知っておくべき情報漏洩事例5選
年々増加の傾向となっている情報漏洩の発生について、なんとか対策したいと考える方も少なくないでしょう。
情報漏洩の被害を受けた顧客からの損害賠償の請求だけでなく、企業への信頼の失墜のきっかけとなってしまうなど、大きな被害を被るだけでなく大騒動となってしまう可能性があります。
個人や企業において個人情報の保護は最も重要であるとされていますが、やみくもに対策を行っていては被害を被ってしまう可能性が高いままとなってしまいます。
そこで対策を行う前にまずは過去の事例を知っておく必要がありますので、まずは情報漏洩事件について以下の5つを紹介します。
- 「SNKRDUNK」で大規模な個人情報漏洩が発生
- 「えきねっと」でユーザーのアカウントに不正ログイン
- 「スイーツパラダイス」で利用したユーザーのクレジットカード情報が漏洩
- 「アドバンテッジEAP」のお問い合わせフォームが外部から閲覧可能
- 松下記念病院で患者の個人情報が流出
事例1.「SNKRDUNK」で約275万件の個人情報が漏洩
まず一つ目の情報漏洩の事例として紹介するのが「SNKRDUNK(スニーカーダンク)」で発生した事例です。
株式会社SODAが運営しているサービスであり、2022年6月15日に不正アクセスが発生したと発表されました。
サービスに登録していた顧客の以下の情報が漏洩したと報告されています。
- 氏名
- 生年月日
- メールアドレス
- 住所
- 口座情報(一部)
個人情報の不正流用などの事実は確認されていないものの、対象となってしまった約275万人の顧客のみなさんは不安に感じたでしょう。
不正アクセスの手口としては、検索ボックスなどからデータベースに対して想定しないSQL文を実行しデータが盗まれてしまったと説明があり、システムのセキュリティホールを狙った「SQLインジェクション」であることが明らかとなりました。
この「SQLインジェクション」に対し、株式会社SODAが行なったセキュリティ対策に関する措置は以下であり、今後専門家の協力も得ながらさらにセキュリティ強化に努めていくとの内容でした。
- 不正アクセス元をブロックし対象URLにてレスポンスにエラー内容を含めない
- 同様のリクエストに対し、他のURLでもレスポンスにエラー内容を含めない
- WAFを導入し不正アクセスのリクエストをブロック
- 外部セキュリティ専門家に改めて「SNKRDUNK」の脆弱性診断の依頼
- 不正アクセスの監視強化
事例2.「えきねっと」で3,729人のアカウントに不正ログイン
JR東日本が運営する「えきねっと」を利用している方も多いでしょう。インターネット上で切符を予約・購入できる「えきねっと」においても、2020年3月に約3800人のアカウントに不正ログインが行われたと発表されました。
漏洩した可能性があるものとしては以下であり、リスト型攻撃が原因であったとされています。
- 氏名
- 住所
- 電話番号
- 生年月日
- メールアドレス
- クレジットカード情報の一部(カード番号下4桁・有効期限等)
- 連携している交通系ICカードの番号
リスト型攻撃とは、不正アクセス者が事前に手に入れた別サービスでのユーザー情報を入手し「えきねっと」で試行する手口です。
過去にさまざまな事例から不正に入手した個人情報がこのような攻撃に利用されてしまうため、情報漏洩の対策は必要不可欠であると言えます。
事例3.「スイーツパラダイス」で7,645件のクレジットカード情報が漏洩
2022年6月に井上商事株式会社が運営する「スイーツパラダイス」のオンラインショップで個人情報漏洩が発生した可能性があることが発表されました。
漏洩した可能性があるものは以下であり、漏洩の規模は約7400人とこちらも知っておくべき事例であると言えます。
- 社内外関係者の氏名
- メールアドレス
- メールの件名など
2021年のある期間においてクレジットカード決済を用いてオンラインショップを利用したユーザーが被害の対象となっていました。
同社の発表によると、不正の手口としてシステムの脆弱性を突いた決済アプリケーションの改竄であるとされ、国内外を問わず様々な企業が被害を被っている「Webスキミング」という手法が原因だったようです。
