情報セキュリティ 関連コラム

今こそ社内にセキュリティ消防隊の整備を(2)

2021.05.24

総合研究部 上席研究員 佐藤栄俊

【もくじ】

1.今こそ社内にセキュリティ消防隊の整備を(2)

概要

1.もしも被害に遭ったら

2.有事の際の備えと準備

3.訓練の一般的な流れ

4.訓練後の確認事項

5.これからも増える事故

2.最近のトピックス

3.最近の個人情報漏えい事故(2021年3月、4月)

情報セキュリティ対策のイメージ画像

1.今こそ社内にセキュリティ消防隊の整備を(2)

概要

サイバー攻撃の手法が高度化・巧妙化する中、企業は日々多様化する攻撃への態勢づくりが求められています。事故やトラブルに対する備えは企業においてある程度意識されるようになってきた一方、「マニュアルを一旦作成したが、事故が発生した時に機能できるだろうか。」「訓練や演習もやっておいたほうがよいとは思うけど、結局何をしたらよいのかわからない。」このような不安を抱える方も多いのではないでしょうか。今回の「情報セキュリティトピックス」では、セキュリティ上のインシデントを想定した訓練に焦点を当て、その有効性や実施方法をまとめてみました。いわゆる、サイバー上のリスクに対する『防災訓練』です。参加者はインシデントが発生した際にその沈静化へ向け、関係者間でどのような対応を実施すべきかの検討や、何がうまく機能しないかを確認していきます。さらに、訓練を通して気づいた点や反省点を振り返り、態勢の見直しに役立てることに繋がります。

1.もしも被害に遭ったら

「貴社のサービス利用者の個人情報を窃取した。これらをダークウェブに流出させられたくなければ、5日以内に身代金を暗号資産で支払え」――――。

会社で保有する情報資産が何かしらの被害を受けたらしい、そのような連絡や通知は、ある日突然やってきます。このようなインシデントは、今やどの企業・組織にも起こる可能性があります。ここ数年、マーケティングやサービス開発のために顧客情報を収集しビッグデータを構築する企業が増えています。泥棒たる攻撃者側からすれば「どの家に入っても、それなりの身代金が取れる資産がある」という状態です。

このようなとき、事故対応を誤れば、その企業への社会的信頼は失墜しかねません。しかし、現状、サイバー攻撃による影響を想定した準備や訓練を行っている日本企業はごくわずかであり、被害を受けてから慌てふためくケースがほとんどです。

昨今の標的型サイバー攻撃に代表される高度な攻撃は、従来型の予防対策(FirewallやIPS等による入口、出口対策)だけでは限界を迎えています。従来型のセキュリティ対策で全てのリスクを低減することは困難となっており、事故発生を前提とし、インシデント対応態勢を強化することでダメージコントロールを図ることが求められています。実際にインシデントが発生した場合、被害原因や影響範囲の把握、拡大防止、回復、社内外のステークホルダーへの報告等、担当者は様々な対応に迫られることになります。インシデント対応時に求められる知識や意思決定力を向上させるには、実践的なトレーニングが効果的です。トレーニングや訓練の内容は、個々人のスキルアップを後押しするものから、組織内でのインシデント対応関係者全体の対応能力を向上させるものまで多岐にわたります。組織の体制やメンバーのスキル、課題点等を加味した上でトレーニングを選定することが重要です。

2.有事の際の備えと準備

事故発生時の対応手順や準備については未実施・未周知という事業者も少なくありません。緊急時における誤った対応は被害をさらに大きくさせてしまう危険性がありますので、日頃から連絡体制や対応手順を確認しておくことが重要です。連絡体制や対応手順について、判断に迷う記述や対応方法に不明な記述がある場合には、上司・管理者に問合せを行い確認し、緊急時にすばやい行動がとれるよう「初期対応」、「一時対応」、「復旧作業」等の優先順位付けされた手順を確認しておく必要があります。

また、準備をして、有事の際に適切な行動が取れるかどうかは、訓練を実施することで評価することができます。最悪の状況は、危機発生時にマニュアルや手順が機能しないことです。マニュアルや手順があれば、多くの人は「対策が取られている」、つまり「リスクは一定以下に抑えられている」と判断して行動してしまいます。これを避けるためには、複数のシナリオを想定して、対応の要領が不明な点を繰り返し訓練することでマニュアルの有効性を評価し、改善に努めていくことが効果的です。

地震、火災などの天災時に言われていることですが、いくら完璧なマニュアルを作っても、人がその通りに動けなければ意味がありませんので、役職員に対する訓練は重要です。例えば、大震災の強烈な揺れの中では、パニックになり、落ち着いて考えながら適切な行動はなかなか取れないものです。ある程度、体で覚えることが大事であり、これは情報セキュリティ上のインシデント対応でも同じことがいえます。

情報セキュリティの分野におけるインシデントとは、コンピューターやネットワークのセキュリティを脅かす事象、すなわち、ウイルス感染や不正アクセス、不正侵入、データの改ざん、情報漏えいなどを指し、意図的であるか偶発的であるかを問いません。インシデントレスポンスは、上記インシデントに対し、主に原因の調査や対応策の検討、サービス復旧や再発防止策の実施などの対応を適切に行うことです。最近は、サイバー攻撃が増加傾向にあり、その範囲も広範にわたっています。こうした状況下で、セキュリティ対策を万全に施していたとしても、すべてのインシデントを未然に防ぐことは不可能です。

そこで、インシデントが発生した場合に迅速に対応し、被害の拡大を最小限にするための適切な事後対応が求められます。特に、標的型攻撃などのように、特定のターゲットに対し、周到に、時間をかけて準備され、継続的に実行されるサイバー攻撃などに対応していくためには、常にメンバーや組織内で知識を共有し、事故の発生を前提としたポリシー策定や手順を確立しておくことが重要です。

