ウイルス感染の解除やデータの復元を条件に金銭を要求する身代金型ランサムウェアの流行など、2017年は "個人情報へのハッキング" や "データ破壊"だけではない新しいタイプのセキュリティに対する驚異が話題となった1年でした。

現在、日本国内においても、"日本マクドナルド" やチケット販売の国内トップクラス企業である "ぴあ" など、いわゆる大手企業を標的とした不正アクセス等も相次いでおり、今後も引継ぎセキュリティ対策は軽視することができません。

そこで今回は、2017年に情報セキュリティにおいて発生した重大トラブルと、それを踏まえた上での2018年に向けたセキュリティ対策のポイントについてご紹介します。

これらは全て個人情報を管理しているホームページを運営するWeb担当者はもちろん、普段からPCを利用する方によって共通する驚異です。ぜひこの機会に、最新のトレンドと今後の見とおしを押さえておきましょう。

参考:
金払ってもデータ破壊「身代金ウイルス」過激に変質|日本経済新聞
  

2017年に発生したセキュリティ関連重大トラブル

一昨年から引き続き、2017年も企業のセキュリティ関連のニュースが多く報道された1年でした。

そこで今回は、特に社会的な影響が大きかった10個のニュースをピックアップし、それを振り返ることで2018年のトレンドを押さえていきます。

参考:
マカフィーがセキュリティ事件の認知度を発表|サイバーセキュリティ.com
  

1. 個人情報機関Equifaxでのクレジットカード番号も含む個人情報流出

信用取引や保険取引を行うための個人情報の収集・管理を事業として展開するアメリカ企業「Equifax」は2017年9月7日、サービスへの不正アクセスにより約1億4,300万人の個人情報が影響を受けたと発表しました。同社では誕生日や免許証の番号だけではなく、日本でのマイナンバーのような存在である社会保障番号も流出した可能性があるとしています。

こちらのニュースは、個人情報の専門機関でありながら大量かつ重要な情報が流出したということで社会的にも大きな衝撃を与えました。

参考:
[米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい|ITmedia NEWS] (http://www.itmedia.co.jp/news/articles/1709/08/news058.html)
[米信用情報サービスEquifaxのデータ漏洩、被害者は最大1.43億人に | TechCrunch Japan] (http://jp.techcrunch.com/2017/09/08/20170907equifax-data-leak-could-involve-143-million-consumers/)
  

2. Uber(ウーバー)5,700万人分個人情報流出 さらに隠蔽を行っていた事が発覚

2017年11月21日、アメリカを中心に自動車の配車サービスを展開するUber(ウーバー)は、2016年後半に5,700万人分の個人情報流出を隠蔽していたことを明かしました。まず、そもそもの原因としては、同社が利用していた外部クラウドサービスへの不正アクセスにより、名前やメールアドレス、電話番号など運転手及び乗客の個人情報が流出した可能性が高いという発表内容でした。

同社は当局への報告を怠っただけではなく、不正アクセスを行った犯罪者に対して10万ドル(約1,120万円)を支払い、情報を削除させるという隠蔽工作を計っていたことも問題として取りざたされています。

参考:
ウーバー、5,700万人分個人情報流出の隠蔽発覚 16年|日本経済新聞
  

3. ぴあ個人情報流出 カード不正利用も確認される

4月25日、チケット販売大手のぴあでは、同社が運営を行っているプロバスケットボールリーグ「Bリーグ」のホームページに対して不正アクセスがあったことを発表し、個人情報約150,000件が流出した可能性があることを明かしました。

また、流出した情報の中には32,000件のクレジットカード情報も含まれ、4月21日時点でカードの不正利用が197件、約6,300,000円分が確認されています。

参考:
ぴあ、個人情報15万件流出か カード不正利用630万円|日本経済新聞
  

4. Appleを装うフィッシング詐欺メールの流行

2017年7月頃からAppleを装うフィッシング詐欺メールが流行しています。ユーザーのApple IDがロックされてしまったと通知し、偽のサイトに誘導した上でIDを入力させる仕組みとなっています。

