情報漏洩は企業や組織が直面する深刻な問題の一つです。情報漏洩が起こると顧客の信頼を損なう他、損害賠償といった深刻な事態にも発展しかねません。情報漏洩の要因には、外部からの攻撃や内部からの不正や、セキュリティ対策の脆弱性などが挙げられます。
この記事では、情報漏洩の主な原因や実際の被害事例、防止策などを紹介します。
情報漏洩とは
情報漏洩とは、機密情報が関係者以外に流出することを指します。企業の機密情報として挙げられるのは、顧客や従業員の個人情報、製品の設計や製造方法などの開発情報、契約書や見積書などです。
情報漏洩は、企業にとって大きな悪影響をもたらす可能性がある重大なリスクです。情報漏洩が起こると、企業は顧客や取引先からの信頼を失い、ブランドイメージが損なわれます。場合によっては、民事訴訟や刑事罰の対象となるかもしれません。そのため企業には、情報漏洩による被害の予防や重要情報の管理・保護などが求められています。
情報漏洩の主な原因
情報漏洩の原因は、外部からの攻撃によるものと、内部からの不正によるものの2つに分けられます。
外部からの攻撃によるもの
外部からの攻撃による情報漏洩の代表的な原因は、以下のとおりです。
1. ランサムウェア
1つ目の原因は、ランサムウェアです。近年急増しており、独立行政法人 情報処理推進機構の『情報セキュリティ 10 大脅威 2023』によると、組織における情報セキュリティの脅威として、第1位に挙げられています。
ランサムウェアに感染すると、コンピューターやサーバーが暗号化されて使えなくなります。元に戻すことを条件に身代金を要求されるケースもあります。ランサムウェアの感染を防ぐためには、セキュリティソフトの導入や更新、ファイアウォールの設定、情報資産の管理などの対策が必要です。
2. サプライチェーンの弱点
2つ目はサプライチェーンの弱点です。独立行政法人 情報処理推進機構の『情報セキュリティ 10 大脅威 2023』によると、サプライチェーンの弱点を悪用した攻撃は、組織における情報セキュリティの脅威として、第2位に挙げられています。
サプライチェーンの弱点とは、企業の取引先やパートナー企業のセキュリティ対策の脆弱性のことを指します。ここを突いて攻撃されることで、情報漏洩につながります。近年は、なりすましメールを使ったサプライチェーン攻撃なども問題となっています。
3. 標的型攻撃
3つ目が標的型攻撃です。標的型攻撃とは、特定の組織や個人を狙って行われる攻撃を指します。独立行政法人 情報処理推進機構の『情報セキュリティ 10 大脅威 2023』によると、組織における情報セキュリティの脅威として、第3位に挙げられています。
標的型攻撃ではターゲットの組織や個人の情報が収集され、その情報を基に巧妙に仕組んだ攻撃が行われるため、防ぐのが難しいとされています。
内部からの不正によるもの
内部からの不正による情報漏洩の代表的な原因は、以下のとおりです。
1. 内部不正
1つ目の原因は、内部不正です。内部不正とは、組織の従業員や関係者が、組織の利益や個人の利益のために組織の情報を不正に持ち出すことです。独立行政法人 情報処理推進機構の『情報セキュリティ 10 大脅威 2023』によると、組織における情報セキュリティの脅威として、第4位に挙げられています。
内部不正による情報漏洩は、外部からの攻撃による情報漏洩と比べて検出が難しく、被害が拡大しやすいという特徴があります。
2. テレワーク環境の脆弱性
2つ目が、テレワーク環境の脆弱性です。独立行政法人 情報処理推進機構の『情報セキュリティ 10 大脅威 2023』によると、組織における情報セキュリティの脅威として、第5位に挙げられています。
セキュリティ対策が不十分なまま社内ネットワークと外部ネットワークが接続されると、情報漏洩のリスクが高まります。テレワーク環境の脆弱性による情報漏洩は、従業員の不注意や、テレワーク環境のセキュリティ対策の不備が原因で発生するケースが多いです。
