更新:2023/09/10
平素より予防法務協会をご利用いただきありがとうございます。
直近に発生したサイバーリスク関連の「インシデント・脆弱性情報」「政策・立法関連情報」等をまとめて皆様に月1回、配信させていただいております。
企業経営者・従業員が把握しておくべき、サイバーリスクに関する最近のインシデント、政策、社会的動向等を紹介します。
新聞等で取り上げられないものも含め、世の中でどのようなサイバーインシデントが発生しているのかを把握するのにお役立ていただければと存じます。
┌―――目次――――――――――――――┐
1:インシデント・脆弱性情報等
2:政策・立法関連
3:対策
4:その他
└―――――――――――――――――――┘
1.インシデント・脆弱性情報等
◇2023/7/19 某クラウドサービス提供会社 ランサムウェア攻撃による不正アクセスの調査結果を公表
某クラウドサービス提供会社は7月19日、同社サーバへの不正アクセスに関して第三報を公表した。
同社はこれまで、製品における接続障害やランサムウェアによる不正アクセス被害、個人情報が漏えいした可能性について公表していた。
同社によると、6月5日未明に複数のサーバがサイバー攻撃を受けてデータが暗号化されたことでシステムが停止したため、サービスを正常に提供できない状況となったという。
外部専門機関による調査の結果、公表時点でランサムウェア感染による情報の漏えいは確認していないとのこと。
データが窃取された可能性を完全に否定することはできないが、情報の窃取や外部への転送の痕跡、ダークウェブ等での公開は確認しておらず、情報漏えいの事実は確認していないとしている。
一部報道で漏えいが懸念されていたマイナンバーに関しては、高度な暗号化技術を施していたため、漏えいのおそれがある情報の範囲には含まれないとしている。
サービスについては6月30日より順次、新しいクラウド基盤にて環境を構築して再開しているとのこと。
なお、同社は8月8日、8か月間におよぶ役員報酬の減額ならびに監査役報酬額の自主返上、2024年3月期第1四半期決算における特別損失の計上等について公表している。
特別損失においては固定資産除却損として125,934千円、システム障害対応費用として103,780千円を計上するとのこと。
新しくクラウド基盤でのサービスを提供するためランサムウェアに感染したデータセンタ内のサーバの撤去を予定しているほか、本件に伴って外部専門機関への調査委託費用、セキュリティ強化のための費用等が発生したためとしている。
◇2023/7/20 某電機・電子製造会社の海外子会社に不正アクセス・個人情報漏えい
某電機・電子製造会社は7月20日、6月16日に第一報を公表していた米国販売子会社への不正アクセスについて第二報を公表した。
同社は6月15日、同子会社においてランサムウェア攻撃により社内ネットワークが不正アクセスを受けたことを確認したという。
本件をきっかけに調査を行った結果、新たにカナダ子会社も同時期に不正アクセスを受けており、現地の従業員や直営店・取引先の個人情報が窃取されていたことを確認したとのこと。
同社は不正アクセス確認後、システムのネットワーク接続を遮断し、安全対策を講じた上で復旧を終え、公表時点で通常通り営業しているとのこと。
その他拠点の状況として、国内拠点、海外拠点のネットワークについても全て調査を実施し、不正アクセスの被害はなく、他拠点のシステムへの影響もないという。
同社はグループ全拠点のシステムにおけるセキュリティ強化やアカウント管理の徹底、従業員へのセキュリティ教育を実施していくとしている。
◇2023/7/21 某通信会社に不正アクセス・個人情報漏えい 第三者が子会社従業員になりすまし
某通信会社は7月21日、内部サーバが不正アクセスを受け、取引先や同社従業員の個人情報が漏えいした可能性があることを公表した。
6月1日、同社サーバに不自然なアクセスログを発見したため、調査を開始したという。
