セミナー情報情報漏洩の事例と企業が実施すべき具体的な対策方法を詳しく解説!
近年、組織における情報漏洩・紛失事故が急激に増加しています。
東京商工リサーチ社の調査によると、2023年の情報漏洩・紛失事故の件数は過去最多(※)を更新しており、漏洩した個人情報については前年比の約7倍にものぼるとのことです。
※調査を開始した2012年以降の統計
しかし、これはあくまでも上場企業による自主的な開示を基に集計されたものであるため、非公開の事故・非上場企業での被害などを含めれば、真の被害件数は計り知れません。
もしかすると気づいていないだけで、私たちの組織でも情報漏洩が起こっている可能性はあるのです。
本記事では、過去に起きた情報漏洩事故の事例を原因別でご紹介します。
情報漏洩事故を防ぐ方法の第一歩は、過去の事例から教訓を得て実際の対策に活かすことです。自らの組織でも似たような課題がないか、考えながらご覧いただけますと幸いです。
・外部攻撃による情報漏洩の事例
・人的ミスによる情報漏洩の事例
・内部不正による情報漏洩の事例
・情報漏洩防止に有効な対策
・情報漏洩対策なら、IT資産管理ツールSS1/SS1クラウド
情報漏洩の原因とは?
そもそも、情報漏洩はどのような原因で生じてしまうのでしょうか。
ここでは、以下の3つの要素に絞って簡単にご紹介します。
| 外部攻撃 | 不正アクセスやマルウェア感染 |
|---|---|
| 人的ミス | 誤表示・誤送信などの設定ミス |
| 内部不正 | 従業員によるデータの持ち出し |
外部攻撃:不正アクセスやマルウェア感染
情報漏洩の原因としてもっともよく聞かれるのが、不正アクセスやマルウェア感染といった「外部攻撃」です。
不正アクセスとは、本来アクセス権限を持たないユーザーが組織のサーバーや情報システムの内部に侵入する行為のことです。一方マルウェア感染は、いわゆるコンピュータウイルスによる破壊行動や侵入行動を意味しています。
端末にインストールされているOS・ソフトウェアの脆弱性を利用する手口や、巧妙に偽装したメールの添付ファイルをダウンロードさせることで感染させる手口、USBメモリなど外付けのハードドライブ経由で感染させる手口など、数多くの攻撃手段が存在します。
外部攻撃については、ウイルス対策ソフトによるマルウェア検知や、IT資産管理ツールによる厳密なパッチ管理・デバイス接続制限などさまざまな対策方法があります。
しかし、マルウェア開発はいまも盛んにおこなわれており、日々新たなマルウェアが登場するため、対策とのいたちごっこになってしまっているのが現状です。
人的ミス:誤表示・誤送信などの設定ミス
意外にも多いのが、人的ミスによる情報漏洩です。
「メールのCCとBCCを間違えてしまった」「クラウドに保存した機密情報の公開範囲を間違えてしまった」など、初歩的なミスによって被害が生じてしまった事例は後を絶ちません。そのほか、端末本体の紛失・紙書類の誤廃棄といった理由もよく耳にします。
人間によるミスを100%なくすことは実質不可能です。よって、こういった被害を防止するためにはシステムによる仕組化が第一となります。
また、ミスが発覚した際に早期対応するための体制づくりなども重要です。
内部不正:従業員によるデータ持ち出し
情報漏洩の原因の3つ目は、「内部不正」です。実は、2023年の情報漏洩被害件数を大きく伸ばしてしまった一因としても注目されています。
内部不正とは、組織内部の従業員や元関係者などによっておこなわれる不正行為です。転職先に営業秘密を持ち出す、金銭目的で顧客データを窃取するといった事例が有名でしょう。
不正アクセスと違い、内部不正は正規のアクセス権を持ったユーザーによって引き起こされることが多いため、早期発見が難しいという課題があります。
組織内の操作に対する定期的な監査や、最小権限の法則に基づいたアクセス権制御などのシステム的な対策が有効ですが、内部不正を起こさせないためのセキュリティ教育といった人の面からのアプローチも根気強くおこなう必要があります。
外部攻撃による情報漏洩の事例