実際にサイバー攻撃が行なわれると、インシデントの発生するタイミングや攻撃の種類は攻撃者が選択するため、システムの管理者側では予測することが困難です。とりわけ、管理者側の知識や技術が不足している場合や、チーム編成の不備、準備や訓練が十分に行なわれていない、見積りが甘い、などの理由により攻撃を防ぎきることができない可能性があります。したがって、標的型攻撃の訓練や演習、アンケートを通じて、自社内でそのリスク(開封状況)を把握することも重要です。演習や研修、注意喚起を繰り返すことで問題点を抽出し、それを改善するとともに、インシデントの処理にある程度なれておくことで、組織全体でのサイバー攻撃への対応力を向上させることが、被害の拡大を未然に防ぐ意味でも重要だといえます。

3.訓練の一般的な流れ

一度事故が発生すれば、その影響は大変なものですが、平時はどうしても実務を優先しがちです。したがって、計画性が甘いと訓練は意義がないと敬遠されたり、下手をするとただの社内イベントになってしまいます。実際にインシデントが発生したと想定し、発生した時点以降のシミュレートにより、組織的な情報事故対応能力が確立されることをしっかり目的として設定していきたいところです。策定したリスクシナリオを軸に、机上にて各部署ごとのアクション/フローを確認し、実際にインシデントが発生した際の対応力や、想定外の事態が起きた場合の応用力を高めていく必要があります。

①企画立案

はじめに訓練の目的やシナリオの構成を練り、訓練計画を立てます。その際、目的を明確にして、それに適した演習方式を選択することが重要です。

【目的の設定例】

目的 対応マニュアルの理解、課題抽出 組織連携の確認、課題抽出
実施内容 策定済み事故対応マニュアルなどの読み合わせ 対策本部の立ち上げや、初動から対外的対応部門との連携確認

先日、日本IT団体連盟から企業レジリエンス向上を目的としたサイバーセキュリティ演習マップ解説書がリリースされました。本書では数多くあるサイバーセキュリティ演習を分類し、受講者や組織の役割に合わせ、推奨、必須コースを整理しています。

▼一般社団法人日本IT団体連盟、「企業レジリエンス向上のためのサイバーセキュリティ演習マップ解説書」を公開

解説書ではサイバーセキュリティ演習の分類整理をセキュリティ人材の役割、そして演習の提供形式にフォーカスして行っています。セキュリティ人材の役割はIPA(情報処理推進機構)のITSS+※1(セキュリティ領域)で提示されている17分野を活用し、演習の提供形式は独自に9つに分類※2しているため、非常に分かりやすい構成に仕上がっています。

訓練の実施にあたっては、この「サイバーセキュリティ演習マップ解説書」を参照し、必要と思われる演習内容を検討し、次に「サイバーセキュリティ演習マッピングリスト」を利用して具体的な演習を検討していくのも一つの手段となります。

※2: (1) フルスケール演習、(2) 組織演習、(3) サイバーレンジチーム演習、(4) サイバーレンジ演習、(5) 実践演習・机上演習、(6) ハンズオン演習、(7) ゲーム形式(CTF)の組織演習、(8) 専門スキルコース(ハンズオン演習を含む)、(9) サイバー防災訓練・標的型メール演習

②計画と準備

ここでは、具体的な訓練内容を計画します。訓練目的の決定やシナリオの作成にあたって各部門が関心のある、もしくは懸念事項をヒアリングし、共同で検討して調整をおこなっていきます。シナリオの題材の候補としては、情報処理推進機構(IPA)が発表している「情報セキュリティ10大脅威」の最新版を参考にしてみるもの一つです。

▼情報処理推進機構「情報セキュリティ10大脅威 2021」

【リスクシナリオの例】

シナリオ 事態想定
1 標的型攻撃による情報漏えい 社員が標的型攻撃メールを開封し、情報漏えいに発展する。
2 Webサイト不正アクセスによる情報漏えい Webサイトが脆弱性攻撃を受け、サイト内の情報が漏えいする。
3 ランサムウェアによる身代金の要求 社員の一人がランサムウェアに感染し、社内で横感染を拡げる。
4 DDoS攻撃 ホームページやアクセス件数の高いWebサイトがDDoS攻撃を受け、アクセスが困難になる。
5 Webサイト改ざん Webサイトが改ざんされ、他のサイトの攻撃に悪用される。
6 水飲み場攻撃 Webサイトが改ざんされ、不特定の閲覧者がマルウェアに感染する。
7 API攻撃 自社が提供するAPIに脆弱性があり、自社情報が不適切に摂取される。

8 サプライチェーンからの情報漏えい 委託先、代理店、サービス提供者が攻撃され、自社業務に影響が生じる。

【訓練計画例】

訓練の目的 何のために演習を実施するのか

例)
・経営層のセキュリティ意識を向上させる
・○○マニュアルの内容の過不足や修正点を抽出する

訓練日時 いつサイバー訓練を行うのか
対象サービス、システム 訓練でインシデントが発生するサービス、システムが何か

例)
・○○部のファイルサーバ
・ECサイト

場所 訓練を行う会場はどこか
演習参加者 演習に参加するメンバーや部署は誰か
当日までの準備物 訓練当日の必要備品

例)
・プロジェクター:1個
・スクリーン:1個
・ホワイトボード:4個
・○○マニュアル:参加人数分
・ボールペン:参加人数分
・演習時の回答用紙:参加人数分

レイアウト 演習参加者をどのように配置するか

例)
・机を取り囲むようにして座る島方式
・スクリーンを正面として同じ方向を見て座るスクール方式

当日の議題 時間配分も含め、演習当日に何を実施するのか

例)
・13:00~13:05 オープニング
・13:05~13:25 セキュリティ研修
・13:25~13:30 演習実施方法の説明
・13:30~14:30 サイバー演習(2シナリオ分)
・14:30~14:55 演習振り返り
・14:55~15:00 さいごに

大まかなシナリオ 訓練時にどのようなシナリオを提示するのか

例)
・標的型攻撃による顧客情報の流出
・DDoS攻撃によるECサイトのダウン

③訓練実施

訓練本番では当初定めた目的を踏まえ、参加者ひとりひとりが、「実際にインシデントが発生した際に対応が可能か」、「改善可能な点はないか」などを考え、訓練に取り組んでもらう必要があります。訓練といえども当事者意識を持ってもらい、傍観者を出さず、いざというときに前向きに連携・協力関係を築けるように、事前教育や、訓練時の一体感醸成、訓練後の成果創出に努める必要があります。

