Written by 伏見みう
エンジニアとしてEVやHEV、産業用設備の研究開発職に従事していた。退職後は北欧デンマークで1年過ごし、現地の風力発電設備などを見学。現在はフリーランスとして活動している。
目 次
情報漏洩の主な原因となる、外部攻撃・内部不正・人的ミスとは?
「外部攻撃」による、情報漏洩の事例3選
「内部不正」による、情報漏洩の事例3選
「人的ミス」による、情報漏洩の事例4選
企業の情報漏洩事件は増加しており、2023年には最多に
従業員が意識すべき、情報漏洩対策の例
企業の内部不正・人的ミスによる情報漏洩対策なら、「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください
まとめ
本記事では、実際に国内で発生した「10の情報漏洩事例」を、原因別にご紹介します。
企業・組織が保有する価値ある機密情報を狙った、情報漏洩事件が国内で多発しています。 ひとたび重要な情報が漏洩すれば、損害賠償を請求されたり、企業としての信頼を失ったりと、大きな損害を被ることになります。
組織の情報漏洩対策として「サイバー攻撃への対策」は勿論欠かせませんが、従業員が悪意を持って情報を盗む「内部不正」や、メールの誤送信やスマホ端末の紛失等による「人的ミス」が原因の情報漏洩事故にも、十分な対応が必要です。
▼この記事でわかること
- 情報漏洩の原因は、大きく分けて外部攻撃・内部不正・人的ミスの3種類
- 東京商工リサーチが発表した2023年の情報漏洩の原因の内訳を見ると、外部攻撃である「ウイルス感染・不正アクセス」が半数以上を占めているものの、人的ミス、内部不正の割合も増加している
- 個人情報が流出すると、企業は損害賠償責任を問われるだけでなく、信頼低下やシステムの停止など、営業活動そのものの存続が脅かされるリスクもある
- ユーザー側の影響としては、アカウントの乗っ取りや個人情報の不正利用などが想定される
- 企業が行うべき対策として「従業員へのポリシー周知とセキュリティ教育」「従業員との書面の取り交わし」「クラウドのセキュリティ設定・認証方法の見直し」「IT資産管理やMDMツールの活用」などが挙げられる
情報漏洩の主な原因となる、外部攻撃・内部不正・人的ミスとは?
以下では、情報漏洩の3つの主な原因である
1.外部攻撃
2.内部不正
3.人的ミス
についてご説明します。
1.外部攻撃
情報漏洩事件のうち、最も大きなウェイトを占めるのが、ハッキングやマルウェア感染といったサイバー攻撃(外部攻撃)による被害です。
攻撃者はターゲットのOSやソフトウェア、クラウドサービス等の脆弱性(セキュリティ上の欠陥)を悪用し、不正アクセスやマルウェア感染を通じて、組織の大切な情報を盗み出します。
また近年ではテレワークが普及したことによる「VPN機器の脆弱性」を狙った犯行や、セキュリティ体制の脆弱な中小企業を対象とする「サプライチェーン攻撃」による事件も増加しています。
外部攻撃による情報漏洩を防ぐためには
・セキュリティソフトウェアや侵入検知システムの導入
・OSやソフトウェアのこまめなアップデート
・従業員へのセキュリティ意識向上トレーニング
・多要素認証や強力なパスワードポリシーの採用
など、強固なセキュリティ体制の構築に取り組むことが重要です
2.内部不正
内部不正とは、企業内部の関係者により、個人情報や機密情報が不正に扱われることを指します。
具体的には
・情報へのアクセス権限をもつ社員が、入手した情報を不正に持ち出す
・退職者が社内の顧客リストや企業機密を盗み、転職先に流用する
などの行為が内部不正にあたります。
内部不正による情報漏洩は、企業に対する報復や自身の利益を目的に、故意に行われるケースが大半です。対策として、アクセスログの監視やアクセス権限の最小化、内部不正のアラート通知などが有効です。
3.人的ミス
人的ミス(ヒューマンエラー)により、企業・組織の機密情報が漏洩するケースも珍しくありません。
人的ミスの特徴として「意図せず情報を漏らしてしまう」ことが挙げられ、事例として以下のような行動があります。
・メールの宛先を間違え、機密情報を送信してしまう
・会社支給のPCやスマホ端末、USBを電車や飲食店に置き忘れる・紛失する
・情報の公開設定を間違え、第三者に情報を見られる
対策として、従業員への定期的なセキュリティ教育や訓練の実施、情報資産の取り扱いに関するガイドラインの策定、データ暗号化などの物理的な施策が効果的です。
以降では「外部攻撃」「内部不正」「人的ミス」それぞれに起因する、国内で過去発生した情報漏洩の事例についてご紹介します。