では、前項でご紹介した情報漏洩に関する3つの要因ごとに、実際に発生した事故事例をみていきましょう。
まずは、不正アクセスやマルウェア感染などの外部攻撃を由来とした情報漏洩事故を振り返ります。
株式会社KADOKAWAのランサムウェア被害
2024年6月、株式会社KADOKAWAの運営する「ニコニコ動画」をはじめとした主要サービス群に対し、ランサムウェアによるサイバー攻撃が確認されました。
| 対象 | 株式会社KADOKAWAのグループデータセンター |
|---|---|
| 時期 | 2024年6月8日 |
| 原因 | 従業員に対するフィッシング攻撃(推定) |
| 被害 | 個人情報合計 254,241件(2024年8月時点) |
犯行声明を出したハッカー集団は、約1.5TBのデータを盗んだと発表しています。
ハッカーによる犯行声明は往々にして誇張された内容であるケースが多いものの、KADOKAWAの子会社である株式会社ドワンゴの従業員情報や、運営するN高等学校などに通う生徒の個人情報などが流出したことはKADOKAWAも認めているようです。
本事案においては、KADOKAWAが提供する有料会員サービスの対象者に対する補填といった金銭的被害もさることながら、事案発生後の二次被害にも注目すべきポイントがあります。
実際には漏洩していないサービス会員のクレジットカード情報が漏洩したというデマや、サービスと連携していたMicrosoftアカウントが漏洩し、不正アクセス被害が広まっているといった根拠のない憶測がSNS上で飛び交っており、人々の混乱を煽っているのです。
KADOKAWA側は悪質な情報拡散者に対して法的措置を検討しているとしていますが、そういった対応をおこなうための工数も、間違いなく本事案の損失の一部といえるでしょう。
株式会社ニチイホールディングスのランサムウェア被害
2024年8月には、医療・介護事業などを展開するニチイホールディングス社もランサムウェア被害に遭っています。
| 対象 | 株式会社ニチイホールディングス、株式会社ニチイケアパレス、株式会社ニチイ学館 |
|---|---|
| 時期 | 2024年8月8日以降 |
| 原因 | 不明 |
| 被害 | 個人情報を含む約2.6万件のファイルが暗号化・開封不可 |
まずはじめにニチイホールディングス子会社のPC1台がランサムウェアに感染したことが確認され、その後計20台のPCにおいて被害が判明したとのことです。
ランサムウェアによって暗号化された約2.6万件のファイルの中には、同社の顧客や従業員などの個人情報が含まれていることがわかっています。
外部への情報流出や、Webサイトや基幹システムに対する被害はいまのところ確認できていないようですが、ニチイホールディングスは二次被害に対する専用問い合わせ窓口を設置するなど対応に追われています。
現時点(2024年9月)では感染経路や原因についても詳細はわかっておらず、鋭意調査中とのことです。
LINEヤフー株式会社の不正アクセス被害
2023年9月には、ポータルサイト「Yahoo!」の運営やコミュニケーションアプリ「LINE」を提供するLINEヤフー株式会社において、不正アクセス事案が発生しています。
本事案は、総務省からの行政指導がおこなわれたことでも大きな話題となりました。
| 対象 | LINEヤフー株式会社ほか関係企業数社 |
|---|---|
| 時期 | 2023年9月14日以降 |
| 原因 | 業務委託契約をおこなっていた保守会社のPCがマルウェアに感染 |
| 被害 | 合計519,506件(一部個人情報を含む) |
経緯は以下の通りです。
まずはじめに、LINE事業において深いつながりのある韓国NAVER社の子会社(NAVER Cloud社)と、セキュリティに関する業務委託契約を交わしていた保守会社のPCがマルウェアに感染しました。
その後当該PCが定期作業の一環としてNAVER Cloud社の管理者PCにリモート接続をおこなったことで、NAVER Cloud社内にマルウェアが持ち込まれ、同社と認証基盤を共通化していたLINEヤフー社にまで被害が及んだとのことです。