navigate_next参考:独立行政法人 情報処理推進機構.「情報セキュリティ 10 大脅威 2023」
情報漏洩6個の被害事例
情報漏洩の被害事例は多数存在します。以下に6つの事例を挙げてみます。
大手自動車メーカー:215万人分の情報が漏洩
2023年5月に発生した大規模な情報漏洩事件で、ある有名自動車メーカーが法人向けサービスから顧客情報が漏洩した可能性があると発表しました。漏洩した情報には、車両の位置や車載端末のIDなど、個人またはその自動車を特定できる情報が含まれており、影響を受けたのは約215万人にのぼるとされています。
このメーカーは情報漏洩の原因として、クラウド環境の誤設定を指摘しています。大規模な企業においては、人的ミスが発生することは珍しいことではありません。とはいえ、不正アクセス攻撃の被害に遭った可能性も考慮しつつ、原因の徹底的な調査が求められます。
navigate_next参考:TOYOTA connected.「クラウド環境の誤設定によるお客様情報等の漏洩可能性に関するお詫びとお知らせについて」
スニーカー取引プラットフォーム:約275万件の個人情報が漏洩
あるスニーカー取引プラットフォームで2022年に発生した大規模な情報漏洩事件では、サービス登録ユーザー約275万人の詳細な個人情報が漏洩しました。漏洩した情報には、氏名や生年月日、メールアドレス、住所などが含まれています。
この情報漏洩は、不正なリクエストに対して、データベースのデータを含めたレスポンスを行なったことが原因で発生しました。攻撃者がデータベースから情報を抽出したり、データを改ざんしたりすることが可能な状態となり、問題となったのです。
navigate_next参考:SNKRDUNK.「不正アクセスによるお客さま情報漏えいに関するお詫びとご報告(08.23追記)」
主要鉄道会社:オンラインサービスにおいて、3,729人のアカウントに不正ログイン
2020年に発生した大規模な情報漏洩事件では、ある主要鉄道会社のオンラインサービスにおいて、3,729人のアカウントに不正ログインが発生しました。この事件で漏洩した情報には、氏名や住所、電話番号、生年月日、メールアドレス、クレジットカード情報の一部(カード番号の下4桁、有効期限、カードブランド名)、連携している交通系ICカードの番号などが含まれています。
情報漏洩の原因は、スマートフォンアプリを介した不正ログインでした。具体的には、スマートフォンアプリのセキュリティ上の脆弱性を悪用して、第三者が不正にログインし、情報を取得したとされています。
navigate_next参考:(社)日本個人情報安全協会.「よくわからない不正アクセス:リスト型攻撃の手口を解説。」
食品小売業者:オンラインショップにて7,645件のクレジットカード情報が漏洩
ある食品小売業者が運営するオンラインショップにおいて、2022年6月に中規模の情報漏洩事件が発生しました。この事件の被害者は、2021年の特定期間にクレジットカード決済を利用してオンラインショップを利用した7,409人です。漏洩した情報には氏名やメールアドレス、メールの件名などの情報、およびクレジットカード情報(カード番号、有効期限、セキュリティコード)が含まれていました。
情報漏洩の原因は、システムの一部の脆弱性を突いた不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためとされています。
navigate_next参考:SWEETS PARADISE.「【スイーツパラダイス オンラインショップ】不正アクセスによる個人情報漏えいの可能性のあるお客様へのお詫びとお知らせ」
不動産関連企業グループ:従業員が顧客情報を不正に持ち出し個人情報が漏洩
次にご紹介するのは、2022年に発生した不動産関連企業グループにおける情報漏洩事件です。氏名や生年月日、住所、電話番号、メールアドレスなどの個人情報が漏洩しました。
