個人情報の漏えい・紛失事故は、2012年から2024年までの13年間で1,454件に達しています。漏えい・紛失した可能性のある個人情報は、累計1億8,249万人で、日本の人口の1.5倍に達するとのことです。
原因別で見ると、ランサムウエアなど「ウイルス感染・不正アクセス」によるものが114件(構成比60.3%)が最多で6割を占めた。
ついでメール送信やシステムの設定ミスなどの人為的な要因による「誤表示・誤送信」が41件(同21.6%)。
さらに、データの「紛失・誤廃棄」が20件(同10.5%)、情報の不正利用や内部関係者などの持ち出しなどによる「不正持ち出し・盗難」が14件(同7.4%)と続きます。
企業の秘密情報や個人情報などが窃取され、それが外部に発覚した場合、取引先や顧客の信用を失い、取引停止に陥るだけではなく、場合によっては多大な損害賠償を求められる可能性もあります。
このように、情報漏洩は単なるセキュリティーの問題ではなく、経営リスクであるということを意識する必要があります。
情報漏洩の原因にはさまざまなパターンがあります。
ここでは、大きく分けて意図的に行われるものと、ミスなどで発生する2つのパターンについて紹介します。
意図的に行われる情報漏洩としては、内部犯による不正持ち出しや、サイバー攻撃によるものがあります。
例えば、大手通信事業者が受託している業務において、クライアントの顧客情報を長年にわたって派遣社員が持ち出していた例が挙げられます。このような事例の多くは、個人情報・機密情報に触れることができる内部の従業員が、情報の販売目的などで不正に持ち出す例が多くあります。
また、2024年は、従業員が不正に持ち出したケースのほかに、損害保険の大手4社が保険代理店や出向者を通じ、競合他社の契約者情報を共有していた例が挙げられます。金融庁から報告命令を受ける事態に発展。不適切な取り扱いで流出した個人情報は大手4社で合計250万人分に及びました。
サイバー攻撃による情報漏洩は、これまでは攻撃者が不正にシステムに侵入して、情報を持ち出すものが多い傾向にありましたが、近年ではランサムウエアなどのマルウエア (ウイルス) によって情報を流出させられてしまうパターンが増えています。
2024年も前年に引き続き、ランサムウェアによる不正アクセスの被害が多発しました。
情報処理サービスを専門に請け負う企業が不正アクセスを受け、それにより業務を委託した側の顧客情報が流出し、被害が拡大したケースが問題化しました。
2024年の最多は、子会社のネットワークへの不正アクセスで顧客情報416万人分の流出可能性を公表した、東証プライムの大手エネルギー事業者でした。
個人情報の漏えい・紛失事故の件数は、上場市場別では東証プライムの115社が最多で7割以上を占めています。
大手企業は従業員や顧客も多く、ターゲットにもなりやすく、情報漏えい・紛失のリスクは、より高度なセキュリティー対策が必要なことが示されています。
故意ではない形で情報漏洩事故が起きてしまう例として多いのが、個人情報・機密情報を添付したメールを送信する際に、誤った送付先に送ってしまうパターンです。
また、最近増えているのが、クラウドサーバーの設定ミスでサーバー上に保存されている情報が公開状態になってしまい、個人情報やクレジットカードの情報などが漏洩してしまうパターンです。
また、システムのバグなどによって公開すべきでない情報が漏洩してしまったという例もあります。
「わが社は強力なセキュリティーシステムを導入しているから大丈夫」と考えている方もいらっしゃるかもしれませんが、サイバー攻撃の攻撃者は常にOSやアプリケーション、ソフトウエアの弱点 (ぜい弱性) を探し、そこをついて攻撃を行います。
ソフトウエアのぜい弱性は、開発者も開発時には気がついていないソフトウエアのバグによるものが少なくなく、後になって修正されることがよくあります。
これはセキュリティーシステムでも同様で、セキュリティーシステムの未知のぜい弱性をついて攻撃されることもあります。
これはゼロデイ攻撃と言われています。
サイバー攻撃の攻撃者は、個人のクラッカー (悪意を持ったハッカー) というイメージを持っている方も少なくないと思いますが、今日の攻撃者は一般の企業のように組織化、分業化され、サイバー攻撃ビジネスとして成り立っており、過去とは比較にならないレベルでぜい弱性を見つけ出し、そのぜい弱性を突くマルウエア開発を行っていますから、もはや100%安全と言いきれるセキュリティーシステムは存在しません。
したがって、攻撃のリスクを下げるためにあらゆる対策を常に行う必要があるのです。
では、サイバー攻撃のリスクを少しでも減らすためにはどうすればいいのでしょうか。
それは可能な限り最新のOSやソフトウエアを使うことです。
アップデートがあれば可能な限り速やかにそれを適用することです。
以前、Emotet が大流行した際には、Windows のファイル共有の仕組みのぜい弱性が利用され、感染が拡大してしまったということが少なくありませんでした。
実はこのぜい弱性、決して未知のものではなく、すでに Microsoft によってセキュリティーアップデートが配布されていました。
つまり、多くの組織で適切にアップデートが実施されていなかったために感染が拡大してしまったと言われています。
また、最近増えているランサムウエア攻撃においても、テレワーク対応で使われていたVPNシステムのバージョンが古いままだったため、そのぜい弱性を突かれて侵入を許してしまったという事例が少なくありません。
このように、常にOSやソフトウエアを最新のものにアップデートして、ぜい弱性を可能な限りなくすことが、サイバー攻撃のリスクを軽減できるのです。
攻撃者も対策された難しいシステムよりは、簡単に攻撃できるぜい弱性の多いシステムを狙ったほうが効率が良いからです。
とはいえ、PCなど台数が多い端末のOSやソフトウエアを常に最新の状態にアップデートしておくのは、情報システム部門にとっては大きな負担です。
特に大きな組織では簡単ではありません。
そこでうまく活用したいのが、OSやソフトウエアのアップデーターを配信するソリューションです。
これらのツールをうまく活用することで、業務負荷を減らしつつ、OS、ソフトウエアのアップデートを確実に実施することが可能になります。
横河レンタ・リースでは、Windows Update や Microsoft 365 のアップデート配信ソリューションとして「 Flex Work Place Unifier Cast 」を、さまざまなソフトウエアのアップデートをユーザー自身が簡単にできる「 Flex Work Place AppSelf 」を提供しています。
これらのソリューションを活用することで、OSやソフトウエアを最新の状態に保つことで脆弱 (ぜいじゃく) 性を減らし、サイバー攻撃による情報漏洩リスクを少しでも軽減できるよう役立てていただければと思います。