本事案は、LINEヤフー社とNAVER社・NAVER Cloud社間の依存関係が発生の一因といわれています。両社の資本関係上、NAVER社はLINEヤフー社の実質的な親会社であるため、適切な業務委託先管理を実施できなかったのではと指摘されているのです。
これらの企業の関係性はいささか特殊なものではあります。しかし「セキュリティ管理を他社へ委託し、適切な管理体制を敷いていなかったこと」「業務上便利だからと、一つの認証基盤であらゆるデータにアクセスできる体制にしていたこと」などは、多くの組織で心当たりがあるのではないでしょうか。
委託先管理の重要性や組織におけるガバナンスの大切さなど、本事案には教訓とすべき点が多く含まれています。
人的ミスによる情報漏洩の事例
次に、人的ミスによる情報漏洩の事例をみていきます。
株式会社ファーストリテイリングによる設定ミス
2024年1月、ユニクロなどを運営する株式会社ファーストリテイリングにおいて、個人情報の取り扱い不備が発覚しました。
| 対象 | 株式会社ファーストリテイリング |
|---|---|
| 時期 | 2024年1月 |
| 原因 | 個人情報の保存および閲覧設定のミス |
| 被害 | 調査中 |
本来個人情報の保護を意図していなかった情報システムにおいて、一部のユーザー情報を保存する設定となっており、一定期間一部の委託先事業者がそれらを閲覧できてしまっていたという事案です。
ファーストリテイリングは、事象発覚後ただちに情報システムへのアクセスを遮断し対応をおこなったとしています。また、いまのところ第三者による個人情報へのアクセスや持ち出しは確認できていないと説明しており、具体的な被害数を含めて調査をおこなっている途中のようです。(2024年9月時点)
本件は、情報システムの開発段階における仕様や、運用段階でのモニタリングに問題があったといわれています。被害が確認できていないとはいえ、一歩間違えれば大きな漏洩事故につながった可能性のある危険な事案といえるでしょう。
上智大学によるメール誤送信
2024年5月には、上智大学によるメール誤送信事故が話題となりました。
| 対象 | 上智大学 |
|---|---|
| 時期 | 2024年5月16日 |
| 原因 | 学生の個人情報を含むファイルを意図せず外部機関へ送信 |
| 被害 | 個人情報合計 13,949件 |
上智大学からの発表によると、留学プログラムの参加者リストを海外の協定校へ送付する際、リスト作成時に使用した個人情報を含むマスターデータごと添付してしまったということです。上智大学では、すでに当該リストの削除等は対応しているとしています。
本事案の恐ろしい点は、「別のプログラムの参加者リストを作成しているときに当該ファイルを発見した」という偶然がなければ発覚が遅れていた可能性もあるというところにあります。
一度送ってしまったメールを再度見直す機会はなかなかありません。メール誤送信による情報漏洩事故を防止および早期発見するためには、システム面や体制面で工夫する必要があることがわかります。
気仙沼市立病院でのデータ廃棄処理ミス
2024年8月、気仙沼市立病院の公式サイトにて、「市立病院における個人データの漏えいのおそれについて ─お詫び─」というお知らせが掲載されました。
| 対象 | 気仙沼市立病院 |
|---|---|
| 時期 | 2018年3月 |
| 原因 | 個人データが保存された端末を、データ削除をおこなわないまま誤って廃棄 |
| 被害 | 個人データ 48,615件(患者ID・カタカナ氏名、診療科、請求金額情報) |
投稿によると、病院移転をおこなう際、個人データが保存されたままのPOSレジ端末3台の廃棄を処分業者に委託してしまったとのことです。
端末のうち1台がフリマアプリで再流通した末、購入者が個人データに気づき市に相談したことから発覚しました。