「外部攻撃」による、情報漏洩の事例3選
業種、企業規模を問わず、サイバー攻撃による情報漏洩事件が多発しています。以前は不特定多数をターゲットとする「ばらまき型」の攻撃が多数を占めましたが、近年はより資産力をもつ大手の組織をターゲットとした「標的型攻撃」が頻繫に発生しています。
以下では「外部攻撃」による、情報漏洩の事例を3つ紹介します。
1. 生協にてランサムウェア攻撃、約49万人の個人情報漏洩が流出した危険性
| 企業 | 市民生活協同組合 |
|---|---|
| 被害時期 | 2022年10月 |
| 原因 | ネットワーク機器の脆弱性を悪用したランサムウェア攻撃 |
| 被害内容 | 約49万人の氏名、住所、電話番号やメールアドレス、口座情報や購入履歴、出資金などの個人情報が漏洩した可能性がある |
2022年10月、市民生活協同組合の基幹システムサーバ、ファイルサーバ、販売管理システムサーバ内の各種ファイルがランサムウェア攻撃を受け、顧客情報が暗号化。既に脱退した組合員を含む、約49万人の個人情報漏洩が懸念される被害が発生しました。
原因はネットワーク機器(VPN)の脆弱性であり、システムトラブルが発生したことで事件が発覚。攻撃者は、内部情報を収集した上でランサムウェアを横展開し、サーバ内部におけるほとんどのデータが、暗号化されたとのことです。
発覚後、同組織ではバックアップからの復旧を目指しましたが、バックアップ自体も暗号化されていたことから、復号が困難であることが判明。さらに個人配達やクレジットカード決済の中止など、業務にも大きな支障が生じました。
2.自動車メーカーのサーバ機器へ不正アクセス、10万件の個人情報が漏洩
| 企業 | 大手自動車メーカー |
|---|---|
| 被害時期 | 2023年9月 |
| 原因 | サーバ機器に外部から不正アクセス |
| 被害内容 | グループ会社や取引先を含めた、氏名や所属などの個人情報が10万件以上流出した可能性がある |
2023年9月、大手自動車メーカーが不正アクセスを受け、同社が保有する個人情報約10万件が流出する事件が発生しました。
攻撃者は同社のアプリケーションサーバーの脆弱性を突いて侵入し、情報管理システムへ不正アクセスを行ったとのこと。対象システムには自社をはじめグループ企業や取引先担当者など、10万件を超える氏名や所属、連絡先・ユーザーIDなどの個人情報が含まれていたとのことです。
同社はこれらの個人情報を悪用した、フィッシングメールやスパムメール等の注意喚起をおこなうとおもに、再発防止策として、セキュリティ体制の改善、Webサイト及びネットワークの監視体制強化などに取り組むとしています。
3. マルウェア感染、大手SNSサービスにて約44万件の個人情報が流出
| 企業 | 大手SNS会社 |
|---|---|
| 被害時期 | 2023年11月 |
| 原因 | 大手SNS会社と技術協力をしている企業の子会社の取引先のコンピューターがマルウェアに感染し、共通の認証基盤を使用していた大手SNS会社のサーバも攻撃を受け、不正アクセスが行われた |
| 被害内容 | SNSサービスの利用者情報、約44万件流出した可能性がある |
2023年11月、大手SNS会社が不正アクセスを受け、個人情報の約44万件が流出した可能性があるとされた事件です。利用者の個人情報約30万件に加え、取引先の関連情報が9万件弱、従業員の関連情報が5万件強、外部に漏れた可能性を示唆されています。
事件の発端は、大手SNS会社と技術協力をしている企業の子会社の取引先コンピューターが、マルウェアに感染したことです。大手SNS会社と技術協力を行っていた企業は、一部のシステムを共通化していたため、今回大手SNS企業のサーバも不正アクセスに巻き込まれる事態となりました。
同社は10月に不審なアクセスを検知した後、サーバへのアクセスを遮断、アクセス権のある社員のパスワード変更および再ログインを実施することで、対策を図ったとのことです。また再発防止策として、システムの共通化している現状環境について、見直す方針を提示しています。
「内部不正」による、情報漏洩の事例3選
次に「内部不正」による、情報漏洩の国内事例を3つご紹介します。
1. 大手通信会社の子会社、元派遣社員が約900万件の顧客情報を不正流出
| 企業 | 大手通信会社 |
|---|---|
| 被害時期 | 2023年10月 |
| 原因 | 元派遣社員がクライアントから預かっていた顧客情報を不正に持ち出された |