実際のインシデント対応訓練に入る前に、座学等の事前教育を実施し、リスクの内容や検知手段、内外の対応と判断に必要なITの素養を獲得してもらうことも大事です。また、十分な知見を持つ実務担当者であっても、インシデント対応前に文書の読み合わせと連携方法をひとまず確認し、実際のシミュレーションに入るとスムーズです。訓練実施後は振り返りや対応してきたことの講評を行い、体制や連絡調整、復旧手順などの課題洗い出しと認識、知識を共有します。また、できれば今後に繋がる改善策や方向性を議論していきましょう。

4.訓練後の確認事項

初動対応の定義、その後の対応フロー、再発防止手順など、参加者に対し、既存の対応手順の定着化を図ります。さらに、訓練や演習を通じ、組織体制の意義や手順書の重要性を浸透させることが重要です。また、インシデントを疑似体験することで、問題が無いと思われた対応手順の抜け漏れや、盲点に対する「気づき」の抽出に繋がります。電話不通時の連絡系統や、ネット遮断時の業務遂行方法、復旧までの手順を見直す一助としていきます。さらに、訓練最後の発表、講評において、現在の組織的な課題を認識し、今後の情報セキュリティ管理の改善に向けたヒントとし、組織全体としての情報セキュリティレベル向上のきっかけとしていきます。

その他の留意事項としては、インシデント発生時の行政や顧客、被害者など外部への対応に関することです。個人情報保護法では、情報漏えいが発生した可能性がある場合に個人情報保護委員会への報告を行うように定めています(現在は努力義務、2022年4月に義務化)。所定の報告内容(漏れた個人情報の種類や数、消費者への影響度合い、再発防止策など)をそろえる作業は膨大です。グローバルに事業を展開している会社であれば、利用者のいる各国の個人情報保護当局宛てに、それぞれの要件の異なる報告書を作成しなければなりません。

さらには顧客企業や被害者への説明・問い合わせ対応、上場企業であれば適時開示なども行う必要があります。これらは基本的にはカスタマーサポートやIRの担当部門が担うわけですが、通常の問い合わせに加え、クレームなども多く発生します。そこに手を取られる割合も多く、業務量が膨大になり、精神的にも疲弊していくことになります。社内で役割分担を明確にするだけでなく、事故対応に熟練した危機管理専門企業や、PR会社、弁護士などの外部専門家と事前に連携や態勢を築いておくこともとても重要だということが見えてくるはずです。

5.これからも増える事故

日本企業をねらった身代金要求型のウイルスを使ったサイバー攻撃がここ最近相次いで明らかになっています。報道されているだけでも日本企業の海外の関連会社が攻撃を受けたと見られることがわかっており、化学素材メーカーや総合商社、医療機器メーカーが被害を受けています。

大企業へのサイバー攻撃は話題になり、昨今は毎月、毎週のように取り上げられていますが、かならずしも大企業ばかりが標的にされるわけではありません。

4年前の2017年6月、大阪商工会議所では会員である中小企業からサイバーセキュリティ関係の相談が増加していることを受けて、サイバー攻撃に対する意識調査、現状の対策、被害状況についてアンケート調査を行いました。その結果、特筆すべきは標的型攻撃メールを受けているだけでなく、ランサムウェア(身代金要求ウイルス)に感染し、各種サーバやパソコンが動作しなくなる被害を受け、しかも要求に応じて身代金を払っている企業が存在することでした。それが1社や2社ではなく、回答に応じた大阪の中小企業315社のうち、22社もあったということです。

予算も潤沢で人材も豊富な企業ならいざ知らず、とりわけ予算も人材も余裕がない中小企業では、すべての脅威に対して対抗策を講じることは難しく、これがいま、日本国内のセキュリティ事情における大きな課題だとも言えます。また、専門知識や専門の人材の不足が現しているとおり、弊社が過去に発生した情報漏えい事案において、「実は導入していたツールに原因を防ぐための機能は備わっていたが、その存在を知らずに初期状態のまま運用していたため、漏えいを防ぐことができなかった」というケースも少なくはありません。つまり、どんなに高価で高機能なソリューションを導入しても、理解がないままに運用していては、意味をなさないことも十分有りうるということです。

ここまで訓練や演習の重要性について述べてきましたが、一企業が自力でサイバー攻撃などを想定した従業員向け訓練を実施することは容易ではありません。インシデントの再現や、実機を使用するハンズオン形式の訓練は自社のみでやるのは事実上困難なことが多く、専門の会社に委託するのが一般的であり多いのが実情です。セキュリティベンダーがサイバー攻撃対応訓練をサービスとして提供していますが、訓練や演習は実施すること自体が目的はなく、訓練後の啓発や事業継続を踏まえた対応体制の整備に繋げていくことが重要です。危機管理に関する知見や視点も大事なポイントになりますので、緊急事態対応にかかるトレーニングや体制づくりをご検討される場合は、是非弊社にもご相談ください。

2.最近のトピックス

▼経済産業省「事業者におけるテレワーク等の実施状況を取りまとめました」

経済産業省は5月19日、各企業・団体から5月18日までに回答のあったテレワーク等の実施状況について、取りまとめたものを公表しました。

政府では2021年5月7日改訂の「新型コロナウイルス感染症対策の基本的対処方針」を踏まえ、経済団体に対し在宅勤務(テレワーク)の活用等による出勤者数の7割削減の実施状況について、各事業者が積極的に公表し取組を促進するよう要請しました。同省によると5月18日時点で出勤者数の削減を公表しているのは292団体で、都道府県別に見ると東京都177団体、大阪府39団体、埼玉県・神奈川県9団体、北海道・愛知県7団体の順で全体の6割を東京都が占めています。同様に業種別に見ると製造業が85団体、情報通信業が35団体、サービス業が30団体となり、製造業が3割近くを占めています。