通常、個人データを保管していた端末を処理する場合には、ハードディスクの物理的な粉砕といった特別な廃棄処理をおこなわなければなりません。
しかし、今回は廃棄を担当した病院関係者・廃棄を委託された事業者双方が個人データの存在を認識していなかったともいわれており、端末廃棄に対する病院内での意思疎通不足がミスにつながったものと考えられます。
内部不正による情報漏洩の事例
最後に、内部不正を原因とした直近の情報漏洩事故についてご紹介します。
東急リバブル株式会社の元社員による社内データ不正持ち出し
2024年8月に、東急リバブル株式会社の元社員による内部不正事案が公表されました。
| 対象 | 東急リバブル株式会社 |
|---|---|
| 時期 | 不明 |
| 原因 | 元従業員による、不動産登記簿情報など社内資料の不正持ち出し |
| 被害 | 東京都港区所在の一部マンション所有者情報 25,406件 |
元従業員が同業他社へ転職するにあたって、不動産登記簿に記載されている情報をまとめた社内資料を持ち出し、転職先でのダイレクトメール送信に利用していたという事案です。
同社は、退職する従業員に対して機密保持に関する誓約書を提出させていたと説明しています。しかし、結果的に誓約書が反故にされたという事実を鑑みれば、人の善意にだけ頼った対策では不十分だったといえるでしょう。
東急リバブルは今後、従業員教育の再実施とともにシステムによる監視強化やアクセス制限の見直しをおこなうと発表しています。
池袋パスポートセンターにおける個人情報の窃取
2023年の11月には、旅券課池袋分室(池袋パスポートセンター)における情報漏洩事件が発覚しています。
| 対象 | 旅券課池袋分室 |
|---|---|
| 時期 | 2020年5月~2023年3月 |
| 原因 | 窓口業務を委託していた民間業者の従業員が、付箋紙などを利用して個人情報を窃取 |
| 被害 | 個人情報合計 1,920件 |
池袋パスポートセンターでは、日々旅券発行手続きなどがおこなわれています。本事案では、手続き者またはその家族の氏名・住所・生年月日・電話番号などが、その窓口業務に従事していた元職員によって不正に持ち出されたということです。
持ち出した方法については、付箋紙への書き写しや会話の録音といったいわゆるアナログな手法であったといわれています。
都は今後、防犯カメラの増設や、職員が持ち込む私物は透明バッグに入れさせるといった対応をおこなうとしています。
情報漏洩というと、どうしてもデータでの持ち出しを想定してしまいがちです。しかし本事案のように、持ち出す手段は必ずしもデジタルであるとは限りません。
適切な情報漏洩対策をおこなううえでは、こういったアナログでの不正行為も視野に入れて検討する必要があります。
情報漏洩防止に有効な対策
ここまで、3つの要因にわけて実際に起きた情報漏洩事案をご紹介しました。
このような事故を未然に防ぐためにも、それぞれの事案から得られる教訓を生かし、いま一度自社の対応状況を確認してみてはいかがでしょうか。
ちなみに、情報漏洩を防ぐための基本的な対策としては、以下のような内容が挙げられます。
セキュリティ体制を強化する
ハッカーからの不正アクセスを防ぐためには、隙となる脆弱性を組織から極力なくすことが重要です。
・組織内にある端末のOSやソフトウェアを定期的にアップデートする
・私物のPCや未許可の外部デバイスの接続を禁止する
・ルールを設定し、パスワードの強度を高める
・専用ツールを導入する
実行力のあるセキュリティ強化をおこないたい場合は、専用ツールを活用したシステム面での制御が非常に有効です。
セキュリティ強化を目的とした専用ツールの例としては、IT資産管理ツールなどの統合管理ツールが挙げられます。
組織内の端末の所在や構成情報を逐一確認できるだけでなく、外部デバイスの接続制限やパッチ管理の自動化、操作ログの取得など、セキュリティ対策に必要な機能が概ね網羅されているため、まずは体制の基礎固めをおこないたい場合におすすめです。
