今日のデジタル社会において、「個人情報」は個人や企業が持つ最も貴重な資産の一つです。年々増加するサイバー攻撃により、これらの情報が悪用されないよう保護する必要性が高まっています。
サイバー犯罪者は、企業の機密情報に不正にアクセスし、盗んだデータをダークウェブで売買するのです。ダークウェブに流出した情報は、入札者に売却され、個人と企業のいずれにも深刻な影響が及ぶリスクがあります。
本記事では、情報流出対策の重要性とダークウェブの危険性をご理解いただくため、情報流出の事例と対策を解説します。
ダークウェブとは
ダークウェブは、GoogleやYahoo!などの従来の検索エンジンではインデックスされないインターネットの一部であり、Torブラウザなどの専用ソフトウェアを使ってのみアクセスできます。
ダークウェブは匿名性が高いため、サイバー犯罪者やハッカーがクレジットカード番号や個人情報、ログイン情報などの盗難情報を売買する温床となっています。企業は機密情報がダークウェブで売買されるのを防ぐためにも、適切な対策をしなければいけません。
ダークウェブについては、下記記事で詳細に解説しておりますので、ぜひこちらも参考にしてください。
ダークウェブ監視とは? 重要度と仕組み、ツール選定のポイントを解説
情報流出の事例7選
ここからは、情報流出が企業にもたらす損失やその原因を具体的に理解できるように、7つの事例をご紹介します。
1.オリンパス
オリンパスは2021年、北米および中南米の医療事業を統括する子会社において、不正アクセスにより顧客やパートナーの情報が流出した可能性があると発表しました。
被害の詳細は発表されていませんが、マルウェアによる攻撃であることが確認されており、専門家で構成される対策本部はサイバー攻撃であると判断しています。
この不正アクセスにより、子会社のサーバーが停止し、北米および中南米における医療機器およびサービスの販売に影響が出た模様です。同社では、状況が明らかになり次第、関係者に通知するなどの対応を行っています。なおオリンパスでは、過去にも欧州、中東、アフリカの一部でマルウェアによる不正アクセスが発生したことがあります。
この事例から学べるポイントは以下の通りです。
● マルウェアによる攻撃は、企業のシステムやデータに深刻な被害をもたらす可能性がある
● 関係先には、状況が判明次第通知することが重要
● 過去にも同社がサイバー攻撃の被害を受けていることからも、セキュリティ対策の重要性が浮き彫りになっている
2.トヨタ自動車
トヨタ自動車株式会社は、テレマティクスサービス「T-Connect」の顧客296,019名分の個人情報が流出した可能性があると発表しました。流出の原因は、同サービスのウェブサイト開発を委託された会社が、データサーバーへのアクセスキーを含むソースコードを公開設定にしたままGitHubに不用意にアップロードしたことです。
流出した情報はメールアドレスや顧客管理番号などですが、氏名、電話番号、クレジットカード情報には影響がないことが確認されています。トヨタ自動車は、影響を受けた可能性のある顧客に電子メールで連絡するとともに、専用フォームとコールセンターを設置し、情報流出の有無を確認するように促しています。
この事例から得られる教訓は以下の通りです。
● ウェブサイト制作を外部に委託する際には、情報セキュリティに関する明確な指示と十分な説明を行うことが重要
● ソースコードを公開する場合、アクセスキーなどの機密情報が含まれるファイルを誤って公開してしまう危険性がある
● 情報流出の可能性があることを顧客に知らせ、関連情報を提供することは、信頼回復につながる
3.三菱電機
2021年3月26日、三菱電機株式会社は取引先の新規アカウント1,115件とその個人情報が流出したと明らかにしました。流出したのは、三菱電機インフォメーションネットワークと三菱電機株式会社に保管されていた国内取引先151社の連絡先やアカウント情報。
ハッカーは、中国の子会社から社員のアカウント情報を盗み出し、Office 365に不正にログインすることで情報にアクセスした模様です。三菱電機は対策を講じるとともに、再発防止に向けてセキュリティへの取り組みを強化するとのこと。
本事例から学べる教訓は以下の通りです。
