2023/07/31 i-FILTER,m-FILTER,サイバー攻撃
2023年上半期国内セキュリティインシデント集計
2023年上半期(1~6月)国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました。下図は2018年以後の半期毎での集計です。
※新たに見つかったインシデントの追加や、既存インシデントの更新情報の反映等を行ったことにより増減が発生している場合があります(例:第一報では障害発生のみが報告されていたが、しばらく後にランサムウェアによるセキュリティインシデントだったと続報が出されたなど)。あらかじめご承知おきください。
紛失・盗難 | パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など |
不正アクセス | 脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど |
誤操作、設定不備 | FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど(電子メールでの誤送信は含まない) |
業務外利用・不正持出 | 機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など |
メール誤送信 | 電子メールで宛先を誤って送信してしまったなど |
マルウェア感染 | Emotetのようなマルウェア感染やその他ランサムウェアへの感染など |
「マルウェア感染」インシデントの減少
2023年の上半期は「マルウェア感染」が減少しました。原因はEmotetがメールでの配信活動を休止したためです。
Emotetは2022年7月中旬からメールでの配信活動を休止。その後、11月に短期間の活動を観測したものの再び休止。翌2023年3月上旬に活動を再開したものの、同月下旬から本稿執筆時点までメールでの活動を観測していません。
全体的には増加傾向
近年、公表されるセキュリティインシデントはおおむね増加傾向にあります(2022年はEmotetが活発で「マルウェア感染」インシデントが非常に多かったため少し特殊な数値となっていますが)。考えられる理由としては下記があります。
まずひとつに、意識の変化ということが考えられます。昨今の世間や組織でのセキュリティに対する意識の高まりにより、自組織で発生したセキュリティインシデントについて情報を公表すべきとする組織が増えているということでしょう。
もうひとつは、予防的な公表というリスク回避の意味もあるでしょう。もし公表しないまま、外部のメディア報道やSNSで拡散されてしまった場合のリスクを考慮していることも考えられます。認知から公表までの期間が長くなると「情報漏えいを隠そうとしていたのではないか」という風評が立つことになりかねません。
他には、公表せざるを得ないという場合もあります。ランサムウェア被害のようなインシデントでは、ファイルやデータを暗号化された結果サービスを提供することができなくなったことを顧客に対し説明する必要が発生するため結果として公表に至るといったことが起こりえます。
個人情報保護法の報告義務について
個人情報保護法では令和4年4月1日(2022年4月1日)より、個人データの漏えい等が発生し、個人の権利利益を害するおそれがあるときは、下記の項目について義務となりました(個人情報保護法26条より)。
- 個人情報保護委員会への報告
- 本人への通知
ただし、「ホームページ等での公表」については義務化されていません(個人情報保護委員会では、本人への通知が困難な場合の代替措置のひとつの例としては挙げられています)。
しかしながら、義務である委員会への報告と本人通知だけでなく、ホームページ等でもインシデントを公表する組織が増えてきているように感じられます。
サプライチェーンに起因するインシデント
IPAが選出する情報セキュリティ10大脅威 2023(IPA)組織編に「サプライチェーンの弱点を悪用した攻撃」が2位にあり、脅威となっていることがうかがえます。また、攻撃を受けて発生するインシデント以外にも、サプライチェーンでの「人的ミスやシステムの設定不備」などによって発生するインシデントも見逃せません。
下図は、自組織が直接的な要因ではなく、委託先や子会社や利用サービス事業者側が起因となったものを「サプライチェーンに起因するインシデント」として集計したものです。
2023年上半期で該当したものは23%(103件/450件)でした。
約4分の1がサプライチェーンに起因するインシデントです。
ただし、集計にあたっては公開文書等から判断可能であったもののみとしているため、発生元が自組織なのか委託先なのかといった内容を記述していない場合もありますので、実際はこれ以上に存在する可能性があります。
委託先や取引先やクラウドサービスなどとのネットワーク接続が増え、サプライチェーンが多様化・複雑化しています。一方で、これに伴ったリスクが増加しています。不適切なセキュリティ対策によってシステム障害や情報漏えいなどのインシデントが発生する可能性も高まっています。
自組織が被害を受けるだけでなく自組織を起因として他の組織へ被害を与えてしまったり、逆に他の組織やクラウドサービスが起因となって被害を受ける可能性も考えられます。
自組織が実施するセキュリティ対策はもちろん、委託先や取引先やクラウドサービス側の情報セキュリティ対策の確認や監査といったことも検討し、サプライチェーン全体を視野に入れ被害が発生しにくい環境を目指すべきでしょう。