情報漏洩に関する事故・事件が後を絶ちません。個人情報や機密情報が漏洩すると、経済的損失、法的リスク、信用やイメージの低下など、企業はさまざまな損害を被ります。セキュリティ対策はしているという経営者の方は多いと思いますが、サイバー攻撃の増加や手口の複雑化・巧妙化にどこまで対応できているでしょうか。脅威がどのようなものかを把握したうえで適切な対策を講じなければ、損害のリスク回避はできません。この記事では、情報漏洩の原因や対策を解説するとともに、実際に発生した情報漏洩の事例を紹介します。ぜひ、自社のセキュリティ対策にお役立てください。
>>今すぐ事例を確認したい方はこちらをクリック<<
(1) 정보 유출의 원인
近年、ニュースでサイバー攻撃や情報漏洩について報じられることが増えてきました。大企業が標的にされているのだろうと思っている方も少なくないでしょう。しかし、情報漏洩は規模に関わらず、国内外のさまざまな企業で発生しています。 情報漏洩はなぜ起こるのでしょうか。情報漏洩の原因は「外部攻撃」「内部不正」「ヒューマンエラー」と、ほぼこの3つのタイプに分けることができます。
| 種類 | 原因 |
|---|---|
| 外部攻撃 | ランサムウェアや標的型攻撃などのサイバー攻撃や、脆弱性を狙った不正アクセスなど |
| 内部不正 | 従業員などの内部不正による情報の改ざんや破壊・削除、持ち出し、盗難など |
| ヒューマンエラー | 잘못된 이메일 전송, 웹 사이트의 허위 진술, 손실, 잘못 배치 된 문서 및 녹음 미디어 등 |
〈こちらもオススメ!〉
情報漏洩の原因について詳しく解説しています。
とくに「外部攻撃」にあたるサイバー攻撃にはさまざまな種類があり、手口はますます多様化・巧妙化しています。最近ニュースなどでも取り上げられる代表的な攻撃について、簡単に解説します。
●ランサムウェア攻撃
マルウェア感染させてシステムやデータなどを使用不能にし、解除と引き換えに身代金(ランサム)を要求します。近年は暗号資産(※1)で支払いを要求するケースも増えています。
●サプライチェーン攻撃
業務上のつながりを悪用し、サイバー攻撃보안 조치가 상대적으로 적은 중소 기업은 "봄"으로 사용되며 대기업 및 조직을 대상으로합니다
●ゼロデイ攻撃
まだ認識されていないソフトウェアなどの脆弱性を狙い、修正が行われる日(=ワンデイ)より前(=ゼロデイ)に行われるサイバー攻撃で、未然に防ぐことが難しいとされています。
※1 暗号資産:インターネット上でやりとりされる通貨のような機能を持つ電子データのこと。現在世界中に多くの種類が存在する。(2) 정보 유출 사례
ここでは、先に挙げた情報漏洩の原因別に、実際に起こった事例を解説します。
【外部攻撃編】
まずはケースとして最も多い外部攻撃から、4つの事例を紹介します。
〈CASE : 01> 랜섬웨어 공격으로 인한 정보 유출 위기
| 企業・団体 | 協同組合 |
| 発生時期 | 2022年10月 |
| 原因 | ネットワーク機器の脆弱性を狙ったランサムウェア攻撃 |
| 発生内容 | 協同組合がランサムウェア攻撃を受け、約49万人の個人情報の漏洩が懸念されるインシデント(※2)が発生。ネットワーク機器の脆弱性が標的とされ、サーバ内のさまざまなデータが暗号化され、配達や店舗業務に大きな支障が出た。 |
被害を受けた協同組合は、最終的に身代金を支払わず、バックアップから自力で復旧。再稼働に2カ月余りを要しました。 同組合は、インシデントの発生を受け、組合員への進捗状況の発信や個人情報保護委員会への報告を行い、再発防止に向け、外部から接続できるネットワーク機器のセキュリティを強化。さらに情報セキュリティポリシーの見直しや職員教育を徹底すると発表しました。
〈CASE : 02> 맬웨어 감염으로부터 무단 액세스
