Digital Arts Security Reports

2024/04/22    i-FILTER,m-FILTER,サイバー攻撃

[2024年4月公開]過去3年分の国内セキュリティインシデント集計

2021年から2023年の国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました【図1】。

【図1】2021~2023年 国内セキュリティインシデント
【図1】2021~2023年 国内セキュリティインシデント

※公開済みの記事(※1、※2)と比較すると分類項目によっては数値の増減があります。
これは記事作成にあたって、新たに見つかったインシデントの追加や既存インシデントの更新情報の反映/分類の見直し、等を行ったことによります。あらかじめご承知おきくださいますようよろしくお願いいたします。

(※1)2023年上半期国内セキュリティインシデント集計
(※2)[2023年1月公開]過去3年分の国内セキュリティインシデント集計

紛失・盗難パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など
不正アクセス脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど
誤操作、設定不備FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど(電子メールでの誤送信は含まない)
業務外利用・不正持出機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など
メール誤送信電子メールで宛先を誤って送信してしまったなど
マルウェア感染Emotetのようなマルウェア感染やその他ランサムウェアへの感染など


2023年はインシデント総数が916件となり、「マルウェア感染」以外の分類項目はすべて増加していました。

「マルウェア感染」インシデントの減少

2021年比で約10倍となっていた2022年の「マルウェア感染」インシデントが、2023年は顕著に減少していました。理由はEmotetがメールでの配信活動を休止したためです
Emotetは2022年7月中旬からメールでの配信活動を休止後、11月に短期間の活動を観測したものの再び休止。翌2023年3月上旬に活動を再開したものの、同月下旬から本稿執筆時点までメールでの活動を観測しておりません。

不正アクセス

【図2】2021~2023年 国内セキュリティインシデント 不正アクセス
【図2】2021~2023年 国内セキュリティインシデント 不正アクセス

2023年の不正アクセスは2022年よりも総数が増加していました。「Webサイト」への不正アクセスが最も多く、全体の約1/3を占める結果となりました。中でもショッピングサイトの不正アクセスにより、購入者情報が漏えいするケースが多くを占めていました。
また、「その他」にはネットワーク機器や顧客管理システムなどへの不正アクセスなどが含まれます。


誤操作、設定不備

【図3】2021~2023年 国内セキュリティインシデント 誤操作、設定不備
【図3】2021~2023年 国内セキュリティインシデント 誤操作、設定不備

設定不備と人為ミスによるインシデントが多くを占める結果となりました。2023年は前年比で人為ミスが減少し、設定不備が増加、設定不備の1/4はGoogleフォームを利用した設定不備によるものでした。

メール誤送信

【図4】2021~2023年 国内セキュリティインシデント メール誤送信
【図4】2021~2023年 国内セキュリティインシデント メール誤送信

2023年も例年と同じく送信先設定ミスが多くを占める結果となりました。「送信先設定ミス」は送信先を宛先や「CC」に設定し、誤送信したことで、受信者間でアドレスが表示されていたものとなります。

業務外利用・不正持出

【図5】2021~2023年 国内セキュリティインシデント 業務外利用・不正持出
【図5】2021~2023年 国内セキュリティインシデント 業務外利用・不正持出

「業務外利用・不正持出」は前年比で2倍以上増加していました。2023年「業務外利用・不正持出」の約半数(44件)は、NTTマーケティングアクトProCX 元派遣社員による顧客情報約900万件以上の不正持ち出し関連のインシデントで、影響範囲が広かったことによるものになります。

2023年12月19日 NTTビジネスソリューションズに派遣された元派遣社員によるお客さま情報の不正流出について(続報)

サプライチェーンに起因するインシデント

2023年上半期国内セキュリティインシデント集計でも取り上げた、サプライチェーンに起因するインシデントを集計しました。
2023年上半期国内セキュリティインシデント集計

IPAが選出する情報セキュリティ10大脅威 2024(IPA)組織編に「サプライチェーンの弱点を悪用した攻撃」が2位にあり、脅威となっていることがうかがえます。
また、攻撃を受けて発生するインシデント以外にも、サプライチェーンでの「業務外利用・不正持出」などによって発生するインシデントも見逃せません。

下図は、自組織が直接的な要因ではなく、委託先や子会社や利用サービス事業者側が起因となったものを「サプライチェーンに起因するインシデント」として集計したものです。

【図6】2022~2023年 サプライチェーンに起因するインシデント
【図6】2022~2023年 サプライチェーンに起因するインシデント

2023年全体で該当したものは22%(204件/916件)で、2022年全体13%(136件/1042件)より増加しており、2023年上半期23%(103件/450件)と同様に、全体の約4分の1がサプライチェーンに起因するインシデントでした。


