情報漏洩とは?企業がとるべき対策方法について

2022.09.01

LIBRUS株式会社 > コラム > 情報漏洩とは?企業がとるべき対策方法について

情報漏洩は本来企業内におさめておくべき情報を外部に漏らしてしまうことを言います。その理由は様々であり人為的ミスによるものや外部からの攻撃、また内部不正が原因であることも一部あります。よく新聞やニュースなどで取り上げられるように情報漏洩は企業の存続に関わる大きな問題であり、常日頃から十分に対策をすることが重要です。 

情報漏洩とは

情報漏洩とは企業などの内部に保管しておくべき情報が何らかの要因によって外部の第三者に漏れてしまうことを言います。その理由は様々であり、メールの誤送信やUSBやパソコンの紛失などのうっかりミスから、社員の不正利用、マルウェアなどの外部からの攻撃などが挙げられます。

情報漏れの要因として東京商工リサーチ社調査報告(2020年)において、半数近くを占めているのがウイルス感染や不正アクセスです。セキュリティソフトウェアアンチウイルスソフトの導入が増えている現在においても、マルウェアもさらに複雑化してきており被害が減っていない状況にあります。

マルウエアをはじめとしたサイバー攻撃は主にコンピュータウィルスを使ったものや、ハッキングによるものなど様々なものがあります。これらのうち特に最近問題になっているのが「ランサムウェア」と呼ばれる身代金要求型ウイルスによる漏洩です。これは特定の企業や個人に対して、金銭を要求するためにコンピュータ内のデータを暗号化するという手法で侵入します。

情報漏洩の事例を紹介

日本に限らず世界中で情報漏洩のニュースを耳にするようになっています。企業だけでなく役所においても発生している状況です。ここでは、次の3つの事例についてご紹介します。

  • エディオン(EDION)の情報漏洩事例
  • MACHATT ONLINE STOREの情報漏洩事例
  • メタップスペイメントの情報漏洩事例

エディオン(EDION)の情報漏洩事例

エディオンでは、外部からの不正アクセスによって顧客状況が消されている可能性、また流出した可能性があることを発表しました。サーバーはグループ会社が管理しており、グループ会社のサーバーが不正アクセスを受けたとされています。このように企業が十分な対策をしていても、委託会社が不正にあう可能性が十分にあります。

家電量販のエディオンは2022年4月11日、外部からの不正アクセスにより顧客の情報が流出した可能性があると公表した。2022年4月8日にグループ会社のサーバーで管理している7万7656件の顧客情報が消去されていたことを確認し、流出の可能性があると判断した。

消去された情報はエアコンなどの配送設置情報7万3540件と荷物受け取りサインの画像データ3563件、写真データ553件。このうち配送設置情報は顧客の氏名と住所、電話番号などが含まれる。

引用:エディオンに不正アクセス、個人情報7万件超が消去され流出した可能性(日系XTECH)

MACHATT ONLINE STOREの情報漏洩事例

Machattは女性服を中心にECサイトで販売している企業であり、決済システムが不正アクセスにあい、登録しているユーザーのクレジットカード情報が漏洩した事件が起こりました。クレジットカード会社から情報漏洩の可能性があると連絡を受け調査をした結果、改ざんしていることがわかりました。

新型コロナウイルスの影響や、インターネット、スマートフォンの普及によりECサイトを利用するユーザーが増えていることから、このような事件は今後も十分に考えられます。そのため、十分な対策をすることが重要です。

漏えいした可能性があるのは、2021年8月10日から22年2月22日の間にMACHATT ONLINE STOREを利用したユーザーのクレジットカード番号、カード名義人名、有効期限、セキュリティコード。一部は不正利用された可能性もあるという。漏えいした可能性があるカードの取引状況は不正利用防止のためモニタリング中。ユーザーに対しては利用明細の確認を呼び掛けている。

引用:女性服ECでクレカ情報1.6万件漏えいの可能性 不正アクセス・システム改ざん被害で(SECURITY HOT TOPICS)

メタップスペイメントの情報漏洩事例

アプリケーションの一部の脆弱性を利用したことによって不正アクセスが起き、個人情報が流出する事件がおきました。流出したものは、3か月間で利用されたクレジットカード番号であり、460,395件に及びます。

弊社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。攻撃は、2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースにまで達し、個人情報を含む情報が外部に流出したことが判明いたしました。

引用:不正アクセスによる情報流出に関するご報告とお詫び(株式会社メタップスペイメント)

よくある情報漏洩の原因

よくある情報漏洩の原因として、次の3点が挙げられます。

  • メールの送り先を間違える
  • 添付するファイルを間違える
  • サーバ利用時の不正アクセス

メールの送り先を間違える

メールの送り先を間違えることによって関係のない人が情報を仕入れることになります。そのため、個人情報をメールで送る場合は十分に気を付ける必要があります。例えば、メールを送るときに二重チェックをしたり、登録しているアドレスにしか遅れないようにしたりするなどさまざまな対応策があります。

そもそも、個人情報をメールにできるだけ記載しないようにすることも重要です。

添付するファイルを間違える

Eメールなどで、ファイルを添付することがあります。しかし、添付するべきファイルを間違えて個人情報や企業秘密の情報を第三者に提供してしまうことがあります。操作を間違えたとしても、これは立派な情報漏洩です。

誤送を防ぐためには、ファイル送信時に「パスワード」を設定することです。パスワードとは、そのファイルを開くための「鍵」であり、このパスワードがなければファイルが開けないように設定します。