また各事業者の出勤者数の削減の好例として、製造業A社と教育・学習支援業B社、小売業C社の3社について紹介しています。

  • 製造業A社ではテレワーク推進のため、生産、販売、物流、研究を除き、業務上可能な限り最大限在宅勤務を実施するよう周知徹底し、出社が必要な場合も時差出勤を奨励、会議や研修は原則オンライン化を図っている。
  • 教育・学習支援業B社では、出勤者の削減のため月間の在宅勤務の回数制限を撤廃し、オンライン会議システムやビジネスチャットなどのITツールを活用し、原則として在宅勤務態勢に移行、出社時もオフピーク通勤を徹底している。
  • 小売業C社では、テレワーク推進のため目標数値を徹底するとともに、実施に当たりテレワーク手当を支給、環境整備のため全社員への携帯電話貸与やペーパーレス・はんこレス化を実施した。

新型コロナウイルス感染症のパンデミックにより一気に広まったテレワークですが、半強制的に導入せざるを得ない状況だったこともあり、環境整備が追いつかないまま、実施に踏み切った企業も多くあります。新たな感染症を想定すれば、今後も多くの企業がテレワークを何らかの形で継続、導入することにならざるを得ません。このような状況のなか、あらためて確認しておきたいのがテレワーク環境の再点検とセキュリティ対策です。

テレワークの浸透により高まるセキュリティ上のリスクや被害については、新型コロナ感染拡大以降での具体例はまだあまりなく、全貌は見えていないのが現状です。ただし、自宅で使用する機器やパソコンの安全性が確保されていない状況などを鑑みると、社内でイントラネットを利用するよりは、サイバー攻撃による情報漏えいなどの危険性は高くなります。

テレワーク環境に対するサイバー攻撃の被害があらためて認識されるまでには、もう少し時間がかかると思います。顕在化するまでは何か月も気付かれないままリスクが潜在し、深刻化している可能性があるからです。「今、何も起きていないから大丈夫」という認識は間違っており、そのリスクについては危惧されることです。また、従業員がその気になれば、重要な情報を自宅のプリンタで印刷したり、USBメモリにコピーしたりできてしまいます。さらに、悪意はなくとも、誤操作によって情報漏えいにつながる事件や事故が起きる可能性は確実に高まります。しかも万が一、自宅に持ち帰ったPCがマルウェアに感染したり、重要な情報がUSBメモリにコピーされたりしても、企業ではそれを把握する術がありません。「それが判明するのは実際の被害や、情報漏えいが顕在化してから」という事態は、企業としても避けたいところです。

▼経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」

経済産業省は4月26日、「サイバーセキュリティ体制構築・人材確保の手引き」の最新版「第1.1版」を公開しました。

経済産業省では、独立行政法人情報処理推進機構(IPA)とともに、経営者のリーダーシップのもとサイバーセキュリティ対策を推進するための「サイバーセキュリティ経営ガイドライン」を策定しています。さらに企業の経営層に加え、人事担当者・実務者が、体制構築・人材確保において考慮すべき要点をまとめた「サイバーセキュリティ体制構築・人材確保の手引き」(第1版)を、2020年9月に公開しています。

この手引きは、「サイバーセキュリティ経営ガイドライン」における“担当幹部(CISO等)に指示すべき「重要10項目」”のうち、指示2「サイバーセキュリティリスク管理体制の構築」と、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保」について検討の助けになることを目的とした内容となっており、重要事項を箇条書きで示した「ポイント」、有用と思われる内容を囲み記事の形で紹介する「コラム」などが用意されています。

「第1.1版」では、第1版に対して内容の拡充や見直しを行い、サイバーセキュリティ対策に従事する人材の確保方法、必要となるスキルの習得に活用可能な資格制度、サイバーセキュリティ対策に従事する人材育成のイメージなどが追加されました。

「サイバーセキュリティ体制構築・人材確保の手引き」(PDFファイル)は、経済産業省の公式サイトから無償でダウンロード・閲覧可能です。

サイバーセキュリティの体制構築には、経営層をはじめとし、全従業員の協力が欠かせません。特にインターネットを活用したビジネスモデルの拡大が進む昨今においては、その事業を推進する事業部門がサイバーセキュリティを意識することが重要です。ガイドラインや手引きを自組織の体制構築に役立ててください。

▼内閣サイバーセキュリティセンター「「政府機関等における情報システム運用継続計画ガイドライン」の改定について」

内閣サイバーセキュリティセンター(NISC)は4月28日、「中央省庁における情報システム運用継続計画ガイドライン」の改定を発表しました。本ガイドラインは2011年3月に、内閣官房情報セキュリティセンターで初版を策定、2012年5月に優先的に取り組むべき対策例一覧等を追加し第2版に改定しています。今回改訂する第3版では、感染症の流行と技術動向の変化に係る内容を追加し、利便性向上を目的に構成を見直し、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」との整合性を図り、対象組織に独立行政法人及びサイバーセキュリティ戦略本部が指定する法人を加えています。

本ガイドラインでは、特定された危機的事象の発生時に情報システムにおいて生じる被害を想定し、情報システムの抱えるリスクを明らかにすることを目的に、検討事項として以下の項目を挙げています。

  1. 情報システムの運用を継続する最高責任者及び責任者は、危機的事象が発生した際の情報システムに係る下記の被害を想定に含める。
    (a)大規模災害発生時の被害想定
    (b)情報セキュリティインシデント発生時の被害想定
    (c)感染症発生時の被害想定
    (d)その他危機的事象発生時の被害想定
  2. 政府機関等として取組の整合性を確保するため、業務継続計画の被害想定を活用する。
  3. 情報システムの抱えるリスクの算定が複雑となることから、細かすぎる被害想定を避ける。

情報システムの運用を継続する最高責任者及び責任者が想定すべき例として、「大規模災害発生時の被害想定例」「情報セキュリティインシデント発生時の被害想定例」「感染症の流行時の被害想定例」を取り上げ、それぞれ人的資源、建物・設備、情報システム、外部組織を被害想定対象として概要を紹介している。特に「感染症の流行時の被害想定例」では、情報システム運用業務に従事する要員が感染症へ罹患または濃厚接触者としての想定を具体的に挙げています。

