■直近の不正アクセスによる情報漏洩事件
日を追うごとに増える情報漏洩事件。8月にニュースとして取り上げた中から「不正アクセス」が原因で起きたものをピックアップしただけでも、実に9件もの事件が挙げられており、被害規模も決して小さくないものばかりです。
不正アクセスによる情報漏洩事件(Cyber SECURITY NEWS 2023年8月掲載分)
| 対象 | 規模 |
|---|---|
| ITサービス | 個人情報975件 |
| 流通・小売 | 個人情報40,869名 |
| ITサービス | 不明(最大130万件のアカウント情報) |
| NPO | クレジットカード情報89件 |
| 流通・小売 | 個人情報が流出した可能性あり(約 186 万件) |
| 教育機関 | 個人情報が流出した可能性あり(1,875件) |
| 気象庁および気象研究所 | メールデータ(1年分) |
| 内閣サイバーセキュリティセンター(NISC) | メールデータ(8か月) |
| 流通・小売 | クレジットカード情報4,034件 |
その中でも大きなトピックとして印象に残ったのは、8月4日の内閣セキュリティセンター(NISC)が不正侵入被害を受けたという発表です。電子メール関連システムの機器にあった未知の脆弱性が原因とのことですが、セキュリティプロ集団のNISCであっても、不正侵入を受けてしまう怖さを実感すると同時に、我々も常に不正侵入を許してしまう可能性があるということを念頭に置き、日々の業務に取り組むことが重要であることを痛切に感じさせられる事件となりました。
■何が、どうやって狙われるのか?
また、その他の事件に関しても対象の業種や規模は様々ですが、攻撃者は依然として
- 個人情報
- クレジットカード情報
- メールデータ
を狙って、不正アクセスを仕掛けていることがわかります。
無論これらは極めて重要な情報資産であり、被害を受けた各企業・組織も何かしらの対策を行っていたと考えて間違いないでしょう。それでも巧みにそれらをすり抜けインシデントを起こしている、というのがサイバー攻撃・不正アクセスの本当に恐ろしい部分です。
彼らが不正アクセスを成功させる手段としては主に
- フィッシングによる認証情報の窃取
- メール経由での不正プログラムの実行
- VPNなどのネットワーク機器の脆弱性悪用
があり、考えられる対策としては以下のようなものが挙げられます。
| 攻撃者の手段 | とるべき対策 |
|---|---|
| フィッシングによる認証情報の窃取 | 多要素認証の導入やセキュリティ教育 |
| メール経由での不正プログラムの実行 | 標的型訓練やEDRなどのエンドポイントセキュリティ |
| VPNなどのネットワーク機器の脆弱性悪用 | 脆弱性診断、日々のアップデートや脆弱性に関する情報収集、脆弱性管理 |
どれも専門的な知識や高い工数を要する作業ではありますが、致命的な事故を防ぐためしっかりと対策していく必要があります。
■セキュリティリスクチェックシート
まずは各組織が現在のセキュリティリスクを把握することが、情報漏洩対策のファーストステップです。弊社でも脆弱性診断を行っておりますので、ご不安な企業さまはご相談いただければと思います。
Text/株式会社アクト サイバーセキュリティ事業部
アクトのサイバーセキュリティ対策支援
アクトでは日頃のIR・SOC業務で多くの知見を持つ当社サイバーセキュリティ事業部のスペシャリストが、企業さまのセキュリティに関する不安を解消するため、全力でサポートさせていただいております。
アクトはEDR・SOCをはじめ、IPA認定『データお守り隊』や総合ID管理ソリューション『JumpCloud』をなど、厳重なサイバーセキュリティ対策を提供しております。
専門のセキュリティチームが監視し、異常が検知された場合は迅速かつ効果的な対応を行っております。
アクトではサイバーセキュリティの専門知識と経験豊富なチームと共に、企業や組織に対して高度なサイバーセキュリティコンサルティングサービスを提供しています。
また、サイバーセキュリティに関する知識普及の一環として、セミナーやトレーニングプログラムも提供しています。