● クラウドサービスの安全性を確保する重要性
● 不正アクセスの迅速な報告
● 不正アクセスなどの脅威を低減するためのゼロトラストセキュリティ対策の重要性
4.株式会社プラチナスタイル
株式会社プラチナスタイルが運営するオンラインレンタルサービスサイト「PARTY DRESS STYLE」において、クレジットカード会社から連絡を受けたことがきっかけで、不正な第三者がクレジットカード情報にアクセスした可能性があると判明。
調査の結果、決済システムが改ざんされた形跡があり、顧客のクレジットカード情報8,604件が流出、一部の顧客のカード情報が不正に使用された可能性があると分かりました。
株式会社プラチナスタイルでは、サイトの脆弱性を改善するため、セキュリティの強化を図るとともに、顧客にはパスワードの変更要請と不正利用に注意するように促しています。この事例から学べるポイントは以下の通りです。
● パスワードポリシー、二段階認証、定期的な脆弱性評価などの対策をして、サイトセキュリティを強化する必要がある
● クレジットカード情報は慎重に扱い、保管の際には暗号化やデータマスキング処理を行うこと
● 被害を受けたユーザーには、被害の程度を迅速かつ正確に伝えること
5.熊本県立大学
熊本県立大学は12月13日、名誉教授のメールアカウントが不正にアクセスされ、個人情報が流出したと発表しました。名誉教授は短いパスワードを使用しており、二要素認証の利用を義務付けられていなかったことが原因のようです。
不正アクセスは8月7日に発覚し、約1,000件の海外ログインにつながり、教員や学生3,537名の個人情報が流出する可能性があるとのこと。同大学では、今後の流出を防ぐため、パスワードの変更やウイルススキャン、警察への相談などの対策を行っています。
本事例からの教訓は以下の通りです。
● 不正アクセスを防止するために、長く複雑なパスワードを使用すること
● 複数のサイトで同じパスワードを使用しないこと
● 二要素認証の導入も重要
● 情報管理ルールを明確にすること
6.兵庫県尼崎市
2022年6月、尼崎市は全市民46万人分の個人情報が入ったUSBメモリ2本を紛失しました。USBメモリは、市と協力関係にある下請け会社の従業員が持ち去り、酔ったところ紛失したとのこと。
この事件により、業務委託先の管理不足とセキュリティポリシーの不備が明らかになりました。情報流出は報告されていませんが、この事件は個人情報を保護し、セキュリティ対策を定期的に見直し、改善することの重要性を浮き彫りにしています。
機密情報を適切に取り扱い、個人情報流出を防ぐためにアウトソーシングや業務委託先を管理することが肝心です。また、今回の事件は、組織内のセキュリティ対策の重要性が高まっていることを浮き彫りにしています。
7.Twitter
2022年8月、Twitter社はハッカーが約540万人のユーザーの個人情報を流出させたと発表しました。流出したデータには、アカウントに関連する電子メールアドレスや電話番号などが含まれていました。
ハッカーは、2021年6月のコード更新時にゼロデイ脆弱性を突いたと報告されています。この脆弱性は2022年1月に報告されたものの、Twitterが修正したのはサイバー攻撃が行われた後でした。
流出したデータは、ダークウェブの犯罪フォーラムで30,000米ドルで販売されました。Twitterは被害者に通知し、二要素認証の利用を推奨。ゼロデイ攻撃は防ぐことが難しいため、企業はデータ保護に警戒し、最新のセキュリティ対策を講じることが重要です。
また、企業はダークウェブの存在とリスクを理解し、重要なデータを保護するための対策を講じる必要があります。万が一、ダークウェブで個人情報が販売された場合は、被害者に速やかに報告する必要があります。
本事例で学べる教訓は以下の通りです。
● 定期的にセキュリティチェックをして脆弱性に対応する
● ゼロデイ攻撃への対策をする
● ダークウェブの危険性について理解する
情報流出対策が必要な理由
情報漏流出は、ブランド毀損や顧客の信頼失墜、金銭的損失など企業に大きな損害を与えます。こうした損失は、企業の存続に深刻な影響を及ぼしかねません。
