個人情報漏洩対策、5つのポイントと過去の実例を紹介 ~外部攻撃編~
昨今、外部攻撃による個人情報漏洩事故が頻発し、話題となっています。株式会社東京商工リサーチの調査(※)によると、2021年に発生した情報漏洩事故件数のうち、「ウイルス感染・不正アクセス」を要因としたものが最多で、約5割を占めました。これは、調査開始以来の10年間で最多の発生数(68件・66社)で、3年連続で最多更新となっています。企業が高度なセキュリティ対策を講じているにもかかわらず、海外から攻撃を仕掛けられるなど手口は日ごとに巧妙になっているのが現状です。
そこで本記事では、外部攻撃により発生する個人情報漏洩事故の対策や事例について、分かりやすく解説します。
(※参考:https://www.tsr-net.co.jp/news/analysis/20210117_01.html)
外部攻撃で起こる個人情報漏洩とは?
個人情報漏洩事故の要因は、人為的ミスによるものと外部攻撃によるものの2種類があります。メールの誤送信や情報の紛失といった企業内部から発生する人為的ミスは、従業員教育の徹底や社内のルールを整備することで一定の対策を行うことができます。しかし、不正アクセスやウイルス感染といった外部攻撃は、企業が予期せぬ場所やタイミングで仕掛けられるため、専門的な対策が求められます。
また、昨今の事故の特徴として、企業規模の大小にかかわらず攻撃されている点が挙げられます。個人情報を取り扱うすべての企業がターゲットになっているのです。
2022年4月には改正個人情報保護法が施行され、求められる個人情報保護対策が強化されています。企業が安心・良好な経営を継続していくために、個人情報漏洩事故対策は最優先事項の一つといえるでしょう。
「外部攻撃」で起こる個人情報漏洩の対策
ここでは、5つのポイントを紹介します。
1. システムの脆弱性を定期的にチェック
外部攻撃はシステムの脆弱性を狙って攻撃を仕掛けてくるため、まずは自社のシステムやWEBサイトが適切なセキュリティ体制をとれているか、脆弱性がないかを確認します。
脆弱性診断には大きく分けて、「ツール診断」と「手動診断」があります。ツール診断は費用を抑えて診断する場合や開発時に手早く検査したい場合におすすめです。また、手動診断はツール診断と比較して工数が掛かるとされていますが、箇所によって深く、精度の高い診断が可能です。様々な選択肢がありますので、自社にあった方法を検討するようにしましょう。
サイバー攻撃の手法は常に更新されています。社内のシステムやWEBサイトがそれらに対応できるかどうか、最新の情報を収集し、定期的に確認する必要があります。もし不十分だと判断した場合は、システムや体制の見直しを行いましょう。
2. セキュリティ製品の導入
ウイルス対策ソフトウェアをはじめとしたセキュリティ製品の導入は、基本的かつ有効な個人情報漏洩対策です。しかし、セキュリティ製品にも様々な種類があるため、自社に必要な機能を選ぶ必要があります。複数の製品を導入して、防御を強化するのも一案です。
また、導入後はソフトのアップデート更新を適切に行う必要があります。複数端末を一括管理できるソフトを選び、担当部署でアップデートを常に管理できるようにしておくと良いでしょう。
3. ID/パスワードの適切な管理
パスワードを狙った攻撃には、考えられる限りのパスワードの組み合わせを試してログインを試みようとする手法や、どこかで入手したものを様々なサイトで試すといった類があります。被害を防ぐためには、桁数・文字の組み合わせパスワード強度を高いものとする、他人が予測しやすいものは避ける、ID/パスワードを複数のサイトで使い回さないなどの対策が挙げられます。
なお、パスワードの定期変更については、実際にパスワードを破られアカウントが乗っ取られたり、サービス側から流出した事実がなければ、変更する必要はありません。むしろ定期的な変更をすることで、パスワードの作り方がパターン化し簡単なものになることや、使い回しをするようになることの方が問題となる為、現在は定期変更は推奨されていません。
一方で、漏洩発生時またはそのおそれが発生した場合には、速やかにパスワード変更するようにしましょう。
4. アップデートの定期的な実行
