今日のデジタル社会ではデータは大きな資産となっています。それゆえに、サイバー犯罪者は企業が保有するデータを盗み取り第三者へと売買しているのです。
企業規模や業種に関係なく、あらゆる企業がデータ漏洩のリスクに直面しています。実際に弊社がダークウェブ調査ツール「ステルスモール(StealthMole)」を用いて、ダークウェブ流出調査を実施したところ、すべての企業で流出が確認されました。
データ漏洩のリスクを認識し、適切な対策を講じるには、実際の事例を見るのが有効です。そこで本記事では、実際に起きた情報漏洩の事例と原因・対策を解説します。
ChatCPT
急激にユーザー数を伸ばしているChatGPTですが、多くのユーザーが使用しているため、サイバー攻撃の標的になっています。グループ-IBの調査によれば、マルウェアの一種であるInfostealer(インフォスティーラー)によってChatGPTユーザーアカウントの情報が漏洩したとのこと。
機密情報が売買されるダークウェブでは、合計101,134件のChatGPTの認証情報が発見され、アジア太平洋地域が最も影響を受けていたそうです。ChatGPTは便利なツールですが、個人アカウントや機密情報が流出するリスクがあります。
そのため、ChatGPTをビジネス目的で使用する企業は、機密情報の入力を避け、ChatGPTのパスワードを定期的に更新し、二要素認証(2FA)を有効にするなどのセキュリティ対策の導入がおすすめです。
産業技術総合研究所
国立研究開発法人の産業科学技術研究所から、技術情報が中国企業に漏洩する事件がありました。この事件で逮捕されたのは、中国国籍の研究主任であるゴン・ヘンダオです。職場で中国企業と数通の電子メールを交換していたことが明らかになりました。
発表によれば、容疑者は2018年4月に、参加していたフッ化合物の合成技術に関連する研究データを電子メールで中国企業に送信して、企業機密を漏洩したと疑われています。
捜査官によれば、中国企業は化学製品製造企業で、産業技術総合研究所が位置するつくば市に日本の代理店を持っているとのこと。この事件は内部犯行の典型的な例です。
IPAの「企業における営業秘密管理に関する実態調査2020」報告書では、情報漏洩ルートの36.3%が「中途退職者による漏洩」と判明しており、内部が原因の情報漏洩は非常に多いです。内部監査体制の構築やセキュリティポリシーの徹底などが有効な対策になるでしょう。
トヨタ自動車
2023年7月12日、トヨタ自動車株式会社は「T-Connect」と「G-Link」を利用するユーザーから収集した約230万人分の個人データが、約10年間にわたり外部からアクセス可能だったことを発表しました。
この事件の原因は、クラウド環境の誤設定です。T-ConnectとG-Linkに関連する個人データの取り扱いを委託した際、クラウド環境の誤設定により、両サービスのサーバーが一般公開されてしまったとのこと。
具体的には、T-Connectのサーバーは2013年11月から2023年4月まで、G-Linkのサーバーは2015年2月から2023年5月まで、約10年間にわたり一般の人々に対して公開され、約230万人分の個人データが外部に公開されている状態だったのです。
トヨタは、この事件の原因を調査し、技術的な安全管理対策・人間による安全管理対策・契約業者のマネジメントの3つが原因であると結論づけました。再発防止策として、以下の措置を講じています。
● 従業員へのクラウド環境での個人データ取り扱いルールの徹底教育の強化
● クラウド設定が一般公開されないように監視するシステムの導入
● 契約業者に対し、個人データのセキュリティに影響を及ぼす可能性のある取り扱いを強化する措置の要請
さらに、自社のクラウドサーバーに類似の事件が発生していないかを継続的に監視し、問題や問題の兆候が見つかった場合には適切な対策を講じる予定です。また、個人情報保護委員会からの指導を受け、データセキュリティと再発防止策の適切な実施を強調しました。
トヨタ自動車のような大企業でも、内部ミスによる情報漏洩が起きています。特に今回のケースに関しては、契約業者のミスという点に注目しましょう。
サーバー運営や製品開発など、あらゆる業務場面で外部に委託するケースが増加しています。しかし、契約業者のセキュリティ対策や意識が甘ければ、契約業者から情報漏洩が発生してしまうのです。
契約業者のセキュリティ対策を完全に管理するのは困難なため、適切な委託先の選定や定期的な監査などが求められます。
内閣サイバーセキュリティセンター
2023年8月4日、内閣サイバーセキュリティセンターは、電子メール関連システムに不正アクセスがあったことを発表し、一部の個人情報を含む電子メールデータが外部に漏洩した可能性があることを明らかにしました。
2023年6月13日、不正アクセスの痕跡が電子メール関連システムで発見されたことをきっかけに、電子メールの漏洩が判明しました。6月21日には、調査を実施したメンテナンスおよび運用会社が機器の脆弱性が不正アクセスを招いたと推測します。
その後、外部の専門組織による調査が実施され、2022年10月初旬から2023年6月中旬までの8か月間にインターネット経由で送受信した一部の個人情報を含む電子メールデータが外部に漏洩した可能性があるとわかっています。
内閣サイバーセキュリティセンターによれば、不正アクセスの原因は「製造元によって確認されていなかった機器の脆弱性」とのこと。数多くの調査で、ソフトウェアや機器の脆弱性がサイバー攻撃の入り口になることがわかっているため、定期的な更新などをして既知の脆弱性を解消しましょう。
LinkedIn
2021年6月、ビジネスパーソン向けのSNS「LinkedIn」のユーザー約700百万人に関連するデータが、ダークウェブフォーラムに掲載されたことが確認されました。この数はユーザーベースの90%以上にも及ぶとのこと。
この事件のハッカーである「God User」という人物は、サイト(および他のサイト)のAPIを悪用してデータスクレイピング技術(ウェブサイトやデータベースなどのオンライン情報源からデータを自動的に収集するプロセス)を使用し、約5億人の顧客データを保存しました。
その後、ハッカーは顧客データベースの90%以上である7億人分のデータを販売していると公表したのです。LinkedInは、機密情報やプライバシーに関連する個人データが流出していないため、この事件はデータ侵害ではなく、利用規約の違反であると主張しています。
しかし、God Userが投稿したデータのサンプルには、電子メールアドレスや電話番号、地理情報、性別、その他のソーシャルメディアの詳細などが含まれていました。例えば、これらの情報がほかのサイバー犯罪者の手に渡れば、説得力の高いソーシャルエンジニアリング攻撃が仕掛けられるかもしれません。
この事件の原因は、サイバー犯罪者の悪用を容易に許したAPIの脆弱性だと考えられます。脆弱性は大きな情報漏洩につながるため、定期的な更新による解消が重要だとわかる事件です。
まとめ
事例を見てきてわかるように、サイバー攻撃や内部犯行など様々な原因により情報漏洩が起きているため、自社に適したセキュリティ対策を講じることが必要です。また、漏洩したデータはダークウェブで売買されていることもわかりました。
ダークウェブに自社情報が掲載されることで、他のサイバー攻撃や機密情報の悪用などさらなる被害を招きます。だからこそ、定期的なダークウェブ監視をして、迅速に被害状況を把握し、適切な対策を講じなければいけません。
弊社は毎月「10社限定」で無料のダークウェブ簡易調査を実施しております。「自社情報は漏洩していないだろうか」と少しでも不安になった方は、ぜひ下記フォームより無料調査へとお申し込みください。