そして企業の規模や業種にかかわらず、情報流出リスクは常に存在します。実際、私たちがダークウェブ監視ツール「DarkTracer」を用いた調査では、調査した日本の主要企業100社すべてで情報流出が確認されました。
適切なセキュリティ対策を実施していても、情報流出のリスクはあり、知らないうちにダークウェブ上で自社の機密情報が取引される可能性は高いです。そのため、セキュリティソフトの導入だけでなく、適切な情報対策を実施し、被害範囲を最小限に抑えなければいけません。
企業がダークウェブへの情報流出を防ぐ方法
ダークウェブへの情報流出は、データの盗難、金銭的損失、企業の評判の低下など、深刻な事態を招く可能性があるため、組織にとって大きな関心事となっています。ここでは、ダークウェブへの情報流出を防ぐための4つの方法を紹介します。
ソフトウェアの導入
ダークウェブへの情報流出を防ぐには、アンチウイルスソフトやファイアウォール、侵入検知システム(IDS)、仮想プライベートネットワーク(VPN)などのサイバーセキュリティソフトの導入が必要です。
例えば、リモートワークを導入している企業では、社員が自宅から会社のデータにアクセスします。しかし、適切なセキュリティ対策がなければ、ハッカーによって機密情報が盗まれる危険性が高いです。VPNは、暗号化された接続を介してリモートサーバーに接続することで、インターネットへの安全でプライベートな接続を提供し、潜在的なサイバー攻撃から機密情報を保護します。
まずは自社の機密データやニーズに適したセキュリティソフトを導入することが重要です。
従業員教育
事例で示されたように、多くの情報漏洩は従業員のミスによって発生しています。そのため、組織は従業員を教育し、機密データの取り扱いに関するルールを徹底することが不可欠です。
具体的には、強力なパスワードの使用やフィッシング詐欺の回避、データの適切な保管と廃棄などを教えましょう。また、新たな脅威やリスクについて従業員に周知させるため、トレーニングは継続的かつ定期的に更新する必要があります。
ダークウェブの監視
経済産業省の調査によれば、8割以上の企業がサイバーセキュリティ対策を実施しています。しかし、ご紹介した事例や私たちの調査が示すように、多くの企業がセキュリティ対策をしているにもかかわらず、情報流出の被害を受けているのが現状です。
サイバー攻撃は急速に進化しているため、企業は攻撃を防ぐと同時に被害を軽減するためのアプローチを採用する必要があります。被害軽減のための有効な手段のひとつが、ダークウェブ監視です。
ダークウェブ監視とは、企業の機密情報がダークウェブに流出していないか、専用ツールを使って確認すること。ダークウェブを定期的に監視することで、企業は潜在的なデータ侵害や流出の迅速な特定と対応ができるため、被害を最小限に抑えられます。
実際、ダークウェブの監視は、急速に進化する今日のデジタル環境において、効果的なサイバーセキュリティ戦略の不可欠な要素となっています。
セキュリティ診断
サイバー攻撃者に容易に悪用される脆弱性を特定し、対処するためには、定期的なセキュリティ診断が重要です。米国の大手セキュリティ企業であるパロアルトネットワークスの調査によると、脆弱性はサイバーセキュリティ攻撃の2番目に多い原因となっています。
システムやネットワークの弱点は、潜在的な情報漏洩につながる可能性があり、研究では4,400件のテストのうち95%で脆弱性が発見されています。ダークウェブへの情報流出のリスクを軽減するために、企業は定期的にセキュリティ評価を行い、脆弱性を悪用される前に特定し対処する必要があります。
セキュリティ診断については、下記記事で詳細に解説していますので、ぜひこちらもご参考にしてください。
まとめ
企業の機密データを守るためには、サイバー犯罪者の手口を理解し、強力なサイバーセキュリティ対策を実施することが重要です。しかし、情報流出が頻発する中、従来の予防策にとどまらない対策が必要不可欠となっています。ダークウェブ監視は、サイバー脅威を先取りする積極的な方法です。
自社の情報がダークウェブに流出しているかどうかを判断していただくために、弊社はダークウェブ流出状況調査を毎月限定的に実施しています。これらの調査は、「自分の会社は安全か?」というお悩みに答えるものです。自社データの安全性に不安をお持ちの方は、以下のフォームからお申し込みください。