パスワードを設定しておくと、ファイルを開こうとしてパソコンを立ち上げたとき、自動的に「パスワード」を求める画面が表示されるようになります。

サーバ利用時の不正アクセス

サーバーに不正アクセスをすることによって、クレジットカードなどの個人情報を抜かれるケースは少なくありません。外部からの攻撃であることがほとんどですが、一部内部での不正利用のケースもあります。

総務省は不正アクセスを受けることで、予想される被害を次のように説明しています。

  • ホームページを改ざんされる。
  • サーバ内に保存されていたデータが外部に送信される。
  • サーバのシステムが破壊される。
  • サーバやサービスが停止してしまう。
  • 迷惑メールの送信や中継に利用される。
  • 他のパソコンを攻撃するための踏み台として利用される。
  • バックドアを仕掛けられ、いつでも外部から侵入できるようにされる。

引用:不正アクセスによる被害と対策(総務省)


サーバーにおいて不正利用されるケースが多いのは、パソコン同士でファイルの転送に使うFTPやサーバーを遠隔操作できるリモート接続サービスです。総務省では、これらのサービスをできるだけ利用しないことを推奨しています。

近年ではデータを転送するときに暗号化をするSSHやSFTPなどが導入されており、さまざまな選択肢があります。

また、利用しているソフトウエアはアップデートをして常に最新の状態であるようにしてください。ソフトウエア会社は不正アクセス等の情報を集めて、それらに対応できるようにアップデートを提供することがほとんどです。しかし、最近の状態でないと、せっかくそのような機能を提供してくれても、活用できないことになります。

テレワークの情報漏洩リスクについて

テレワークをする上でよく考えられる情報漏洩の原因として考えられるのが次の3点です。

  • PCやUSBメモリーの盗難・紛失
  • 従業員のPC不正利用
  • 危険なサイトの閲覧

PCやUSBメモリーの盗難・紛失 

個人情報や企業の機密情報が含まれたPCやUSBメモリーが盗難されたり、紛失してしまうと危険な状態にあります。テレワークをする場合、企業のシステムに接続できるPCを貸し出すケースが一般的です。そのため、企業の情報が入ったもしくはアクセスできるPCを外に持ち出すことになるため十分に注意すべきです。

また、重要な情報が入ったUSBメモリーを持ち出すこともあるでしょう。USBメモリーは小さいもので簡単に紛失しやすいものであるため、同じように注意が必要です。USBメモリー以外にもさまざまなデータ管理方法があるため、USBメモリーのような外部メモリーを持ち出すこと自体が懸念材料として挙げられます。

例えばクラウドサービスを利用する方法も考えられます。最近ではセキュリティー面を強化したクラウドサービスもあり、パスワードを設定したり複数のデバイスでアクセスしたりできるため、より安全に使用することが可能になりました。

従業員のPC不正利用

情報漏洩の原因として割合は低いのですが、従業員がPCを不正利用しているケースもあります。不正に個人情報を扱うシステムにアクセスして、ユーザーのクレジットカードなどの個人情報を漏洩させるのです。

従業員の不正利用を防ぐためには、従業員ごとに適切な権限を設定することが重要です。例えば、役員と新入社員は、閲覧できる情報が異なるはずです。さらに、情報漏洩対策の重要性や適切なパスワード管理を浸透させることで、他の従業員にアカウントを使わせないことも重要です。

さらにノートパソコンやUSBメモリーなど、データをもちだすことを禁止することも重要です。簡単に持ち出せるような状態にあれば従業員の不正利用だけでなく、紛失することによる情報漏洩の危険性もあります。

従業員のPC不正利用を防ぐためには、電子データに対する情報管理の重要性を全従業員が認識することが求められます。

危険なサイトの閲覧

マルウエアの手法の1つとして、メールなどで危険なサイトに誘導するケースがあります。危険なサイトを開くことによって、外部から不正アクセスがしやすくなるような設定がされているケースがあります。そのため、メールなどで見覚えのないURLがあったとしても、絶対に開いてはいけません。

まとめ

近年情報漏洩に関するニュースをよく聞きます。情報漏洩とは、顧客の個人情報など本来社外に持ち出してはいけないものが、外部に漏洩してしまうことをいいます。原因は複数あり、外部からの攻撃が最も多いですが、従業員のうっかりしたミス(USBの紛失やメール誤送信など)、さらに従業員が機密データを意図的に持ち出すケースもあります。

いずれの場合においても、普段から個人情報を守るような体制を作っておくことが重要です。外部に個人情報を持ち出せない体制を作ったり、全従業員個人情報漏洩がどのようになるのかを共有したりするなど普段からの積み重ねが必要です。

【セキュリティソリューションのご紹介】

Librus株式会社では企業のサイバー攻撃被害に備え、毎月10万円でホワイトハッカー、弁護士、ブランドコンサルタントをまとめてアサインできる 「セキュアナイト」というサービスを提供しております。
https://secureknight.jp/

またサイバーセキュリティに関するアドバイザリーやセキュリティ診断(脆弱性診断、侵入テスト)、デジタルフォレンジック(システム復旧支援中心)においても豊富な実績がございます。

ご相談は無料ですので、いつでもお気軽にお問い合わせください。


問い合わせフォーム
https://librus.co.jp/contact

メール
info@librus.jp

資料請求
https://tayori.com/form/bcca83c49d8fd253395a909cb8cfcb899d32af72/

VIEW ALL
© 2020 LIBRUS Co., Ltd All rights Reserved .