情報セキュリティトピックス 2016年7月号
     ~不正アクセスによる大規模情報漏えい事故~

 先月6月、旅行会社大手の株式会社JTBは、子会社が管理するサーバが外部から不正アクセスを受け、内部情報が漏えいしたことを発表しました。漏えいの規模は、約678万件(発表当初は約793万件)で、事態を重くみた観光庁は、JTBの業務の一部を制限することを先月25日に発表しました。
 報道によると、本事案によりJTBは主力予約サイトの一つである「JTBホームページ」で、2016年6月の取扱額は前年同月比10%減に落ち込んだとしています。一方で、7月8日に開かれた、セキュリティ専門家など有識者による「旅行業界情報流出事案検討会」の第1回では、観光庁はJTBの再発防止策に一定の評価を示したとのことです。この評価によって、国の助成を使った割安な九州旅行のWebサイト販売が観光庁から認められるようになり、7月13日から販売を始めています。本件、事案が発覚してから公表するまでの期間(約3ヶ月間)に対しての誹りはあったものの、現時点では元々の組織体制の致命的な不備や二次被害が確認されていないということから、少しずつ収束しつつ状況にあることが窺えます。

 ただ、標的型攻撃を発端とした大きな被害は、2015年の日本年金機構の漏えい事故以来、1年たたずにしての大きな事件となります。また本件だけではなく、大きな被害はなくとも、ECサイトや大学・研究機関、病院を狙ったDDoS攻撃"や"SQLインジェクション攻撃"をはじめとした、Webサイト/アプリケーションの脆弱性を突いた悪意あるサイバー攻撃、事業・サービスの停止や情報漏えいを招く事故は日々多発しています。サイバー攻撃を受けた場合にはサービス停止や顧客への補償などにまで発展する可能性が高いため、情報を管理するサイトやサービスの運用には細心の注意が必要になります。
 また、サイバー攻撃によるその多くは、被害を受けていること、または加害の立場となってしまっていることに自ら自発的には気が付かないこと(消費者や特定団体等の第三者からの通報で発覚)が多い点が問題として挙げられます。特にWebサイト改ざんによる被害は、事業規模やサービス内容にかかわらず、対岸の火事として放置できない状況にあります。

 今回の情報セキュリティトピックスでは、「今そこにある危機」である標的型攻撃の脅威をあらためて理解・警戒するとともにその対策について考えます。


続きは、こちらから

ニュース

  • ロスマイニング®・サービス

  • Webアンケートサービス

  • 生産物回収コンサルティング

  • 個人情報漏洩時の対応コンサルティング

SPクラブメンバーズサイト

週刊危機管理Plus

書籍のご案内


内部通報窓口「超」実践ハンドブック


企業不祥事の緊急事態対応「超」実践ハンドブック


金融機関営業店のための VS反社 対応マニュアル


反社会的勢力排除の「超」実践ガイドブック


クレーム対応の「超」基本エッセンス


ミドルクライシス®マネジメント


暴力団排除条例ガイドブック

事例紹介 よくあるご相談