ウイルスやマルウェアは常に新しいものが登場しており、実際にアップデートを怠ったことによりウイルスの発見が遅れ被害に至ったという事例も報告されています。パソコンのセキュリティを保持するためには、パソコンのOSと各種ソフトウェア、2つのアップデート管理が必要で、常に最新の状態でなければなりません。そのためにも、自動的にアップデートするシステムや定期的にアップデートを確認する仕組みを構築する必要があるでしょう。
5. テレワーク時の適切な認証方式の導入と制限を行う
テレワーク時は、社内にいるときよりもセキュリティ環境が脆弱になってしまいます。そのため、適切な対策を行いリスクを減らす必要があります。具体的には、多要素認証を導入して認証レベルを上げる、情報のセキュリティレベルに応じてデータへのアクセス制御などを行う方法などが有効です。
また、フリーWi-Fiはセキュリティレベルが低く情報流出の可能性があるため、使用を避けることを社員に周知しましょう。
また、対策の角度が異なりますが、テレワークの開始時には改めて情報の取り扱いについての誓約書を締結するなどの手法も有効です。在宅勤務の際には同居人(家族・ルームシェア)への情報管理・取り扱いについても言及しておくとよいでしょう。
「外部攻撃」による個人情報漏洩の事故事例
日々新しい手口によって起こる外部攻撃。その対策には、最新の情報を収集しておく必要があり、事例からも学ぶことができます。次に、最近の事故事例を見ていきましょう。
1. 株式会社ネットマーケティング/婚活アプリから退会済み利用者を含む約171万件のデータが流出
2021年5月21日、同社が提供する恋活・婚活マッチングアプリ「Omiai」の管理サーバーがサイバー攻撃を受け、アプリ会員登録者の個人情報が外部流出した可能性があることが明らかになりました。年齢確認書類として提出された免許証や保険証、マイナンバーカードの表面を撮影した画像データ171万1,756件の情報が流出したとし、これには既にアプリを退会したユーザーのデータも含まれていたということです。
同社は対応策として、攻撃者の接続元を遮断し、情報へのアクセス規制を強化、「退会後一律10年間」としていた情報の保存期間を「退会後90日間」に変更する運用を開始しています。
2. 株式会社メタップスペイメント/決済カードの情報が流出し報告書の改ざんが判明
同社は2022年2月28日、同社で発生したサイバー攻撃の調査結果として、情報流出の可能性があると公表しました。
流出の可能性があるとされたのは、最大で46万395件のクレジットカード情報およびコンビニやペイジー等の決済情報および加盟店情報。同社によると、2021年8月2日〜2022年1月25日の約6ヵ月にわたり、決済データセンター内に設置されていたアプリケーションの脆弱性を狙った不正アクセスが行われました。結果、トークン式カード情報、コンビニやペイジー、電子マネー等の決済情報、加盟店情報を格納した3つのデータベースから情報流出が発生。なお、今回の件により、WEBアプリケーション脆弱性診断の報告書の改ざんが判明し、経済産業省は2022年6月30日、同社に対して割賦販売法に基づく業務改善命令を出しました。
3. 株式会社SOD/インターネットショップから約275万件の顧客情報が漏洩
2022年6月15日、同社が運営するスニーカー売買サイト「SNKRDUNK」がサイバー攻撃を受けた影響で、被害サービスのデータベースに登録されていた顧客情報約275万件および口座情報10件が流出した可能性があると公表しました。漏洩した可能性のあるデータは、氏名、生年月日、メールアドレス、住所、電話番号、購入情報、口座情報、パスワードで、クレジットカード情報や本人確認書類の漏洩はないと発表。
同社は直ちに不正アクセス元のブロックなどの措置を講じましたが、発覚から約1週間程度で事実を公表し、謝罪しました。
外部攻撃による個人情報漏洩事故を防ぐには、継続的な対策が必要
このように、外部攻撃による個人情報漏洩事故はすべての企業に起こり得る可能性があり、その被害やリスクは高まる一方です。日々進化する外部攻撃への対策には決定打がなく 「いたちごっこ」状態となっていますが、現時点では定期的かつ最新の対策を講じる他ありません。前回「人為的ミス編」で解説した対策と合わせて、個人情報漏洩事故を防いでいきましょう。
適切な対策を講じるには、高度なIT知識と最新の情報、そして迅速性が必要です。社内で対応しきれない場合には、情報セキュリティコンサルティングサービスの「Coach MAMORU」(株式会社日本パープル提供)など、外部の専門サービスを利用して進めることをおすすめします。