| 企業・団体 | 소셜 미디어 서비스를 개발하는 주요 기술 회사 |
| 発生時期 | 2023年11月 |
| 原因 | マルウェア感染を経由した不正アクセス |
| 発生内容 | システムの一部を共通化している関連企業の委託先企業で、パソコンへのマルウェア感染が発生。これを糸口として関連企業のシステムを経由した不正アクセスが行われ、ユーザーや取引先、従業員など約44万件もの個人情報が漏洩した。 |
同社では、共通化しているシステムからサーバへのアクセスを遮断し、社員に再ログインの強制実施やパスワードの変更を指示。また当該システムの認証基盤環境を分離し、ネットワークアクセス管理の強化を行うほか、外部企業を交えた再発防止策を講じています。
〈CASE : 03> 승인되지 않은 액세스로 인한 EC 사이트를 TAMMITTING 사이트
| 企業・団体 | IT 회사 (PC 소프트웨어, 하드웨어 등의 계획, 개발 및 판매) |
| 発生時期 | 2023年2月 |
| 原因 | EC 사이트脆弱性を突いた不正アクセス |
| 発生内容 | 46067_46146脆弱性を突いた不正アクセスを受け、ペイメントアプリケーションの改ざん(※3)が行われた。顧客のクレジットカード情報を含む個人情報約12万件が漏洩した可能性があり、該当サイトではカード決済を停止した。 |
クレジットカード会社から、顧客のクレジットカード情報の漏洩について連絡を受け、カード決済を停止しました。同社では、システムのセキュリティ対策と監視体制を強化。カード会社と連携し、漏洩した可能性のあるカードによる取引のモニタリングを継続し、不正利用の防止に努めています。
〈CASE : 04> 랜섬웨어 암호화
| 企業・団体 | スーパーマーケットチェーン |
| 発生時期 | 2024年4月 |
| 原因 | VPN 장치脆弱性を狙ったランサムウェア攻撃 |
| 発生内容 | ランサムウェアにより、グループの一部サーバが暗号化され、それに伴いシステム障害が発生。778万件以上の会員情報がリスクにさらされた。全ネットワークを遮断したことにより、通販サービスやネットスーパーのサービスやメールシステムが停止した。 |
同社はサーバへの侵入を検知後、直ちに全ネットワークを遮断。対策本部を立ち上げ、調査および復旧対応を実施しました。外部流出の可能性は低いものの、情報を閲覧された可能性はあるため、該当顧客などへの連絡、個人情報保護委員会への報告、警察への相談を行いました。
※2 インシデント:事案・事象の意。情報セキュリティ分野では、情報漏洩などの脅威にさらされている状態を指す。 *3 지불 응용 프로그램의 변조 : 최근 몇 년 동안 전자 상거래 사이트에서 많은 일이 발생했습니다サイバー攻撃。クレジットカード情報入力フォームを改ざんして、ユーザーが入力した情報を窃取する。【内部不正編】
近年、増加傾向にあるのが内部不正による情報漏洩です。3つのケースを紹介します。
〈CASE : 01> 가을 직원이 고객 정보를 제기
| 企業・団体 | 不動産会社 |
| 発生時期 | 2022年1月 |
| 原因 | 外部サーバを使用した不正持ち出し |
| 発生内容 | 不動産事業を展開する企業が、子会社の元従業員が顧客情報を不正に持ち出していたため不正競争防止法違反の容疑で逮捕されたと明かした。顧客情報を含む営業資料を外部サーバにアップロードし、転職先でダウンロードした。 |
情報の流出は元従業員の退職後に実施した社内調査によって発覚しました。同社では、不正行為が行われた事実を厳粛に受け止め、従業員に対するコンプライアンスの徹底および社内管理体制の強化により、再発防止に努めるとしています。
〈CASE : 02> 이전 임시 직원이 관리자 계정을 잘못 사용합니다
| 企業・団体 | 情報通信会社 |
