ウイルス感染の解除やデータの復元を条件に金銭を要求する身代金型ランサムウェアの流行など、2017年は "個人情報へのハッキング" や "データ破壊"だけではない新しいタイプのセキュリティに対する驚異が話題となった1年でした。

現在、日本国内においても、"日本マクドナルド" やチケット販売の国内トップクラス企業である "ぴあ" など、いわゆる大手企業を標的とした不正アクセス等も相次いでおり、今後も引継ぎセキュリティ対策は軽視することができません。

そこで今回は、2017年に情報セキュリティにおいて発生した重大トラブルと、それを踏まえた上での2018年に向けたセキュリティ対策のポイントについてご紹介します。

これらは全て個人情報を管理しているホームページを運営するWeb担当者はもちろん、普段からPCを利用する方によって共通する驚異です。ぜひこの機会に、最新のトレンドと今後の見とおしを押さえておきましょう。

参考:
金払ってもデータ破壊「身代金ウイルス」過激に変質|日本経済新聞
  

2017年に発生したセキュリティ関連重大トラブル

一昨年から引き続き、2017年も企業のセキュリティ関連のニュースが多く報道された1年でした。

そこで今回は、特に社会的な影響が大きかった10個のニュースをピックアップし、それを振り返ることで2018年のトレンドを押さえていきます。

参考:
マカフィーがセキュリティ事件の認知度を発表|サイバーセキュリティ.com
  

1. 個人情報機関Equifaxでのクレジットカード番号も含む個人情報流出

信用取引や保険取引を行うための個人情報の収集・管理を事業として展開するアメリカ企業「Equifax」は2017年9月7日、サービスへの不正アクセスにより約1億4,300万人の個人情報が影響を受けたと発表しました。同社では誕生日や免許証の番号だけではなく、日本でのマイナンバーのような存在である社会保障番号も流出した可能性があるとしています。

こちらのニュースは、個人情報の専門機関でありながら大量かつ重要な情報が流出したということで社会的にも大きな衝撃を与えました。

参考:
[米個人情報機関最大手Equifax、1億4300万人の社会保障番号など漏えい|ITmedia NEWS] (http://www.itmedia.co.jp/news/articles/1709/08/news058.html)
[米信用情報サービスEquifaxのデータ漏洩、被害者は最大1.43億人に | TechCrunch Japan] (http://jp.techcrunch.com/2017/09/08/20170907equifax-data-leak-could-involve-143-million-consumers/)
  

2. Uber(ウーバー)5,700万人分個人情報流出 さらに隠蔽を行っていた事が発覚

2017年11月21日、アメリカを中心に自動車の配車サービスを展開するUber(ウーバー)は、2016年後半に5,700万人分の個人情報流出を隠蔽していたことを明かしました。まず、そもそもの原因としては、同社が利用していた外部クラウドサービスへの不正アクセスにより、名前やメールアドレス、電話番号など運転手及び乗客の個人情報が流出した可能性が高いという発表内容でした。

同社は当局への報告を怠っただけではなく、不正アクセスを行った犯罪者に対して10万ドル(約1,120万円)を支払い、情報を削除させるという隠蔽工作を計っていたことも問題として取りざたされています。

参考:
ウーバー、5,700万人分個人情報流出の隠蔽発覚 16年|日本経済新聞
  

3. ぴあ個人情報流出 カード不正利用も確認される

4月25日、チケット販売大手のぴあでは、同社が運営を行っているプロバスケットボールリーグ「Bリーグ」のホームページに対して不正アクセスがあったことを発表し、個人情報約150,000件が流出した可能性があることを明かしました。

また、流出した情報の中には32,000件のクレジットカード情報も含まれ、4月21日時点でカードの不正利用が197件、約6,300,000円分が確認されています。

参考:
ぴあ、個人情報15万件流出か カード不正利用630万円|日本経済新聞
  

4. Appleを装うフィッシング詐欺メールの流行

2017年7月頃からAppleを装うフィッシング詐欺メールが流行しています。ユーザーのApple IDがロックされてしまったと通知し、偽のサイトに誘導した上でIDを入力させる仕組みとなっています。