しかし他に問題となった点として、同社は情報漏洩の把握から事例の発表までに約半年間の期間を要していましたが、その間にも不正利用が発生していたことが後に公表され、顧客から対応の遅さを批判する声もあったと言われています。
事例4.「アドバンテッジEAP」のお問い合わせフォームが外部から閲覧可能
医師が中心となり職場のメンタルケアをサポートする国内最大規模のEAPサービスである「アドバンテッジEAP」において、お問い合わせフォームのリリース作業時にシステム設定のミスにより、入力された情報が外部から閲覧可能であったことが発表されました。
外部閲覧が可能となっていたのは、以下の個人情報であり2018年4月10日~2021年2月26日に問い合わせのあった約1万5000件が被害の対象であったと明かされています。
- 利用者の所属企業名
- 所属企業における社員番号
- 氏名
- 生年月日
- メールアドレス
- 電話番号
- お問い合わせ種別
- お問い合わせ内容
外部からの不正アクセスではなく、リリース時における内部の設定ミスから漏洩したとされる事例です。
情報漏洩を防ぐためには従業員対するセキュリティ対策だけではなく、個人情報の公開権限の制限や内部監査を定期的に実施するなど組織全体としての取り組みが必要であると言えるでしょう。
事例5.松下記念病院で患者の個人情報が流出
前述した「アドバンテッジEAP」の情報漏洩の事例同様、企業内部の人的ミスによる情報漏洩の事例として挙げられるのが「松下記念病院」での患者の個人情報が流出した事例です。
2021年に同院のレントゲン撮影の設定室に設定していたノートパソコンの紛失により、内部に記録されていた「撮影画像データ」が流失した可能性があると発表されました。
「撮影画像データ」には、約2000人分の以下の情報が記録されていたとされており、捜索を行ったものの発見されていません。
- 患者ID・氏名
- 生年月日
- 性別
- 年齢
- 撮影部位
- 病室
- 医師コード・氏名
- 撮影画像
部外者が立ち入れないとされている場所においても、個人情報の扱いにおいては慎重に行わなければいけないことがこの事例からわかります。
また、個人情報を記録しているデバイスへの対策としては主に以下が挙げられますので、理解しておく必要があります。
- 端末ロック解除の認証の強化
- データアクセスへの認証設定
- 机などへの施錠管理
- 外部保存後の端末内のデータ削除
事例から学ぶ情報漏洩への対策
ここまで、過去に発生した情報漏洩の事例について紹介しました。
このようにさまざまな要因から情報漏洩が発生してしまうリスクがあることについて理解できたと思いますが、どのように対策を行っていけばいいのでしょうか。
過去の事例から学ぶ情報漏洩の対策として以下の4つについて詳しく解説していきますので、ぜひ参考にしてください。
- セキュリティソフトを導入する
- 従業員に情報漏洩に関する教育を行う
- 不正アクセス検知システムを導入する
- 個人情報保護を強化する
セキュリティソフトを導入する
情報漏洩発生の対策としてまず挙げられるのが、セキュリティソフトの導入です。
しかし、セキュリティソフトといっても種類や機能は様々であり、システムの運用方法や設備環境によって最適となるものを選ぶ必要があります。
セキュリティソフトの種類としては以下があり、特定の機能に特化して対策を行う場合にはそれに合わせたセキュリティソフトを導入するといいでしょう。
- 使用ネットワークの制御
- データの外部への持ち出しを防止
- データの暗号化
- マルウェア対策
- 脆弱性対策
- アクセスできるWebサイトの制御
- 統合タイプ
ここでの「統合タイプ」とは複数の機能を持った統合的なセキュリティソフトのことであり、価格も様々です。
対策を行いたい内容や予算に合わせて信頼できるセキュリティソフトを検討することが重要であると言えるでしょう。
また、ビジネスにおいて必要不可欠であると言える「メール」のセキュリティについても強化することが重要となります。