学校・教育機関に起因するインシデント

文部科学省が公開している「 教育情報セキュリティポリシーに関するガイドライン 」が2024年1月に改訂され、ガイドライン改訂に伴うセキュリティ対策の見直しが求められる中で、学校・教育機関でのインシデントも散見されたため、学校・教育機関・関連組織で発生したインシデントにフォーカスして集計しました。

【図7】2021~2023年 学校・教育機関インシデント
【図7】2021~2023年 学校・教育機関インシデント

学校・教育機関に起因するインシデント総数は年々増えています。「紛失・盗難」「不正アクセス」「誤操作、設定不備」「メール誤送信」の割合が多く、いずれの年も最も多いのは、「紛失・盗難」でした。

学校・教育機関インシデント 紛失・盗難

【図8】2021~2023年 学校・教育機関インシデント 紛失・盗難
【図8】2021~2023年 学校・教育機関インシデント 紛失・盗難

「紛失・盗難」の総数も年々増加しており、いずれの年も書類紛失が最も多く、こちらも年々増加していました。
書類紛失は、生徒の個人情報を含む児童個票、指導要録、修学旅行関連資料、健康診断書などの紛失になります。書類内に記載されていた個人情報の人数の平均は1件あたり363人。(人数が公開されているインシデントのみ集計)
特に指導要録の紛失は、1件平均2195人で、記録されている人数および個人情報が多いこともあり、書類紛失の中でも影響が大きいものと言えるでしょう。

学校・教育機関インシデント 不正アクセス

【図9】2021~2023年 学校・教育機関インシデント 不正アクセス
【図9】2021~2023年 学校・教育機関インシデント 不正アクセス

「不正アクセス」の総数は2022年よりも倍以上で、スパムメールの踏み台となったものが最多でした。Webサイトへの不正アクセスとサポート詐欺によるPC遠隔操作のインシデントも増加していました。

サポート詐欺については、下記レポートでも取り上げていますので、ご参照ください。
広告からサポート詐欺サイトが表示、その手口を分析

学校・教育機関インシデント 誤操作、設定不備

【図10】2021~2023年 学校・教育機関インシデント 誤操作、設定不備
【図10】2021~2023年 学校・教育機関インシデント 誤操作、設定不備

「誤操作、設定不備」の総数は2022年よりも増加、人為ミスによるインシデントの割合が多く、特に2023年下半期の件数が多い結果となっていました。人為ミスの詳細は黒塗り(マスキング)の不備により個人情報が閲覧可能となっていた事例や、個人情報の誤掲載、個人情報を含む書類の誤送付によるものになります。設定不備によるインシデントも増加しており、フォーム上での公開設定の不備によるものや、ファイルの閲覧権限不備によるものが多くを占めていました。

学校・教育機関インシデント メール誤送信

【図11】2021~2023年 学校・教育機関インシデント メール誤送信
【図11】2021~2023年 学校・教育機関インシデント メール誤送信

「メール誤送信」も総数は年々増加し、送信先設定ミスによるインシデントの割合が多く、送信先設定ミスは送信先を誤って宛先に設定して送信したことで、受信者間でメールアドレスが閲覧できる状態となっていた事例が多くを占めていました。2023年のスペルミスの事例についてはGmailのスペルミスによるドッペルゲンガードメインへの誤転送や誤送信が多く見られました。

まとめ

2023年においても、セキュリティインシデントは発生し続けており、件数も増加していました。
2024年もセキュリティインシデントが増加する可能性があり、活動休止中のEmotetはまたいつ再開するとも限りませんし、引き続き警戒が必要です。
セキュリティインシデントはどこでも起こり得るものであるため、他人事ではなくすぐ近くにあるものとして認識し、適切なセキュリティ対策を講じることが必要となります。

また、委託先や取引先やクラウドサービスなどとのネットワーク接続が増え、サプライチェーンが多様化・複雑化することに伴ってリスクが増加しています。自組織が被害を受けるだけでなく、自組織を起因として他の組織へ被害を与えてしまったり、逆に他の組織やクラウドサービスが起因となって被害を受ける可能性も考えられます。自組織が実施するセキュリティ対策はもちろん、委託先や取引先やクラウドサービス側の情報セキュリティ対策の確認や監査といったことも検討し、サプライチェーン全体を視野に入れ被害が発生しにくい環境を目指すべきでしょう。

学校・教育機関においてもインシデントが増加していました。
教育情報セキュリティポリシーに関するガイドラインの改訂(2024年1月)により、「GIGAスクール構想の下での校務の情報化の在り方に関する専門家会議」の提言等を踏まえた教育情報セキュリティの考え方の提示などが追記されています。
中でも、ネットワーク統合を前提としたパブリッククラウド活用における適切なセキュリティ対策として、重要な校務系情報を取り扱う場合において、イ