Appleでは公式サイトにて、AppleがApple IDを照会に利用することはなく、他者にIDを教えないように注意喚起を行っています。

参考:
フィッシングメール、ウイルス感染の偽警告、偽のサポート電話などの詐欺に遭わないようにする|Appleサポート
Appleをかたるフィッシングメール、国内で大量配信|INTERNET Watch
  

5. 日本マクドナルドのシステムがマルウェアに感染

日本マクドナルドでは6月19日、システムに影響を与える悪質なソフトウェアであるマルウェアに感染し、一部システムが利用できない状態にあることを発表。この影響により「dポイント」「楽天スーパーポイント」といったポイントサービスや電子マネー「WAON」「iD」が利用できない状態にありました。

また、宅配サービスであるマックデリバリーサービスも同様に、利用できない状態にありました。21日にはこの事象は解決し、通常とおり利用できるようになっています。

参考:
日本マクドナルド、システム不具合がほぼ復旧|サイバーセキュリティ.com
  

6. 米ヤフー不正アクセス 被害件数さらに増加か

インターネット検索大手の米ヤフーでは、2016年9月に5億人以上、2016年12月にはさらに10億人以上の個人情報が流出したことを明かしています。

2017年10月4日、この問題に対して外部の専門機関「Oath」の調査によると、30億人以上の全アカウントの情報が流出している可能性があることが判明しました。日本法人であるYahoo!JAPANのユーザーには影響はないとされているものの、世界最大級の情報漏洩問題へと拡大しています。

参考:
米Yahoo、30億以上の全アカウントの情報流出が明らかに、2013年8月の個人情報漏えいで|INTERNET Watch
  

7. 日本最大級のフリマアプリ「メルカリ」での情報流出

日本最大級のフリマアプリ「メルカリ」では、6月22日、最大で50,000人以上のユーザー情報がほかのユーザーから閲覧できる状態にあったことを明かしました。

ユーザー情報には銀行の口座番号やクレジットカードの下4桁、カードの有効期限、購入・出品履歴が含まれます。不正アクセスのような外部からの攻撃ではなく、表示の高速化に合わせた設定ミスという内部の問題であることも話題となりました。

参考:
「メルカリ」で個人情報流出…問われる運営側の安全対策|YOMIURI ONLINE
(2020年8月7日時点でページが存在しないためリンクを削除しました)
  

8. 大阪大学個人情報漏洩

大阪大学は12月23日、氏名や学内の所属、大学発行のIDなど81,107件の個人情報が流出した可能性があると発表しました。理由は、1人の教職員のIDとパスによってシステムに侵入され、プログラムが仕掛けられたとしています。

さらに漏洩した教職員59人のIDを利用して、学内のグループウェアに不正ログイン、教職員のメールに含まれていた学外関係者の氏名や住所、学内関係者の人事情報も漏えいした可能性があるとのことです。

参考:
大阪大学で情報漏えい 教職員や学生など約8万人分の個人情報が流出か|ITmedia
  

9. GMO個人情報流出

インターネットサービス大手のGMOでは、10月30日、1万4,600件に及ぶ顧客情報が流出した可能性があると明かしました。

サイト売買仲介サービス「サイトM&A」における会員の生年月日や住所、メールアドレスが対象となります。

同社の調査によると不正アクセスによる情報流出の可能性が高いとしています。

参考:
GMO、14,600件超の個人情報流出 不正アクセスか|日本経済新聞
  

10. HIS個人情報流出

8月22日、旅行代理店大手HISでは、首都圏向け国内バスツアーサイトからツアーを申し込んだ11,975人分の顧客情報が流出したと明かしました。

8月に実施したサイトリニューアル時に誤って顧客情報が外部から閲覧・入手可能な状態に設定してしまったため、第3者によってデータがダウンロードされてしまったとのことです。流出した情報は氏名やメールアドレス、住所などの情報であり、クレジットカード情報や口座番号は含まれません。

参考:
HISで個人情報1万人超流出 サイト刷新時のミスが原因|ITmedia
  

2018年に向けたセキュリティ対策のポイント

2017年には不正アクセスによる被害だけではなく、企業を装ったフィッシング詐欺メールも流行しました。

では、2018年のセキュリティ対策はどのように行っていくべきなのでしょうか。ここではポイントをわかりやすく5つに絞ってご紹介していきます。
  

1. モバイルデバイスへの対策

総務省が発表している「平成29年版 情報通信白書」によると、2016年の日本国内におけるスマートフォンの利用率は71.8%にも上ります。

このような中でスマートフォンなどのモバイルデバイスへのセキュリティの危険性が示唆されています。特にスマートフォンは「ネットワークに常時接続している」「個人とビジネスの両方で利用している」「不正アプリが攻撃の手段として用いられる」といった特徴があります。