| 発生時期 | 2023年10月 |
| 原因 | 管理者アカウントを悪用した不正アクセス |
| 発生内容 | 情報通信会社の元派遣社員がシステムの管理者アカウントを悪用してサーバにアクセスし、個人情報を含む顧客情報を不正に持ち出していた。業務の委託を受けていた自治体や企業などの個人情報が900万件以上流出し、これらのデータは名簿業者に売却されていた。 |
情報の持ち出しは10年以上に及んだとされ、ずさんな管理体制に対して総務省から行政指導を受けました。同社は顧客情報を扱うすべての業務において再点検や従業員教育を実施し、さらに個人情報管理体制を強化。元派遣社員は、不正競争防止法違反の容疑で起訴されました。
〈CASE : 03> 계약 직원 사기꾼 개인 정보에 따라
| 企業・団体 | 自治体の旅券発給業務委託企業 |
| 発生時期 | 2023年11月 |
| 原因 | 個人情報を付せんに書き写して不正に持ち出し |
| 発生内容 | 自治体のパスポート発給業務を請け負う会社で働いていた外国籍の契約社員が、旅券申請者の戸籍謄本や住民票に記載された個人情報を付せんに書き写し、約1900人分を不正に入手した。入手方法は書き写すだけでなく、コピーや録音なども使用したとされている。 |
この件による第三者への情報流出などは確認されていませんが、自治体は被害届を提出し、捜査協力を行いました。委託先企業に個人情報の取り扱いや業務管理の徹底を求めるとともに、対策防止策および情報管理の徹底を図り、信頼回復に努めるとしています。
【ヒューマンエラー編】
うっかりミスは誰もが一度は経験しているのではないでしょうか。ここからは、ヒューマンエラーの事例を3つ紹介します。
〈CASE : 01> 직원이 USB 메모리를 꺼내거나 잃어버린 직원
| 企業・団体 | 市立の医療機関 |
| 発生時期 | 2024年1月 |
| 原因 | 환자의 개인 정보를 저장 한 USB 메모리 손실 |
| 発生内容 | 의료 기관 직원이 환자의 이름 및 진단 이름과 같은 개인 정보가 포함 된 USB를 가져와 논문을 작성하여 잃어 버렸습니다 개인 정보가 포함 된 데이터를 외부로 가져 오는 데 필요한 권한 응용 프로그램이 없었으며 암호는 철저한 방식으로 설정되지 않았습니다 |
외부 세계에 잃어버린 USB 메모리에 저장된 개인 정보의 유출은 확인되지 않았지만, 우리는 관련 환자에게 사과하고 문의 데스크를 설립하여 지방 정부에보고했습니다 재발을 방지하기 위해 병원 규정 및 매뉴얼을 검토하고 개인 정보 취급 및 정보 보안에 관한 직원에게 교육을 제공했습니다
〈CASE : 02> 직원이 보낸 이메일
| 企業・団体 | 地方自治体 |
| 発生時期 | 2023年4月 |
| 原因 | メール送信時に誤って個人情報を含むデータを添付 |
| 発生内容 | 地方自治体の職員が、幼稚園6園に補助金等に関する電子メールを送信する際、誤って他園に在籍する園児約2000人の氏名や生年月日などが含まれるデータを添付。メールを受信した幼稚園からの指摘により個人情報の流出が判明した。 |
自治体は事実関係の確認後に、誤送信先の6園にデータの削除を依頼し、各園からデータの削除や受信取り消しの報告を受けました。今後の対策として、データ管理や添付ファイルの内容チェックを徹底するとしています。
〈CASE : 03> 클라우드 환경의 잘못된 설정
| 企業・団体 | 自動車メーカー |
| 発生時期 | 2023年5月 |
| 原因 | クラウドの誤設定により外部からデータの閲覧が可能となった |
| 発生内容 | 自動車メーカーが関連会社に管理を委託するデータの一部が、クラウド環境の誤設定によって外部から閲覧やアクセスが可能な状態となっており、保有する約215万人分の顧客情報が漏洩した。また、この状態は最長10年以上にも及んだ。 |
