現代のデジタル社会において、”個人情報”は個人や企業が持つ最も貴重な資産の一つです。年々増加するサイバー攻撃により、このような情報が悪用されないよう保護する必要性が高まっています。
サイバー犯罪者は企業の機密情報に不正にアクセスし、盗んだデータをダークウェブで売買することがあります。ダークウェブに漏洩した情報は入札者に売却され、個人や企業の両方に深刻な影響を与える可能性があります。
本投稿では、情報漏洩対策の重要性とダークウェブの危険性を理解するために、情報漏洩の事例と対策について見ていきます。
ダークウェブとは?
ダークウェブとは、GoogleやYahooなどの従来の検索エンジンにインデックスされないインターネットの一部であり、Torブラウザなどの専用ソフトウェアを使用してのみアクセスできます。
ダークウェブは匿名性が高いため、サイバー犯罪者やハッカーがクレジットカード番号や個人情報、ログイン情報などを盗んで販売する場所となっています。企業は機密情報がダークウェブで売買されることを防ぐためにも適切な対策を講じる必要があります。
情報漏洩事例
1) オリンパス
オリンパスは2021年に北米および中南米の医療事業を統括する子会社での不正アクセスにより、顧客やパートナーの情報が漏洩した可能性があると発表しました。
被害の詳細は公表されていませんが、悪意のあるコードによる攻撃であるとされ、専門家からなる対策本部はサイバー攻撃と判断しています。
この不正アクセスにより子会社のサーバーが停止し、北米および中南米の医療機器およびサービスの販売に影響が及ぼしたと見られます。同社は状況が明らかになる度に関係者に通知するなどの対応を行っています。また、過去にもヨーロッパ、中東、アフリカの一部で悪意のあるコードによる不正アクセスが発生したことがあります。
この事例から学べるポイントは以下のとおりです。
● 悪意のあるコード攻撃は企業のシステムやデータに深刻な被害を与える可能性がある
● 関係者には状況が明らかになるとすぐに通知することが重要である
● 過去にも企業がサイバー攻撃の被害を受けた経験から、セキュリティ対策の重要性が浮かび上がっている
2) トヨタ自動車
トヨタ自動車株式会社は、テレマティクスサービス ‘T-Connect’ の顧客296,019人分の個人情報が漏洩した可能性があると発表しました。漏洩の原因は、このサービスのウェブサイト開発を委託された会社がデータサーバーアクセスキーを含むソースコードをGitHubに適当にアップロードしたためです。
漏洩した情報は電子メールアドレスや顧客管理番号などですが、名前、電話番号、クレジットカード情報には影響がないとされています。トヨタ自動車は影響を受けた可能性のある顧客には電子メールで連絡すると共に専用のフォームとコールセンターを設置し、情報漏洩の有無を確認するよう奨励しています。
この事例から学べるポイントは以下のとおりです。
● ウェブサイト制作を外部委託する際には、情報セキュリティに関する明確な指示と十分な説明が重要である
● ソースコードを公開する際にアクセスキーなど機密情報が含まれたファイルを誤って公開してしまうリスクがある
● 情報漏洩の可能性を顧客に通知し、関連情報を提供することは信頼回復に繋がる
3) 三菱電機
2021年3月26日、三菱電機株式会社は取引先の新規アカウント1,115件及びその個人情報が漏洩したと発表しました。漏洩したのは、ミツビシ電機インフォメーションネットワークとミツビシ電機株式会社が保管していた国内取引先151社の連絡先やアカウント情報です。
ハッカーは中国子会社から従業員のアカウント情報を盗み出し、Office 365に不正にログインすることで情報にアクセスしたと見られます。三菱電機は対策を講じると共に、再発防止に向けてセキュリティに対する対応を強化していると述べています。
この事例から学べるポイントは以下のとおりです。
● クラウドサービスの安全性を確保する重要性
● 不正アクセスの迅速な報告
● 不正アクセスなどの脅威を軽減するためのゼロトラストセキュリティ対策の重要性