| 被害内容 | 顧客の氏名、住所、電話番号などの個人情報約900万件が流出した |
2023年10月、大手通信会社にて顧客情報約900万件が、内部不正により流出する事件が発生しました。
情報を持ち出したのは、同社がコールセンター用システムの運用保守を依頼する、パートナー企業の元派遣社員。システムの管理アカウントを用いてデータが保存されるサーバーへとアクセスし、名前や住所、電話番号などの個人情報が含まれた34個のファイルデータを、ダウンロードしてコピーしたとのことです。
盗んだ個人情報は、東京の名簿業者にメールで送ったとされ、犯人は顧客情報売買により、過去2000万円以上の利益を得ていたと推測されます。
同社では今後、情報管理体制を再点検するほか、情報の取り扱いに関する社員教育を徹底し、再発防止を図るとしています。
2.大手商社の従業員、前職のサーバーから営業機密を不正に持ち出し
| 企業 | 総合商社 |
|---|---|
| 被害時期 | 2023年9月 |
| 原因 | 従業員が前職のデータベースに他の従業員のID・パスワードを用いて不正アクセス |
| 被害内容 | 新製品の提案書や採算表、営業秘密を含むデータファイル3件を不正に取得し、持ち出した |
2023年9月、以前勤務していた総合商社より、機密情報を不正に持ち出した容疑で元従業員が逮捕される事件が発生しました。
逮捕された従業員は元同僚に虚偽の説明をして認証情報を聞き出し、自宅PCから、機密情報が保管されるサーバへとアクセス。新製品の提案書や採算表、営業秘密を含むデータファイル3件を不正に取得したとのことです。
また転職直前にも37,000件以上のファイルをダウンロードしており、転職後に不正利用していた可能性があると見られています。
機密情報を不正に持ちだされた総合商社は、情報管理体制の見直しや情報セキュリティ教育の再徹底に取り組むとしています。
3.パスポート受付嬢、約1,900名の個人情報を付箋に書いて持ち出し
| 企業 | 自治体のパスポート発行窓口 |
|---|---|
| 被害時期 | 2023年11月 |
| 原因 | 業務委託された女性が、業務上知り得た個人情報を付箋に書き写して不正に持ち出した |
| 被害内容 | 旅券発給申請戸籍謄本に記載された住所、氏名、電話番号など、約1,900名分の個人情報が流出 |
2023年11月、自治体の委託を受けてパスポート発給の窓口業務を行っていた女性が、業務中に知り得た個人情報を付箋に書き写し、不正に持ち出して逮捕される事件がありました。
逮捕された女性は旅券発給申請書、戸籍謄本等に記載された氏名、住所、電話番号等など、約1,900名分の情報を持ち出したことが明らかになっています。
また、女性は個人情報を付箋に書き写すだけでなく、録音やコピーなどを利用した可能性も示唆されています。
個人情報の更なる第三者への漏洩は確認されていないものの、自治体は改めて委託先事業者に対し、個人情報の適正な取扱いや業務管理の徹底を求めるとしました。
「人的ミス」による、情報漏洩の事例4選
「人的ミス」に伴う、国内の情報漏洩事例を4つ紹介します。
1.インフラ会社が電子メールを誤送信、約12,000名の個人情報が流出
| 企業 | インフラ企業 |
|---|---|
| 被害時期 | 2022年4月 |
| 原因 | 緊急対応に関係する顧客データを委託先の会社に電子メールで送信しようとした際、誤って関係のない個人情報を誤送信した |
| 被害内容 | 約12,000名分の個人情報が流出 |
2022年4月、ガスを取り扱うインフラ企業がメールを誤送信したことで、約12,000名分の個人情報が流出する事件がありました。
同社によれば業務委託先の保安取引会社に、緊急時の業務委託に関わる顧客データをメール送信した際、誤って業務委託とは関係のない顧客の個人情報を含むデータを送信したとのことです。
流出した情報には、顧客の氏名、住所、電話番号が記載されていました。
この誤送信は、担当者のキャパシティを超えたマルチタスクが原因であると推測され、再発防止策としてメール送信前に複数名で内容確認を徹底すると方針を明らかにしました。
2.大手自動車メーカー、クラウドの設定ミスにより約26万人の顧客情報が流出
| 企業 | 大手自動車メーカー |
|---|---|
| 被害時期 | 2023年5月 |
| 原因 | クラウドの設定ミスにより、保管していたデータが外部から閲覧可能な状態になっていた |
| 被害内容 | 保管していた約26万人分の顧客情報が外部から閲覧された可能性 |