▼警察庁「犯罪インフラ化するSMS認証代行への対策について」

警察庁は4月22日、犯罪インフラ化するSMS認証代行への対策について発表しました。「SMS認証」は、ショートメッセージサービス(SMS)で利用者の番号に認証コードを通知し当該コードを用いて認証する方式で、通常は本人確認済の携帯電話の番号に当該認証コードが通知され、金融機関等においては、ID・パスワードによる認証に加え、SMS認証を利用者に実施させる「二経路認証」を採用し、なりすまし等による不正認証を防止しています。

しかし「SMS認証代行」では、通信事業者とSMS機能付データ通信に係る契約を行い、利用者に当該契約に係る番号を提供、あるいは当該番号に通知された認証コードを利用者に代わって受領し利用者に提供することで、なりすまし等による不正アカウントの設定が可能となります。通信事業者の中には、本人確認をすることなくSMS認証代行と契約することがあり、警察捜査における事後追跡性の確保に支障が出ています。

2020年度サイバーセキュリティ政策会議では報告書にて、通信事業者による契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言、一般社団法人日本IT団体連盟はSMSを用いた二経路認証の抜け道になっているとして契約時の本人確認の提言を行っています。

警察庁では1月に、総務省と連携し一般社団法人テレコムサービス協会MVNO委員会に対し、契約時の確実な本人確認を要請、同委員会では加盟事業者の自主的な取り組みとしてSMS機能付データ通信契約に係わる本人確認を実施することを申し合わせしています。また警察庁では、都道府県警察に対し、SMS認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者への取り締まり強化を指示しています。

「音声通話SIM」であれば、契約の際に身分証明書の提出など本人確認が義務付けられますが、「データSIM」にはそうした規制がなく、格安スマホを扱うMVNO(仮想移動体通信事業者)などを通じて手軽に購入できることから、代行業者の多くは「データSIM」を悪用している実態があります。

このような代行は、振り込め詐欺に使われる通話アプリの認証などで悪用の幅が広く犯罪インフラ化が強く懸念されるところですので、取り締まりの強化による効果が期待されます。

3.最近の個人情報漏えい事故(2021年3月、4月)

下記の表は、今年3月と4月に発生した報漏えい事故やトラブル一覧です。会社や組織で公表されているもので、かつ当社で把握しているものであり、国内すべての事案というわけではない点につきましてはご了承願います。