情報漏洩の原因は、元従業員の不正な持ち出し行為でした。具体的には、元従業員が顧客情報を含む情報を持ち出したことが原因とされています。
navigate_next参考:&DO HOLDINGS.「当社子会社の元従業員の不正行為について」
大手旅行会社:クラウドサービスの閲覧権限設定ミスにより、最大1万1,483人分の個人情報が漏洩
ある大手旅行会社において、2022年にクラウドサービスの権限設定ミスが原因で発生した大規模な個人情報漏洩事件がありました。この事件の被害者は、観光関連の補助事業に応募した事業者などです。漏洩した情報には、氏名や電話番号、メールアドレスなどが含まれています。
navigate_next参考:JTB.「情報漏洩に関するお詫びとお知らせ」
情報漏洩を防ぐための具体的な5つの対策
情報漏洩を防ぐための対策としては、以下の5つがあります。詳しく見ていきましょう。
1. セキュリティソフトを導入し、更新する
業務に使用するPCやモバイルデバイスにセキュリティソフトを導入し、最新の状態に保つことで、社内ネットワークに対する不正接続の検知やアップロードされたファイルのログの管理など、情報漏洩対策が可能になります。
2. 明確なセキュリティポリシーを作成する
情報セキュリティポリシーを策定し、マニュアル化することで、企業の情報資産を守りつつ、情報管理の向上を企業全体で目指す意識を高められます。
3. 情報の持ち出しルールを作成する
社内のデータ管理方法やルールを明確にして、遵守するためのセキュリティ教育を徹底することで、内部不正の防止につながります。
4. メール誤送信防止システムを導入する
メール誤送信防止システムを導入すれば、ヒューマンエラーによるメールの誤送信を防止するとともに、組織全体で情報管理の意識を向上させることができます。
5. クラウドストレージを使用する
法人向けクラウドストレージの機能を持つコンテンツクラウドを導入することで、情報の一元管理が可能となります。これにより、情報漏洩リスクを低減できます。
情報漏洩は企業にとっての重大なリスク!
情報漏洩は、企業や組織にとって重大なリスクにつながる問題です。情報漏洩の主な原因は、外部攻撃と内部不正です。例えばランサムウェアやサプライチェーンの弱点、標的型攻撃、内部不正、テレワーク環境の脆弱性などがあります。
情報漏洩を防ぐためには、外部からの攻撃や内部不正に対する対策を講じることが重要です。具体的には、セキュリティソフトの導入・更新、明確なセキュリティポリシーの策定、情報の持ち出しルールの作成、メール誤送信防止システムの導入、クラウドストレージの利用などが挙げられます。
情報漏洩の防止に努め、企業としての責任を果たしましょう。
PC操作ログの収集・管理ソフトウェア
MylogStar (マイログスター )
MylogStarは、情報漏えい対策、および、万が一情報漏えいが発生した際の原因究明や拡散防止に有効なPC操作ログ管理専用ソフトウェアとして2008年の販売開始以来、高いログ収集能力が評価され、数多くの企業・団体にご導入いただいております。
MylogStar ラインナップ
1台のスタンドアロンPCからクライアント30,000台のエンタープライズシステムまで、規模やコストに合わせた様々なラインナップでログ管理をサポートします。
クライアントサーバー型
管理サーバーで監視対象のログを一元管理
スタンドアロン型
監視対象マシン内でログ管理を完結。管理サーバーは不要
Mylogstar
30日間無料トライアル
- 業界トップクラスの操作ログ収集力を体験
- シリーズの最新トライアルを全ラインナップ提供
- トライアル版から製品版として継続利用が可能(希望企業様のみ)
この記事を書いた人
株式会社ラネクシー MylogStar担当者
20年以上にわたりログと向き合い、活用方法を模索し続けているMylogStarの製品担当。
新たな活用方法はないかどうか最新のトレンドにアンテナを張り、皆さまに役立つ情報をお届けします!