2023年5月、大手自動車メーカーで、約26万人の顧客情報が漏洩する事件がありました。
原因は社内でのデータ取り扱いルールが不徹底だったことにあり、多くのファイルが権限設定の不備により、外部から自由に閲覧・アクセスできる状態になっていたとのことです。
またこの危険な状態は2016年10月~23年5月までの8年間もの間続き、住所や氏名、電話番号、メールアドレス、顧客ID、車両登録ナンバー等が閲覧された可能性があるとしました。
3.尼崎市、市民約46万人の個人情報を含むUSBメモリ紛失
| 企業 | 尼崎市自治体 |
|---|---|
| 被害時期 | 2022年6月 |
| 原因 | 個人情報の入ったUSBメモリの紛失 |
| 被害内容 | 全市民約46万人分の住民基本台帳や住民税、非課税世帯等臨時特別給付金の対象世帯や生活保護受給世帯、児童手当受給世帯などの口座情報が流出の危機にさらされた |
2022年6月、兵庫県尼崎市の自治体にて、全市民46万人分の個人情報が入ったUSBメモリを紛失する事件が発生しました。
USBメモリを紛失したのは、自治体から臨時特別給付金事務を受託する企業の、再々委託先の社員。データを無断で持ち出した上、居酒屋で泥酔し、バックアップ用のUSBメモリを含め計2本を、カバンごと紛失したとのことです。
USBメモリ内には全市民約46万人の住民基本台帳情報をはじめ、住民税、非課税世帯等臨時特別給付金の対象世帯、生活保護受給世帯や児童手当受給世帯の口座情報などが含まれていました。
最終的にUSBメモリは見つかり、情報流出は免れたものの、全市民の住民基本台帳や住民税などの情報が流出の危機にさらされました。自治体は再発防止策として、サーバルーム内の監視カメラの増設や委託業務に係る、ファイル転送サービスの導入などを行っています。
4.大手転職サービスにて設定不備、約10万人の登録情報が閲覧可能に
| 企業 | 大手人材サービス会社 |
|---|---|
| 被害時期 | 2023年11月 |
| 原因 | 個人情報の閲覧設定に不備 |
| 被害内容 | 2018年8月から2023年10月にかけて登録したユーザー約10万人の所属や学歴、資格などの経歴情報の一部が閲覧可能な状態に |
2023年11月、大手人材サービス会社が運営する転職サイトにて、個人情報の閲覧設定に不備があり、約10万人の個人情報が、直近の勤務先企業からも確認可能になっていた事件が発覚しました。
原因は企業データベースと個人プロフィールの突合プログラムにおける、設計不備によるものとのこと。ユーザーが利害関係を持つ会社からの閲覧をブロックできる仕様にしていましたが、これに不備があり、「全角や半角」、「大文字・小文字」など完全に会社名が一致していなければ、正常に動作しない状態となっていました。
閲覧できた情報として、ユーザーの年齢や性別、居住地、最終学歴、保有資格、経験業種・職種、直近の年収、希望年収などがあったとのことです。
企業の情報漏洩事件は増加しており、2023年には最多に
DXの推進によりクラウドサービスの導入や、テレワークの普及が進む中、比例して企業のセキュリティ事故も増加しています。
中でも、企業が保有する個人情報(社員や顧客、取引先など)や、事業に関する機密情報が意図せず外部へ流出する「情報漏洩」の被害が注目されており、多くの組織が対策を行いながらも、その被害数は年々増え続けているのが実態です。
株式会社東京商工リサーチが2024年に発表した調査によると、2023年に上場企業とその子会社が公表した個人情報の漏えい・紛失事の発生件数は175件であり、調査を開始した2012年以降最多となりました。
漏洩した個人情報の総数も4,090万8,718人分に上り、過去最多を記録しています。
▼上場企業とその子会社が公表した「個人情報漏えい・紛失事故」の件数推移
出典:2023年の「個人情報漏えい・紛失事故」が年間最多件数175件- 東京商工リサーチ
また、企業の情報漏洩事件の主な原因には、大きく分けて外部攻撃・内部不正・人的ミスの3種類があります。
2023年の情報漏洩の原因の内訳を見ると、「外部攻撃」に該当する「ウイルス感染・不正アクセス」が、全体の半数以上を占めており、外部要因による情報漏洩の割合が高いことが伺えます。
▼情報漏えい・紛失事故175件の原因内訳
出典:東京商工リサーチ|2023年の「個人情報漏えい・紛失事故」が年間最多 件数175件、流出・紛失情報も最多の4,090万人分(2024年1月19日)
しかし内訳としては外部攻撃の割合が多いものの、「誤表示・誤送信」「紛失・誤廃棄」といった人的ミス、「不正持ち出し・盗難」といった従業員の内部不正といった原因も見逃せません。