1 医療 メール誤送信 顧客のメールアドレス235件
2 大学病院 USBメモリ紛失 患者56人分の氏名、ID、年齢、性別、検査データ、疾患区分と、患者3人分の氏名、ID、検査データを含む表計算ファイル 個人所有のUSBメモリを自宅に持ち帰り、紛失
3 FAX誤送信 新型コロナウイルスに感染疑いのある市民3名の個人情報
4 誤送付 陽性患者17人分の氏名、住所、電話番号 配送事業者がレターパックに配送リストを誤って同梱
5 メール誤送信 メールアドレス118件 送信先を誤って宛先に設定
6 PC紛失 24人分の氏名や年齢、症例などの患者情報 異動のため、パソコンを含む荷物を運んだところ、到着後にパソコンが見当たらないことに気がついた
7 私立大学 USBメモリ紛失 91人分の氏名および連絡先など
8 メール誤送信 医療従事者向けワクチン接種予定者1,000名の個人情報 本来添付すべきでない接種予定者のリストを添付
9 進学塾 書類紛失 児童と保護者の氏名、住所、会員番号などの宛名シール10件
10 東京都 メール誤送信 申請事業者の職員に関する氏名、住所、生年月日のほか、担当者の氏名とメールアドレス
11 メール誤送信 市民1人の氏名や住所などの個人情報が載った保育所入所内定通知
12 メール誤送信 メールアドレス721件 誤って「CC」を記載したため
13 東京都 メール誤送信 介護職員らの個人情報
14 データ紛失 診者66人分の検診票やX線撮影画像データ
15 市立小学校 書類紛失 6年生33人分の名簿
16 制作 メール誤送信 メールマガジン登録者2,752人のメールアドレス 本文を設定すべき場所にメルマガ登録者のアドレスリストを設定したまま送信
17 印刷 削除ミス 従業員および家族4,167名のマイナンバー情報など エクセルファイルに記録されていたマイナンバーデータを削除し忘れてメール送信したため
18 飲食 メール誤送信 1,283名のメールアドレス 「宛先」に記載して送信
19 通販 メール誤送信 「BCC」で送信すべきところを、「宛先(TO)」で送信
20 メーカー メール誤送信 243件のメールアドレスおよび氏名情報など 「BCC」で送信すべきところを、「宛先(TO)」で送信
21 IT メール誤送信 メールアドレス77件 「BCC」で送信すべきところを、「宛先(TO)」で送信
22 警察 メール誤送信 誤って捜査関係資料を添付して送信
23 建築 メール誤送信 会員登録ユーザーのうち1,204名のメールアドレス 「BCC」で送信すべきところを、「宛先(TO)」で送信
24 メール誤送信 利用者330名のメールアドレス 「BCC」で送信すべきところを、「宛先(TO)」で送信
25 保育園 メール誤送信 メールアドレス359件 「BCC」で送信すべきところを、「宛先(TO)」で送信
26 メール誤送信 児童172名の個人情報 関係のない外部アドレスに送信
27 支援学校 書類紛失 生徒8人分の個人情報が記載された個別の教育支援計画
28 工業高校 誤送信 入学試験合否情報 生徒の入学試験の結果を教員の間で共有したところ、設定を誤って生徒らに合否情報を送信
29 書類紛失 売買契約書類の写し1件で、法人2社の法人名、連絡先、代表者名、担当者名、契約内容など クリップボードに挟んでいた書類が強風により飛散
30 メール誤送信 担当者名やメールアドレス115件 誤って「CC」を記載したため
31 保健センター メール誤送信 新型コロナウイルス感染者や同居者の氏名情報167名分 ファイルの誤添付
32 こども園 メール誤送信 園児72人の氏名や保護者らのメールアドレス 「BCC」で送信すべきところを、「宛先(TO)」で送信
33 銀行 メール誤送信 顧客4万1,729件のカナ氏名や口座番号情報など
34 生活協同組合 メール誤送信 メールアドレス510件 誤って送信先を宛先に入力したため
35 書類紛失 受検者3人に関する氏名、住所、電話番号 一時紛失
36 メール誤送信 メールアドレス365件 「BCC」で送信すべきところを、「宛先(TO)」で送信
37 スポーツ協会 メール誤送信 170名分のメールアドレス 「BCC」で送信すべきところを、「宛先(TO)」で送信
38 人材 メール誤送信 メールアドレス738件 「BCC」で送信すべきところを、「宛先(TO)」で送信
39 学習 メール誤送信 メールアドレス165件 「BCC」で送信すべきところを、「宛先(TO)」で送信
40 航空 不正アクセス マイレージサービスにおいて上位ステータスにある顧客情報。アルファベット表記による氏名、会員番号、会員ステータス
41 誤交付 DV(ドメスティックバイオレンス)の被害者に関する住所情報
42 誤配送 生活保護受給者や保護者などあわせて46人分の個人情報
43 福祉法人 不正アクセス 寄付者4人に関する氏名、住所、電話番号、メールアドレス、支援金額、入金日、入金方法など
44 不正アクセス 住民34人分の氏名、年齢、性別、居住する町名をはじめ、9人分のメールアドレス、ヒアリングに対応した会社24社の名称や担当者の氏名、役職など 委託事業者のサーバがランサムウェアに感染
45 不正アクセス 氏名、性別、郵便番号、住所など4000件 委託先のサーバがランサムウェアに感染
46 通販 不正アクセス クレジットカードの名義や番号、有効期限、セキュリティコードと同サイトで商品を購入した顧客のログインIDやパスワードなど793件
47 不正アクセス 学校や病院、ホテルなど一定規模以上の市内建築物約2000棟に関する所有者の氏名、住所、耐震改修の実施状況など 委託先のサーバがランサムウェアに感染
48 通販 不正アクセス クレジットカードの名義、番号、有効期限、セキュリティコードなど943件
49 支援団体 不正アクセス 件ほどの英文メールが関係者に対して不正に送信された メールアカウントが不正アクセスを受け、関係者に不正なメールが送信された
50 メール誤送信 メールアドレス721件 誤って「CC」を利用したため
51 ホテル 書類紛失 氏名、性別、生年月日、住所、電話番号、メールアドレス、国籍など9629件 誤廃棄の可能性
52 CD紛失 受診者の氏名、住所、電話番号、生年月日、既往歴、検診結果など66件
53 新聞社 不正アクセス 氏名や住所、電話番号、メールアドレス、会社名など1644件のほか、法人顧客のクレジットカード情報24件
54 通販 不正アクセス 1万219人が利用したクレジットカードの情報で、名義、番号、有効期限、セキュリティコード
55 博物館 誤掲載 963人分の氏名、住所、電話番号、年齢、メールアドレスなど
56 東京都 書類紛失 子供の氏名、学年、住所、相談内容など 職員が飲食店に立ち寄り、ビールや焼酎など10杯ほど飲酒後タクシーで自宅に向かう途中、気分が悪くなり、途中で下車したところそのまま眠り込んみ、翌日、目を覚ましたところ、鞄が見あたらないことに気がついた
57 通販 不正アクセス クレジットカード情報1万9197件で、クレジットカードの名義、番号、有効期限、セキュリティコード
58 通販 不正アクセス クレジットカードにより決済を行った顧客2865人が対象で、クレジットカードの名義、番号、有効期限、セキュリティコードなど
59 国立大学 持ち出し 科学研究費助成事業の申請に関する2235件の情報で、研究者の氏名や所属、研究課題名のほか、一部には研究の要約や住所、連絡先など 機密情報である助成事業の申請情報が職員によって外部に持ち出され、転職先のウェブサーバより流出
60 国交省 書類紛失 個人または法人の氏名や住所、車両番号などが記載されていたほか、自動車重量税印紙などの納付書約700件
61 通販 不正アクセス 155人分の住所、電話番号、生年月日、メールアドレスのほか、クレジットカード決済を利用した場合は、クレジットカードの名義、番号、有効期限など
62 誤掲載 住民447人分のカタカナ氏名や電話番号、生年月日など
63 誤公開 新型コロナウイルスの患者の氏名、入院先や転院先の医療機関、入院日、退院日、発生届提出保健所、クラスターの名称、分類など、非公開情報を含む患者490人に関する情報 表計算ファイルより非公開情報を含むシートについて削除し忘れ、そのまま公開してしまった。同問題を受け、担当者に減給など懲戒処分を実施した。
64 医科大学 USBメモリ紛失 非常勤講師123人に関する氏名や住所、生年月日、報酬額などを保存。また同大に合格した学生200人の名前、出身校、性別、順位、現役や浪人などの分類のほか、懲戒処分を受けた学生1人の氏名や処分理由など、あわせて224人分の個人情報 USBメモリは職員の私物で、職員は同大と自宅で利用。2010年5月に保管していた職場の机の引き出しに見あたらないことに気がついていたものの、報告していなかった。匿名の封書が届いたことで判明した。
65 不動産 持ち出し マンションの入居者約5000人分の個人情報 管理を受託するマンションの入居者約5000人分の個人情報を元従業員が無断で持ち出し、外部事業者へ提供した
66 通販 不正アクセス クレジットカード情報152件で、クレジットカードの名義、番号、有効期限、セキュリティコード
67 通販 不正アクセス 取引先担当者約3000人分の名刺情報、派遣スタッフ約1000人分の氏名や派遣元会社名のほか、従業員1940人およびアルバイトを含む退職者1万5815人分の氏名や住所、電話番号、金融機関の口座情報など
68 通販 不正アクセス クレジットカードに関する名義や番号、有効期限、セキュリティコードなど3308件
69 通販 不正アクセス 195人分のクレジットカードの番号、有効期限、セキュリティコードのほか、出荷先の名称や住所、電話番号、メールアドレス
70 公正取引委員会 メール誤送信 アンケートの対象者である協同組合など、1248団体の担当者1381人の情報がで、氏名、電話番号、メールアドレス、組織名、担当部署、役職、アンケートの回答内容など 個人情報が含まれていることに気が付かず、同調査のプレゼンテーションファイルをメールで送信
71 通販 不正アクセス 会員情報5009件の氏名や住所、電話番号、メールアドレス、性別、生年月日のほか、パスワード、パスワードを忘れた際のヒントなど
72 コンビニ 書類紛失 公共料金の料金払込票14件
73 市立大学 メール誤送信 入学を予定する135人分の氏名、性別、志望科、出身校名などを記載したリスト 宛先のスペルミス
74 書類紛失 1クラス児童31人分の児童個人票と個人情報使用承諾書で、氏名、性別、生年月日、保護者氏名、住所、緊急連絡先、同居家族名、欠席したときに連絡できる近所の児童の氏名、通学経路など
75 厚労省 書類紛失 行政文書ファイル185件が入った段ボール箱 誤廃棄の可能性
76 クリーニング 不正アクセス 最大5万8813人分のクレジットカード情報が流出し、悪用された可能性
77 SNS 再公開 106カ国における約5億3300万件のユーザーデータで、電話番号や氏名、生年月日のほか、居住地、交際ステータス、勤務先、件数は少ないがメールアドレスなど 2019年に報告された古いデータであるとされている
78 市立小学校 USBメモリ紛失 現任校や前任校の児童や卒業生など、あわせて482人分の氏名や、学年、クラス、写真、学校生活の様子、テストの点数、作品など
79 求人 不正アクセス サーバ内にある画像や動画ファイルが不正に削除された
80 葬祭関連 不正アクセス 情報流出の有無、不正アクセスの原因などについて調査中
81 通販 不正アクセス クレジットカード情報4026件で、

