情報セキュリティ事件紹介

カテゴリー セキュリティ0件のコメント
世間を騒がせた情報セキュリティ事件

情報セキュリティに関する事件は、毎年数多く起こっています。情報セキュリティの攻撃を受けた企業が、大手企業であったり、多くの顧客を持つ企業であったりする場合には、被害者の数が膨大なものとなるため、事件が社会を大きく騒がせてしまいます。

今回は2017年に大きく取り上げられた、情報セキュリティに関して、ウイルスなどの外部からの流出事例と、内部スタッフの流出の事件をご紹介致します。

1.ウイルスやメールを利用した大規模な事件

世間を騒がせた情報セキュリティ事件

情報セキュリティに関する事件の多くは、外部からの不正アクセスによるものです。これらはセキュリティの専門家により対策が考案されているものの、全ての脅威を阻止する方法はありません。
しかし手口を把握していれば未然に防げるサイバー攻撃は多いです。そこでこの項では、ウイルスやメールを利用した事件と犯行手口をご紹介致します。

①世界中に恐怖を与えたWannaCryの脅威

2017年5月から2018年にかけて、情報セキュリティ業界に大きな衝撃を与えたのはWannaCryというランサムウェアを使用した事件です。世界150ヶ国で20万を超えるパソコンへ感染したことが確認され、2018年時点では過去最大級のランサムウェア攻撃だと言われています。

WannaCryは感染したパソコン内のデータを暗号化し、所有者にビットコインを要求するという悪質なウイルスです。日本ではホンダの自動車工場やJR東日本などか感染を確認しており、ヨーロッパでは病院が治療の手を止めなければならない事態にまで発展したようです。

これらの進行は一時的に食い止められたものの、対策の穴をかいくぐる改良版が次々に登場しており、現状では、脅威を完全に打ち消す方法はありません。万が一感染してしまった場合の対策について、データのバックアップを使用して復旧できるケースが多いため、外部デバイスへのこまめなデータ保存が有効とされています。

②通販サイトに偽装したフィッシングメール

フィッシングメールはメール内に添付されたURLから、悪質なサイトへ誘導する手法です。2017年度は通販サイトの運営会社を装ったメールを送付、用意された偽サイトへ個人情報を入力させる手口が話題となりました。心当たりのないメールは安易にURLを開かず、同様の内容でフィッシングメールの被害がないのか確認することを推奨します。

またURLのリンク先が個人情報を求めるページであった場合、サイトのアドレスバーがhttps://から始まっていないページは要注意です。アドレスバーがhttps://~から始まるサイトはSSLと呼ばれるセキュリティ技術が利用されており、通信を暗号化する通信方式を採用しています。多くの企業が機密情報の送受信にSSLを利用しているため、大企業を名乗るにもかかわらずSSL化されていないページは危険であるとみなしてよいでしょう。

ちなみに個人が運営するサイトはSSL化されてないものもあるため、SSL化に対応していないwebページ全てが悪質というわけではありません。あくまで個人情報を入力するページにおける注意点であり、サービスの見極めに限り有効な一つの目安です。

2.内部不正により機密情報が持ち出された事件

世間を騒がせた情報セキュリティ事件

情報セキュリティに関する事件の原因は、インターネットやメールを通じた外部からの脅威だけではありません。情報が流出した事件として報道されたものの中には、企業の社員による内部不正も含まれていました。

この項では社員により引き起こされた、国内企業の内部不正を2件ご紹介致します。

① 経済情報誌を利用する読者情報の持ち出し

日本経済新聞社は、新聞や電子メディアを展開する国内大手の企業です。同社では社員の賃金データ約3,000件を流出させた元従業員を、2018年7月に警視庁に告訴しました。内部不正を働いた元従業員は、調査の結果によると3度にわたって情報を流出させていたことが判明しています。

この元社員が持ち出したデータは賃金データの他に、経済誌として有名な日経ヴェリタスの読者データ約3万6,000件、および電子メディア版の登録顧客データ約34万件です。データの抜き取りにはUSBやクラウドサービスの使用、さらには社内PCの分解などあらゆる手法を使用したことが判明しています。

第三者にデータを渡した事実は確認されていませんが、被害者数の多さから大きな話題となりました。

② 元職員らによる年金機構の情報流出事件

日本年金機構は、社会保険庁に代わり公的年金に関係する業務を担う特殊法人です。同機関から年金加入者の個人情報を流出させたとして、2017年に現職員と元職員が1人ずつ逮捕されました。

2016年に行われた情報流出防止のための検査で事件が発覚し、元職員が現職員を脅迫して郵送させていたことが判明しています。調査によれば2009~2016年まで個人情報を流出させていたとみられ、現職員が見返りの報酬を受け取る形で成立していました。

同機関では類似事件への対策として、監視カメラや透明素材を使用したカバンなどの採用を発表しています。

3.まとめ

いかがでしたでしょうか?
情報セキュリティに関する事件はとどまることを知らず、犯罪に対する知識や管理体制のレベルが低ければ大きな被害へと発展します。防ぐ方法がないものもありますが、フィッシングメールや内部不正は注意力を高めれば対策できる問題です。
セキュリティソフトの導入や更新はもちろんですが、今後は個人や法人を問わず情報セキュリティに対する教育が必要だと言えます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です