例えば、従業員による社内情報の不正利用といった「不正持ち出し・盗難」は24件(同13.7%)であり、前年の5件から約5倍に増加しています。
従業員が意識すべき、情報漏洩対策の例
従業員が意識すべき情報漏洩対策の例として、以下のような内容が挙げられます。
▼個人の情報漏洩対策の一例
・許可なしにアクセス権限変更や、ユーザー招待をしない
・機密情報を含むPCやUSBを、社外へ安易に持ち出さない
・私用端末を業務で使用しない
・小まめにOSやソフトウェアのアップデートをおこなう
・不審なサイトやメールはアクセスしない・開かない
・フリーWi-Fiを使用しない
・簡易なパスワードを設定したり、紙に書き出したりしない
そもそも企業機密など、組織にとって重要なデータは限られたユーザーのみアクセスできるよう、権限を最小化する心がけが重要です。従業員は安易にアクセス許可や外部ユーザー招待をしないことが重要です。
また、不審なサイトへの訪問やメールに添付されるファイルを開くことで、マルウェアに感染し、PCやシステム内の情報が盗み取られる可能性があります。安易に不審なWebサイトやファイル、リンクをクリックしないよう心がけましょう。
さらに、簡易な文字列や短文をパスワードに設定すると、悪意のある第三者に推測され、不正ログインに悪用される可能性が高まります。多要素認証などによる根本的な対策も必要ですが、まずは推測されにくい、複雑なパスワードを設定しましょう。
企業の内部不正・人的ミスによる情報漏洩対策なら、「LANSCOPE エンドポイントマネージャー クラウド版」にお任せください
内部不正や人的ミスに起因する情報漏洩事故の対策として、IT資産管理ツールやMDMツールは非常に有効です。
MOTEXの提供する、IT資産管理・MDMツール「LANSCOPE エンドポイントマネージャー クラウド版」には、情報漏洩対策に有効な以下の機能が備わっています。
業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末の情報漏洩対策も一元的に管理できます。
▼主な機能一例
・PCの「操作ログ」を取得し、最大5年分保存可能
・PC・スマホの利用状況を「レポート」で見える化
・従業員の不審なファイル持ち出しや操作は、アラートで管理者へ通知
・デバイスの利用制限や、万が一の紛失時に役立つリモートロック・リモートワイプ
・デバイスの位置情報の自動取得
・Webサイトや使用するアプリの制御・管理
など
業務で使用するPCはもちろん、スマートフォンやタブレットといったモバイル端末の情報漏洩対策も一元的に管理できます。
内部不正対策として欠かせない PC の操作ログは、最大5年分の保存が可能。またログ画面からは、アプリの利用、Webサイトの閲覧、ファイル操作、Wi-Fi接続などについて、「どのPCで」「誰が」「いつ」「どんな操作をしたか」など社員の PC の利用状況を、簡単に把握できます。
情報漏洩に繋がりそうな従業員の不正操作を、早期に発見し、インシデントを防止することが可能です。
また万が一、従業員が業務で使用するデバイスを紛失した場合も、遠隔で画面ロックや端末の初期化ができるため、第三者に情報を閲覧されるリスクを防止できます。
詳しい機能は、以下のページよりご覧ください。
まとめ
「情報漏洩」に関する国内事例とともに、近年の被害件数の動向・対策などをお伝えしました。
本記事のまとめ
- 情報漏洩の原因は、大きく分けて外部攻撃・内部不正・人的ミスの3種類
- 東京商工リサーチが発表した2023年の情報漏洩の原因の内訳を見ると、外部攻撃である「ウイルス感染・不正アクセス」が半数以上を占めているものの、人的ミス、内部不正の割合も増加している
- 個人情報が流出すると、企業は損害賠償責任を問われるだけでなく、信頼低下やシステムの停止など、営業活動そのものの存続が脅かされるリスクもある
- ユーザー側の影響としては、アカウントの乗っ取りや個人情報の不正利用などが想定される
- 企業が行うべき対策として「従業員へのポリシー周知とセキュリティ教育」「従業員との書面の取り交わし」「クラウドのセキュリティ設定・認証方法の見直し」「IT資産管理やMDMツールの活用」などが挙げられる
サイバー攻撃の件数が増大している現代社会では、情報漏洩の脅威も増しています。情報漏洩の要因を分析し、過去の事例をよく把握しそれぞれの企業・組織に適したセキュリティ対策を図ることが重要です。
この記事が情報漏洩対策の参考になれば幸いです。
関連する記事