以下の記事「【最新版厳選】おすすめメールセキュリティ製品10選!正しい選び方も解説します!」では、おすすめのメールセキュリティについて正しい選び方や導入におけるデメリットについて詳しく解説していますので、ぜひ参考にしてください。
従業員に情報漏洩に関する教育を行う
システムのセキュリティを強化することは、情報漏洩対策において重要であることは理解できたでしょう。
しかし、従業員が情報漏洩に対し意識しておかないと内部不正や内部からの除法漏洩が発生してしまう可能性があります。
従業員本人にとっては些細な問題でも、大きな被害につながってしまうケースもあります。
そこで、従業員一人ひとりがセキュリティリテラシー向上及び自社セキュリティポリシー周知の為に行う教育を実施し、セキュリティ意識の向上を図りましょう。
従業員に情報漏洩に関する教育を行う場合には、情報処理推進機構が公開するガイドラインなども活用し定期的な教育を実施することをおすすめします。
不正アクセス検知システムを導入する
前述で紹介したセキュリティソフトの導入と併せて行いたい対策が、不正アクセス検知システムの導入です。
不正アクセス検知システムとは、不正アクセスの検知・記録だけでなく、システム管理者に通知を行うシステムです。
不正アクセスを防げなかった場合には、情報漏洩だけでなく以下のような被害となってしまう可能性があります。
- ソーシャルメディアのアカウントが乗っ取られてしまう
- 通販サイトで商品を不正に購入されてしまう
- ポイントを不正に利用されてしまう
- 不正送金が行われてしまう
検知の仕方やサービスの内容については各サービスごとに異なりますので、予算も考慮しながら自社に最適となるサービスを検討し導入しましょう。
個人情報保護を強化する
個人情報保護を強化することも、情報漏洩対策の一つであると言えます。
個人情報保護を強化する方法としては以下が挙げられますので、ぜひ取り入れてみてください。
- アクセス制限を設定し、関係者以外のアクセスを制御する
- 個人データを格納しているPCはネットワークに接続しない
- メール誤送信防止ツールの導入
- 添付付きメールの送信時は、添付ファイルのダブルチェックを実施する
- 個人情報を保管しているデバイスには、二要素認証などの認証方法を導入する
- 多要素認証方式の導入
- 職場への個人使用の記録媒体(USBなど)の持ち込みを禁止する
- 個人情報へのアクセスや操作履歴はアカウント名や社員IDと共に記録する
関係者など内部での、ヒューマンエラーや内部での不正・データの持ち出しによる個人情報漏洩についても、対策を行うことが必要であると言えるので、前述した「従業員に情報漏洩に関する教育を行う」と併せて個人情報保護の強化を行っていきましょう。
また、社内でスマホの支給を行っている企業も多いでしょう。スマホの支給において業務効率化が進む一方、支給しているスマホからのウイルス感染や情報漏洩のリスクについても危機感を感じる方も少なくありません。
そこで以下の記事「【最新版】代表的なMDMツールおすすめ5選!導入するメリットやツールの正しい選び方も!」では、モバイルデバイスを一元管理できるMDMツールについて解説しています。
導入のメリットや選び方、おすすめのツールまで詳しく説明していますので、ぜひ参考にしてください。
まとめ
大きな損害や信頼の失墜の原因ともなる情報漏洩について知っておくべき事例や、そこから学ぶ対策方法について詳しく説明しました。
外部からの侵入に対しての対策はもちろんのこと、内部でのヒューマンエラーや内部不正においても対策を行うことが重要であると言えます。
以下の記事「IT資産管理に必須!漏洩チェッカーでセキュリティ対策を強化しよう」では、資産管理に必須といえる漏洩チェッカーについて、他のツールとの違いや導入が向いている人について詳しく解説しています。
また、ツールの比較についても徹底的に解説していますので、ぜひ併せて参考にしてください。
【SNSフォローのお願い】
kyozonは日常のビジネスをスマートにする情報を毎日お届けしています。
今回の記事が「役に立った!」という方はtwitterとfacebookもフォローいただければ幸いです。
twitter:https://twitter.com/kyozon_comix