そのためPCよりも、さらにセキュリティの保護が難しいのが難点です。

参考:
総務省|平成29年版 情報通信白書|情報通信機器の普及状況
  

2. IoTデバイスでの対策

企業や家庭内で利用しているIoTデバイスへのハッキングは情報の流出につながる可能性もあります。

実際、Googleから発売された「Google Home Mini」の一部製品では、1日に何千回と勝手に起動して周囲の物音をGoogleに送信してしまうという仕組み上のミスが発覚し、問題となりました。

身近な製品がネットに接続されるようになるということは、それだけ外部からの攻撃や内部の設定ミスにより意図せぬ情報が流出してしまう危険性があることを指します。また、デバイスを提供する企業がより多くの個人情報を求め、ユーザーの知らないうちにデータを取得する危険性も意識していくべきでしょう。

参考:
「Home Mini」が音声や物音を勝手にGoogleに送信? 一部製品の不具合に対処|ITmedia
  

3. ランサムウェアへの対策

ランサムウェアとは、システムの動作を停止させてしまうマルウェアの一種を指します。2017年はPCやスマートフォンなどのシステムを停止させ、解除する代わりに金銭を要求する身代金型のランサムウェアが流行しました。

このようなランサムウェアはシステムを停止状態にするため、企業によっては業務自体が停止してしまう危険性もあります。また、解除を条件に金銭を要求するため、ユーザーによっては専門機関や企業に相談を行わず、金銭を振り込んでしまう可能性もあります。

現在は個人向けの被害が中心ではあるものの、今後はより多くの金銭を要求できる富裕層や企業をターゲットにされる可能性もあり、注意が必要です。
  

4. 企業向けプラットフォームへの攻撃の危険性

グループウェアやファイルストレージサービスなど、企業向けのサービスも近年注目されています。

このような、BtoB向けのアプリやWebサービスに対する攻撃が行われると、社内情報が流出してしまう可能性があります。

実際、Uberの事例では、自社のシステムではなく、外部のクラウドサービスへの不正アクセスから情報流出へとつながりました。そのため、外部のシステムを利用する際は、どのようなセキュリティ対策を行っているのかの確認が必須となるでしょう。
  

5. 子どもからの情報流出の危険性

若年層の子どもたちがネットを利用するようになり、SNSや動画共有サイトなどの利用も容易になったことで、子どもから情報が流出する危険性も指摘されています。特にSNSでは大人であっても不用意に企業の情報や社内の機密情報が映った写真を投稿してしまう危険性があります。

今後、企業では従業員本人に対してはもちろん、従業員が自身の子どもに対して自社の情報を話すことがないよう注意喚起を行う必要があるでしょう。

参考:
インターネットトラブル事例集(平成26年度版)|総務省
炎上の火種どう防げばいいのか? SNSによる情報漏えいが増えている(1/4)|ITmedia
  

まとめ

2017年に発生したセキュリティ関連のトラブルでは不正アクセスだけではなく、自社の設定ミスによる個人情報の流出が目立ちました。また、社内のシステム管理はもちろん、Uberの事例にあるように、外部のクラウドサービスへの不正アクセスにも注意が必要です。

2018年はIoTデバイスやモバイルデバイスといった、急激に拡大しているデバイスもサイバー攻撃の対象となると予測されています。

ぜひ自社のシステムや社内の環境を見直し、どこにリスクがあるのかを把握しておきましょう。

参考:
[2018年、影響力が大きいと予測されるセキュリティの脅威は何か?(1)ポイントはモバイル、IoT、ランサムウェア|マイナビニュース] (https://news.mynavi.jp/article/20171204-chkpoint_2018/):blank
McAfee Labs 2018年の脅威予測~来年のサイバーセキュリティ動向5項目を展望|McAfee
2018年セキュリティ脅威予測-企業を取り巻く脅威に起こる「パラダイムシフト」|トレンドマイクロ