とはいえ、IT資産管理ツールは多機能ゆえに、必要のない機能まで導入し無駄なコストをかけてしまうケースも多く聞かれます。
導入の際には、自社のセキュリティ強化に必要な機能はなにかをしっかり検討したうえで、なるべく過不足なく要件に合致するツールを選定するようにしましょう。
人的ミスをしないような運用を整備する
人的ミスによる情報漏洩を防ぐ場合は、 体制面での工夫とシステム面での支援が必要です。
体制面としては、当事者以外の人間によるダブルチェックをおこなうことなどが推奨されます。
例えばメール誤送信を防止したい場合は、メール送信前にTO・CC・BCC情報に間違いがないかを確認したり、他者からの承認が得られたファイルのみを外部へ送付できるようにしたりといったルール付けをおこなうとよいでしょう。
またクラウドサービスなどの設定ミスを防止したいのであれば、総務省が公開している「クラウドの設定ミス対策ガイドブック」を活用するのもおすすめです。
設定の際に気を付けるべきことやよくある設定ミス、設定ルールの作り方などが掲載されています。こういったものも参考にしながら、組織内の体制を整備しましょう。
しかし、人間の注意力だけでミスを回避するのは至難です。よって、人的ミスを防止するという観点でも専用ツールは大いに役に立ちます。
上長の承認などを経てメールを送信できるようにするものや、送信前にミスがないか確認するポップアップを表示するもの、メールの送信を一定期間保留できるものなど、メールの誤送信防止ひとつとってもさまざまなツールが存在しています。
そのほか、クラウドサービスの設定ミスをチェックできるCSPM(Cloud Security Posture Management)などのツールも有用です。必要に応じて、これらのツールの導入も検討してみてください。
内部不正をさせない仕組みをつくる
情報漏洩を防止するためには、従業員による内部不正行為にも目を光らせる必要があります。
内部不正を防止する仕組みを検討するうえでは、「不正のトライアングル」理論が役立ちます。
不正のトライアングルとは、1950年代にアメリカの犯罪学者によって提唱された「特定の3要素がそろった際に不正が発生する」という考え方です。
| 1.機会 | 不正をおこなう手段や環境があること |
|---|---|
| 2.動機 | 不正をおこなうにあたっての内的な要因 |
| 3.正当化 | 不正行為を合理化する思考 |
これら3つの要素がそろった際に不正がおこなわれるとすれば、それぞれの要素を満たさないようにすることが体制づくりの指針となります。
| 1.機会 | 不正をおこなえない環境・ルール設計 ・防犯カメラの設置 ・アクセス権限の最小化 ・定期的なログ監査 など |
|---|---|
| 2.動機 | 心理的ストレスの解消を促す組織づくり ・風通しの良い職場環境づくり ・適切な評価制度の設計 ・定期的なストレスチェックの実施 など |
| 3.正当化 | 個々の倫理観を育てる体制強化 ・セキュリティ教育の実施 ・組織に及ぼす被害や不正行為者のその後など、事例の共有 ・守秘義務に関する誓約書の提出 など |
もし自社内でまだおこなわれていない施策があれば、ぜひ上記を参考にしてみてください。
情報漏洩対策なら、IT資産管理ツールSS1/SS1クラウド
前述の通り、情報漏洩対策をおこなう場合はIT資産管理ツールなどの統合管理ツールの導入がおすすめです。
例えばIT資産管理ツールSS1
やSS1クラウドであれば、セキュリティ対策の基礎固めをおこなうと同時に、情報漏洩対策に必要なパッチ管理・デバイス制限・ログ取得なども実施可能です。
詳しい内容は、当サイト内のSS1導入事例記事にも記載しています。実際の活用方法や導入効果などが気になる方は、ぜひこちらの記事もご参照ください。
SS1LAB編集部IT資産管理ツールSS1/SS1クラウドを開発・販売している、株式会社ディー・オー・エスの営業企画部メンバーで構成されています。IT資産管理・ログ管理・情報セキュリティ対策など、情シス業務の効率化に役立つ最新トレンド情報を随時発信中!