情報漏洩の発覚後、外部からのアクセスを遮断し、すべてのクラウド環境を含めて調査を実施。さらに専用のコールセンターを設置しました。今後の対策として、従業員への教育を徹底し、またクラウド設定を監査するシステムを導入しました。
〈こちらもオススメ!〉
情報漏洩について、原因や事例などを詳しく解説しています。
(3) 정보 누출 대책
情報漏洩対策の強化は、企業にとって急務と言える課題です。最後に、企業が取り組むべき情報漏洩対策について紹介します。
| 対策 | 内容 |
|---|---|
| 多層防御 | サイバー攻撃の多様化により、ウイルス対策ソフト、ファイアウォール(※4)では防ぎきれない脅威が増加。UTM(※5)など、複数の機能を搭載し、内部外部を問わず脅威を防ぐ多層防御が可能なツールを導入する。 |
| ソフトウェアの更新 | ソフトウェアは定期的に更新プログラム(修正パッチ)が配布される。不具合や脆弱性などが解消されるため、ソフトウェアは必ず更新し、自動更新されないものは手動で更新する。 |
| 社内ルールの明確化 | 情報セキュリティに関するルールがわかりにくいとヒューマンエラーにつながる可能性が高くなるため、デバイスや記憶媒体の持ち出し規定、顧客情報・機密情報へのアクセス権限の設定などの社内ルールを明確にする。 |
| 多要素認証の活用 | アクセス権限を得る際に2つ以上の認証を行う多要素認証を活用する。パスワードに加え、顔認証や指紋認証などを組み合わせることで、よりセキュリティレベルが向上する。 |
| 従業員の문해력 향상 | 従業員のリテラシーが低いとセキュリティ対策の効果が低下する場合がある。情報セキュリティやサイバー攻撃에 대한 교육 및 교육 각 직원의 IT 문해력을 높이기 위해 정기적으로 수행됩니다 |
| 社内コミュニケーションの促進 | 社内コミュニケーションは内部不正の防止に有効な手段となる。人間関係やコミュニケーションが円滑な職場は、従業員エンゲージメント(※6)が向上し、不正が起こりにくい環境の構築が可能となる。 |
〈こちらもオススメ!〉
情報漏洩対策について、経営層・従業員別に詳しく解説しています。
「事後的な対応」も視野に入れる
セキュリティ対策に「絶対」はありません。そこで近年は、情報漏洩が起きてしまった「事後」も含めて対応を考えておくことが重要とされています。 IPA (독립 행정 기관)情報漏洩発生時の対応ポイント集を簡潔にまとめています。情報が漏洩してしまったときに何をすべきか、こちらも参考にするとよいでしょう。
참조 : IPA (독립 행정 기관) ※4 ファイアウォール:「防火壁」の意。インターネットと社内ネットワークの間に設置して監視する仕組みのこと。 ※5 UTM: "통합 위협 ※6 従業員エンゲージメント:従業員が自発的に会社に貢献したいと思う意欲のこと。(4) 요약
今回は、情報漏洩の事例をタイプ別に紹介しました。情報漏洩は、「外部攻撃」「内部不正」「ヒューマンエラー」によって発生します。情報漏洩が発生すると、自社の業務に大きな影響を与え、社会的信頼の失墜にもつながります。情報漏洩のリスクを極力抑えるためには、十分なセキュリティ対策が必要です。今回紹介した事例などを自社のセキュリティ対策の参考になさってください。
saxa-dx
経営課題におけるトレンド情報や課題解決にお役立ていただける資料をまとめております。ぜひ一度お読みください。
お役立ち資料一覧はこちら ↽
![[2025 Edition] 작업 환경은 무엇입니까? <br/> 현재 상황, 일반적인 문제, 개선 측정에 대한 완전한 요약](/saxa-dx_navi/wp-content/uploads/2025/01/241201_01-1024x561.jpg)