クレジットカードの名義、番号、有効期限、セキュリティコードなど

82 医療センター 持ち出し 14万件の個人情報が保存されていた。このうち約12万件は、名前や最終来院日など保存した紙カルテの保存一覧 端末を持ち出した職員は、一時自宅でパソコンによる作業を行っていたが、その後使用しなくなり、そのまま失念。自宅で保管されていたパソコンを職員の家族が不要であると勘違いし、2020年9月に廃棄事業者に処分を依頼し、同事業者よりパソコンを買い取った人物が、インターネットオークションへ出品していた
83 鉄鋼 不正アクセス 従業員の氏名やID、メールアドレス、パスワードなど最大1000件の情報 VPN機器の脆弱性が突かれ、ID管理サーバがランサムウェアに感染
84 ホテル 不正アクセス 宿泊を予約した顧客に関する予約情報3093件で氏名や電話番号、宿泊日、宿泊代金
85 経産省 誤公開 12人分の氏名やコメントなどで、記事に対する意見や感想などが第三者より閲覧できる状態だった
86 書類紛失 1クラス33人分の児童個票で、児童と保護者の氏名、住所、電話番号、生年月日、性別、保護者の勤務先、緊急時の連絡先、自宅付近の略図、児童に関する留意事項など
87 通販 不正アクセス クレジットカード情報738件で、クレジットカードの名義、番号、有効期限、セキュリティコードなど
88 就職支援 不正アクセス 応募時の添付ファイル1053人分で、履歴書や職務経歴書、添付書類など
89 FAX誤送信 新型コロナウイルス感染症患者1人の氏名、住所、電話番号、生年月日、性別、年齢、現在の症状など ファックス液晶画面の対象送信先以外のボタンを誤って押し、気づかずそのまま送信
90 調剤薬局 書類紛失 患者93人に関する調剤済み処方箋や調剤録のほか、同日に受け付けた新規患者5人の健康保険証の写し 誤廃棄の可能性
91 金融支援機構 書類紛失 分譲事業者177事業者の代表者や販売担当役員の氏名など、292人分の個人情報 誤廃棄の可能性
92 メール誤送信 新型コロナウイルス陽性者の氏名、居住地、職業、年代、県外との往来状況など、66件の個人情報 個人情報を含む表計算ファイルを誤って添付
93 通販 不正アクセス パスワードを含む会員情報5009件
94 東京都 書類紛失 建築物の管理者1人の氏名と調査者2人および検査者4人の氏名、勤務先、資格など
95 航空 不正アクセス 大31人の氏名、メールアドレス、出発日時、搭乗便、当選商品名などの情報
96 保健所 誤送付 44人分の新型コロナウイルスワクチン接種券付き予診票。氏名、住所、生年月日、性別、所属機関など

「44」「45」「47」は、行政機関より公共事業を広く受託している事業者でランサムウェアの感染被害が発生した問題です。その後の調査の結果、機密性が低い一部のファイルが閲覧されたものの、それ以外でファイルが外部に送信された痕跡などは見つからなかったとしています。同社においては、2021年2月に東京本社のサーバがランサムウェアに感染し、攻撃者によってサーバのデータが暗号化されたものです。外部にデータが流出した可能性もあるとして事態を公表し、外部セキュリティ事業者の協力のもと、調査を進めていました。なお、同社に業務を委託していた政府機関や自治体なども、流出の可能性についてアナウンスを行いました。

もし、ランサムウェアへ感染してデータが第三者に渡ってしまった後に実施可能な対策はほとんどありません。身代金を支払わなければ、業務の停止や機密情報の実質的な喪失など、攻撃者が意図した被害を受ける可能性があります。身代金を支払い、データを復旧できたとしても、再び同じグループや別のグループによるランサムウェア攻撃を受け、身代金を再度支払う羽目になります。相手に既に渡っているデータを回収する術はなく、また、身代金を支払ったとしても、今後一切のリークが発生しないことが保証されるわけでもありません。ほとんどの場合、身代金を支払うかどうかの決断を迫られた時点で、もう手遅れなのです。

