2024/09/26 i-FILTER,m-FILTER,サイバー攻撃
2024年上半期国内セキュリティインシデント集計
2024年上半期(1~6月)国内組織における情報漏えい等にかかるセキュリティインシデントを、対象組織による公開報告書およびマスメディアによる報道資料をもとに独自に集計しました。下図は2019年以後の半期毎での集計です。
※新たに見つかったインシデントの追加や、既存インシデントの更新情報の反映等を行ったことにより増減が発生している場合があります(例:第一報では障害発生のみが報告されていたが、しばらく後にランサムウェアによるセキュリティインシデントだったと続報が出されたなど)。あらかじめご承知おきください。
紛失・盗難 | パソコンやUSBメモリといった記録媒体や紙文書の紛失や盗難など |
不正アクセス | 脆弱性を突かれるなどして侵入され、情報窃取やWebサイトの改ざん、スパムメールの踏み台にされてしまったなど |
誤操作、設定不備 | FAXや書類の誤送付、システムの不具合や人為的な設定不備により意図せず公開されてしまったなど(電子メールでの誤送信は含まない) |
業務外利用・不正持出 | 機密情報の無断閲覧や、不正に持ち出した情報を外部の者に譲渡など |
メール誤送信 | 電子メールで宛先を誤って送信してしまったなど |
マルウェア感染 | Emotetのようなマルウェア感染やその他ランサムウェアへの感染など |
全体的に増加傾向
近年、公表されるセキュリティインシデントは増加傾向にあります。(2022年上半期はEmotetが活発で「マルウェア感染」インシデントが非常に多かったため少し特殊な数値となっています。)
2024年上半期は「不正アクセス」が最も多く、「業務外利用・不正持出」が減少していました。
また、昨年同期比での増加率で見ると「マルウェア感染」が特に増加していました。
「業務外利用・不正持出」が減少については、昨年下半期に多かったNTTマーケティングアクトProCX 元派遣社員による顧客情報の不正持ち出し関連のインシデントがなくなったことが要因となります。
こちらのインシデントについては、下記のレポートで触れていますのでご参照ください。
[2024年4月公開]過去3年分の国内セキュリティインシデント集計
また、今回のセキュリティインシデント増加の外的要因の1つとして、個人情報保護法の施行規則及びガイドラインの改正が挙げられます。個人情報保護法の施行規則及びガイドラインは令和5年12月27日(2023年12月27日)に改正され、令和6年4月1日(2024年4月1日)付で施行されました。今回の改正では漏えい等発生時の報告・通知義務と安全管理措置を講じる義務、保有個人データに関する事項の公表等の対象範囲が拡大されました。(改正個人情報保護法規則7条第3号、ガイドライン通則編)
他に改正された項目としては、個人情報の漏えい発生時の報告対象となる事態に関して、委託先等の第三者に対する不正アクセス等によって生じた漏えい等も報告の対象となりました。(ガイドライン通則編3-5-3-1)
前回の令和4年4月1日(2022年4月1日)に施行された個人情報保護法改正の影響により、令和4年度の個人情報保護委員会の年次報告では、漏えい等事案に関する報告件数は前年比約4倍(4,217件)となっており、今回の施行規則及びガイドライン改正によって報告件数のさらなる増加が見込まれ、個人情報の取り扱いがより一層重要になっていることがわかります。
不正アクセス
2024年上半期の「不正アクセス」の中でもWebサイトが最も多く、Webサイトが改ざんされたケースやショッピングサイトへの不正アクセスにより顧客情報の流出があった事案などがありました。
それ以外はSNSアカウント乗っ取りやスパム踏み台、サポート詐欺によるPC遠隔操作の順で続き、特にSNSアカウント乗っ取りが増加していました。
このSNSアカウント乗っ取りは、企業やファッションブランド、WebメディアやイベントのX(旧Twitter)やInstagramの公式アカウントなどを乗っ取り、外部サイトに誘導するURLが付いた不審なダイレクトメッセージ(DM)の送信や、アカウント運営者の意図しない投稿をするといった事象が確認されています。万が一、身に覚えのない不審なメッセージが届いた場合は「削除」や「ブロック」の対応とともに、外部サイトに誘導するURLにはアクセスしないよう注意しましょう。
マルウェア感染
下図は「マルウェア感染」に分類したインシデントをさらに細かく分類し、それぞれの推移を表したグラフです。
2024年上半期の「マルウェア感染」のうち、ランサムウェア被害によるものが9割以上を占めており、その件数は昨年同期比で倍増していました。
また、「マルウェア感染」の76件中27件が多数の組織が印刷業務を委託する委託先企業のランサムウェア被害が起因となった情報漏えいインシデントでした。※本集計は6月末までの公表分を対象としていますが、7月以降も当該委託先企業関連のインシデントが継続して確認されています。
この委託先企業のランサムウェア被害によって、同社に業務を委託していた多数の組織が情報漏えいの可能性を公表しており、自治体から金融機関まで多岐にわたっていることから、影響が広範囲に及ぶインシデントであることがうかがえます。他に影響が広範囲に及んだインシデントとして、KADOKAWAグループのランサムウェア被害によるグループ企業のサービス停止や情報漏えいがありました。
さらに、「マルウェア感染」の半数がサプライチェーンに起因するインシデントであり、この印刷業務の委託先企業の事例がその主な要因となっています。
おわりに
2024年上半期は不正アクセス、ランサムウェア被害などによるマルウェア感染が増加していました。
依然としてサプライチェーンに起因するインシデントも多く、印刷業務の委託先企業のランサムウェア被害によるインシデントなど、影響範囲の広いインシデントもありました。
今後もランサムウェアの脅威は続く可能性があり、引き続き警戒が必要です。セキュリティインシデントはどこでも起こり得るものであるため、他人事ではなくすぐ近くにあるものとして認識し、適切なセキュリティ対策を講じることが必要となります。
また、委託先や取引先やクラウドサービスなどとのネットワーク接続が増え、サプライチェーンが多様化・複雑化することに伴ってリスクが増加しています。自組織が被害を受けるだけでなく、自組織を起因として他の組織へ被害を与えてしまったり、逆に他の組織やクラウドサービスが起因となって被害を受ける可能性も考えられます。個人情報保護法の施行規則及びガイドライン改正に伴って、自組織が実施するセキュリティ対策はもちろん、委託先や取引先やクラウドサービス側の情報セキュリティ対策の確認や監査といったことも検討し、サプライチェーン全体を視野に入れ被害が発生しにくい環境を目指すべきでしょう。