Appleでは公式サイトにて、AppleがApple IDを照会に利用することはなく、他者にIDを教えないように注意喚起を行っています。

参考:
フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする|Appleサポート
Appleをかたるフィッシングメール、国内で大量配信|INTERNET Watch
  

5. 日本マクドナルドのシステムがマルウェアに感染

日本マクドナルドでは6月19日、システムに影響を与える悪質なソフトウェアであるマルウェアに感染し、一部システムが利用できない状態にあることを発表。この影響により「dポイント」「楽天スーパーポイント」といったポイントサービスや電子マネー「WAON」「iD」が利用できない状態にありました。

また、宅配サービスであるマックデリバリーサービスも同様に、利用できない状態にありました。21日にはこの事象は解決し、通常とおり利用できるようになっています。

参考:
日本マクドナルド、システム不具合がほぼ復旧|サイバーセキュリティ.com
  

6. 米ヤフー不正アクセス 被害件数さらに増加か

インターネット検索大手の米ヤフーでは、2016年9月に5億人以上、2016年12月にはさらに10億人以上の個人情報が流出したことを明かしています。

2017年10月4日、この問題に対して外部の専門機関「Oath」の調査によると、30億人以上の全アカウントの情報が流出している可能性があることが判明しました。日本法人であるYahoo!JAPANのユーザーには影響はないとされているものの、世界最大級の情報漏洩問題へと拡大しています。

参考:
米Yahoo、30億以上の全アカウントの情報流出が明らかに、2013年8月の個人情報漏えいで|INTERNET Watch
  

7. 日本最大級のフリマアプリ「メルカリ」での情報流出

日本最大級のフリマアプリ「メルカリ」では、6月22日、最大で50,000人以上のユーザー情報がほかのユーザーから閲覧できる状態にあったことを明かしました。

ユーザー情報には銀行の口座番号やクレジットカードの下4桁、カードの有効期限、購入・出品履歴が含まれます。不正アクセスのような外部からの攻撃ではなく、表示の高速化に合わせた設定ミスという内部の問題であることも話題となりました。

参考:
「メルカリ」で個人情報流出…問われる運営側の安全対策|YOMIURI ONLINE
(2020年8月7日時点でページが存在しないためリンクを削除しました)
  

8. 大阪大学個人情報漏洩

大阪大学は12月23日、氏名や学内の所属、大学発行のIDなど81,107件の個人情報が流出した可能性があると発表しました。理由は、1人の教職員のIDとパスによってシステムに侵入され、プログラムが仕掛けられたとしています。

さらに漏洩した教職員59人のIDを利用して、学内のグループウェアに不正ログイン、教職員のメールに含まれていた学外関係者の氏名や住所、学内関係者の人事情報も漏えいした可能性があるとのことです。

参考:
大阪大学で情報漏えい 教職員や学生など約8万人分の個人情報が流出か|ITmedia
  

9. GMO個人情報流出

インターネットサービス大手のGMOでは、10月30日、1万4,600件に及ぶ顧客情報が流出した可能性があると明かしました。

サイト売買仲介サービス「サイトM&A」における会員の生年月日や住所、メールアドレスが対象となります。

同社の調査によると不正アクセスによる情報流出の可能性が高いとしています。

参考:
GMO、14,600件超の個人情報流出 不正アクセスか|日本経済新聞
  

10. HIS個人情報流出

8月22日、旅行代理店大手HISでは、首都圏向け国内バスツアーサイトからツアーを申し込んだ11,975人分の顧客情報が流出したと明かしました。

8月に実施したサイトリニューアル時に誤って顧客情報が外部から閲覧・入手可能な状態に設定してしまったため、第3者によってデータがダウンロードされてしまったとのことです。流出した情報は氏名やメールアドレス、住所などの情報であり、クレジットカード情報や口座番号は含まれません。

参考:
HISで個人情報1万人超流出 サイト刷新時のミスが原因|ITmedia