このように、手遅れな状況やきっかけをつくらない基本的な対策をあらためて確認しておきたいところです。特に、ランサムウェアは、遠隔地の拠点やテレワーク中の社員の自宅のパソコンなど、相対的に安全性が低い場所から侵入し、企業システムの中枢に感染を広げる手口が一般的です。対策としてまずは、侵入のきっかけをつくらないことです。不審なメールの添付ファイルなどを不用意に開封、実行したりしないなど基本的な事項をあらためて周知するとともに、ウェブサイトにおける侵入防御、攻撃や改ざんなどの検知、脆弱性の検査や発見後の修正対応を講じ、可能であればネットワークやシステムなどにおける不審な通信などの兆候をできる限り監視し、マルウェア感染機器などを分離するといった対応が取れるように備える必要があります。

【基本対策】

  • SNSの不審なURLやメールの添付ファイルを安易に開封しない、本文中に記載されたURLに容易にアクセスしない
  • サーバやクライアントPCにウイルス対策ソフトを使用して、常に最新の状態を保持する
  • ランサムウェアの侵入口となるOSやWebサイト、ソフトウェアを更新し、常に最新の状態を保持する
  • 重要データは定期的にバックアップし、外付けHDDやクラウドのストレージサービスなど端末と異なるネットワーク環境へ避難させておく
  • 感染した端末を確認した際は、即座に有線であればLANケーブルを外す、無線の場合はWi-Fiをオフにする

また、データ損失から復旧する手立てとして最も重要かつ一般的な方法は、定期的なバックアップです。ウイルスに感染しないような手段を講じるだけではなく、万が一に備えてファイルのバックアップを取っておくことは、複数ある防御策のうちの「最後の砦」であり、その手前で幾重にも防御の網を張り巡らせておくことで初めて効果的な対策が可能になります。また、重要データのバックアップを定期的に作成し、その「バックアップデータをオフラインで保管する」ことも重要な視点です。オフライン上でバックアップデータがあれば、PCシステムがランサムウェアに感染し、ハッカーがファイルの暗号化解除と引き換えに暗号資産を要求しても、企業はシステムの状態をロールバックして、数週間または数カ月分のデータを失うだけで済ませることができます。

さらに、感染前の環境をそのまま再現するには、データ領域だけでなく、システム領域を含めたバックアップをとることが推奨されます。そうすることで、復旧のスピードも格段に速くなり、サーバだけでなくクライアントPCも同様に保護しておけば、いずれの場合でも感染前の状態に簡単に復元することが可能になります。バックアップは非常に重要な事後対策ですが、事業継続性も考慮の上、適切な復旧方法を選択することも極めて重要です。データが増加すれば、バックアップにかかる時間や、保管するデータ容量、復旧にかかる時間が無視できなくなりますし、バックアップデータが正常に保管できており、問題なく復旧できる状態であるか整合性を確認しておくことが重要です。

【その他参考情報】

内閣サイバーセキュリティセンター(NISC)は4月30日、重要インフラ事業者等に向けてランサムウェアによるサイバー攻撃について注意喚起を行いました。NISCでは、日本国内でもランサムウェアによるサイバー攻撃が活発化し、クライアント端末だけでなくサーバへの被害も確認される中、ランサムウェア感染によるデータの暗号化、業務情報や個人情報の窃取等の被害は、経済・社会に大きな影響を与えることを踏まえ、予防策、感染した場合の緩和策、対応策等を検討するよう呼びかけています。NISCでは対策について、予防、検知、対応、復旧の観点から行う必要があり、以下の通り具体的な例を示しています。

▼内閣サイバーセキュリティセンター「ランサムウエアによるサイバー攻撃に関する注意喚起について」
  1. 【予防】ランサムウェアの感染を防止するための対応策
    • セキュリティパッチの迅速な適用
    • 不要なポート(137(TCP/UDP)、138(UDP)、139(TCP)、445(TCP/UDP)、3389(TCP/UDP)やプロトコルを外部に開放しない
    • 悪用が報告されている以下のソフトウェアや機器の脆弱性への対処
      • Fortinet製 Virtual Private Network(VPN)装置の脆弱性(CVE-2018-13379)
      • Ivanti製VPN装置「Pulse Connect Secure」の脆弱性(CVE-2021-22893、CVE-2020-8260、CVE-2020-8243、CVE-2019-11510)
      • Citrix製「Citrix Application Delivery Controller」「Citrix Gateway」「Citrix SD-WAN WANOP」の脆弱性(CVE-2019-19781)
      • Microsoft Exchange Server の脆弱性(CVE-2021-26855等)
      • SonicWall Secure Mobile Access(SMA)100シリーズの脆弱性(CVE-2021-20016)
      • QNAP Systems 製 NAS(Network Attached Storage)製品「QNAP」に関する脆弱性(CVE-2021-28799、CVE-2020-36195、CVE-2020-2509等)
      • Windowsのドメインコントローラーの脆弱性(CVE-2020-1472等)
    • 職場から持ち出したPCを職場で再び利用する際のパッチ適用やウイルススキャン
    • ウイルス対策ソフトの導入と最新化、定期スキャンの実施
  2. 【予防】データの暗号化による被害を軽減するための対応策
    • 重要なデータの定期的なバックアップ
    • バックアップデータから実際に復旧できることの確認
    • 機微なデータや個人情報に対し特別なアクセス制御や暗号化の実施
  3. 【検知】不正アクセスを迅速に検知するための対応策
    • サーバ、ネットワーク機器、PC等のログの監視強化
    • 振る舞い検知、EDR、CDM等の活用
  4. 【対応・復旧】迅速にインシデント対応を行うための対応策
    • ランサムウェアへの対応計画が適切に策定できているかの確認
    • 一部職員が不在であっても、他の職員が迅速にシステム管理者に連絡できることを確認する
    • 組織内外に迅速に連絡できるよう連絡体制を確認

セミナーや研修について

当社ではSNS利用上のリスクや情報管理(主に情報漏えい対策)に関して、セミナーや研修を企業・自治体・学校、病院等の分野で数多く実施しております。

セミナーや研修を通じて、新社会人(新入生)に限らず、全社的に教育を実施しインターネットの特性や情報リテラシーの理解、意識の向上を検討されている際は是非ご相談ください。

【お問い合わせ】
株式会社エス・ピー・ネットワーク 総合研究部
Mail:souken@sp-network.co.jp
TEL:03-6891-5556

Back to Top