4. 株式会社プラチナスタイル
株式会社プラチナスタイルが運営するオンラインレンタルサービスサイト「PARTY DRESS STYLE」で、クレジットカード会社から連絡を受けたことをきっかけに、不正な第三者がクレジットカード情報にアクセスした可能性が判明しました。
調査の結果、決済システムに操作された痕跡があり、8604件の顧客のクレジットカード情報が漏洩し、一部の顧客のカード情報が不正使用された可能性があることが分かりました。プラチナスタイルはサイトの脆弱性を改善するためにセキュリティを強化する一方、パスワードの変更を要請し、不正利用に注意を促しています。
この事例から学べるポイントは以下のとおりです。
●パスワードポリシー、2段階認証、定期的な脆弱性評価などの対策を通じてサイトのセキュリティを強化する必要がある
●クレジットカード情報は慎重に取り扱い、保管時には暗号化やデータマスキング処理を行うべきである
●被害を受けた利用者には被害の程度を迅速かつ正確に伝えるべきである
5) 熊本県立大学
熊本県立大学は、名誉教授のメールアカウントが不正にアクセスされて個人情報が漏洩したと発表しました。名誉教授は短いパスワードを使用しており、二要素認証の利用を義務化していないことが原因のようです。
不正アクセスは8月7日に発覚し、約1,000件の海外ログインに続いて教員や生徒3,537人の個人情報が漏洩する可能性があるとしています。同大学では今後の漏洩防止のため、パスワードの変更やウイルススキャン、警察による相談などの対策を実施しています。
この事例から学べるポイントは以下のとおりです。
●不正アクセスを防ぐためには、長く複雑なパスワードを使用する必要がある
●複数のサイトで同一のパスワードを使用しないようにする
●2要素認証の導入も重要である
●情報管理規則を明確にする必要がある
6. 長崎県あまがさき市
2022年6月、あまがさき市は全市民46万人分の個人情報が入ったUSBメモリ2つを紛失しました。USBメモリは市と協力関係にある下請業者の従業員が持ち出して酒に酔って紛失したと報告されました。
この事件で、業務委託先の管理不足やセキュリティポリシーの不備が露呈しました。漏洩は報告されていませんが、この事件は個人情報保護やセキュリティ対策を定期的に見直し、改善する重要性を強調しています。
機密情報を適切に取り扱い、個人情報漏洩を防ぐためには、アウトソーシングや業務委託先の管理が重要です。また、この事件は組織内のセキュリティ対策の重要性が高まっていることを強調しています。
7. Twitter
2022年8月、Twitterはハッカーが約540万人のユーザー個人情報を漏洩させたと発表しました。漏洩されたデータにはアカウントに関連するメールアドレスや電話番号などが含まれていました。
ハッカーは2021年6月のコード更新時にゼロデイの脆弱性を突いたと報告されました。この脆弱性は2022年1月に報告されましたが、Twitterが修正したのはサイバー攻撃後だったとされています。
漏洩されたデータはダークウェブの犯罪フォーラムで30,000ドルで売られました。Twitterは被害者に通知し、2要素認証の利用を推奨しています。ゼロデイ攻撃は防ぎにくいため、企業はデータ保護に注意し、最新のセキュリティ対策を取ることが重要です。
この事例から学べるポイントは以下のとおりです。
●定期的なセキュリティチェックを行い、脆弱性に対処する必要がある
●ゼロデイ攻撃に対する対策を練る必要がある
●ダークウェブの危険性を理解する必要がある
企業が機密データを守るためには、サイバー犯罪者の手口を理解し、強力なサイバーセキュリティ対策を講じることが重要です。しかし、情報漏洩が頻発する中、従来の予防策にとどまらない対策が必要とされています。ダークウェブの監視は積極的なアプローチでサイバー脅威を先取りする方法です。
自社の情報がダークウェブに漏洩しているかどうかを判断するため、弊社はダークウェブの漏洩状況調査を月に一度実施しています。これらの調査は『自社は安全か?』という悩みに答えるものです。