外部専門機関による調査の結果、不正アクセスの原因は、第三者が同社子会社の従業員になりすまし、子会社のネットワークを経由した上で、社内サーバにログインしたためとのこと。
なりすましログインの手法等は公表時点で調査中とし、不正アクセスされたファイルは持ち出された可能性が高いという。
漏えいした可能性がある個人情報は、取引先76名の氏名・電話番号・FAX番号・メールアドレス・社員番号・所属・役職・所属先住所と、同社及び同社グループの社員(退職者含む)と関係者1,375名の氏名・電話番号・メールアドレス・社員番号・所属・役職であるとし、公表時点で、二次被害の報告は受けてないとしており、二次被害のおそれは限定的としている。
同社は情報セキュリティ対策の強化に努めていくとしている。
◇2023/7/21 某共済組合の人間ドック受診者の個人情報 委託先が誤公開
某共済組合は7月21日、同組合が保有する個人情報の一部がインターネット上で閲覧可能な状態になっていたことを公表した。
漏えいした情報は2020年度に実施した1医療機関分の人間ドック対象者301名の組合員番号・所属名・所属電話番号・組合員氏名・当時の年齢・性別・自宅住所・所属住所で、2020年12月17日から2023年7月14日の期間で閲覧可能であったとのこと。
本事象の原因は人間ドックシステム保守業務を委託していた業者による不適切なデータの取り扱いだとしている。
同組合によると、委託先は2020年12月17日に人間ドックシステムのメンテナンス作業を行った後、個人情報が含まれるプログラムデータをUSBメモリにコピーして持ち帰り、インターネットに接続可能なテスト公開用サーバにコピーしたため、情報が外部から閲覧できる状態になっていたという。
7月14日に組合員より連絡を受けて発覚、その後委託先に連絡し当該ファイルが表示されないようサーバのインターネット接続を切断、検索サイト事業者へ情報の削除依頼を行ったとしている。
7月20日に当該データの対象者へお詫びの文書を発送したという。
委託先は今後の対応として、USBを用いないデータの受け渡し方法の検討、インターネットからアクセスできないサーバでの作業の実施、サーバ適用時の複数人での確認等の措置を講じるとしている。
同組合は今後、委託先による個人情報取り扱いの責任体制の強化を求めると同時に、個人情報の適正管理方法の周知徹底を図るとしている。
◇2023/7/24 某情報処理会社 メーカーサポート会社2万3千件の個人情報漏えい
某情報処理会社は7月24日、メーカーサポート会社のID連携システムへの個人情報混入により、小学校児童及び中学校生徒の個人情報が漏えいしたことを公表した。
同社は、区から学校教育総合システム案件を受託しており、メーカーサポート会社は同システムのID連携システムを担っていた。
2021年1月、メーカーサポート会社はID連携システムのメンテナンス業務を行った際に、児童及び生徒の個人情報が含まれたファイルがシステムプログラムに残存していたことに気付かず、修正プログラムを自社に持ち出したという。
その後、2021年1月から2023年4月にかけて、メーカーサポート会社は他のユーザに適用されることを想定していなかった本プログラムを手違いにより、最大36の教育委員会・大学のID連携システムに適用させたという。
2023年7月20日、メーカーサポート会社が適用先の大学システム管理者から当該個人情報が閲覧できる点等の指摘があったことを同社に報告したことで、判明したとのこと。
対象となる個人情報は、23,508件の学校名・生徒管理コード・学年・組・番号・特別支援学級・特別支援学級番号・名前・ふりがな・性別・生年月日・外国籍・出身校・入学日・転入前学校・転入日・編入前学校・編入日・去校日・転出日・転出先学校・退学日・退学先学校・卒業日・進学先学校としている。
同社は、メーカーサポート会社とともに当該個人情報に係るデータを削除しており、同大学のシステム管理者2名以外が当該データを閲覧した事実は公表時点で確認されていないという。
また、当該ID連携システムは、インターネット接続はされておらず、特定のコマンドを入力したユーザ団体のシステム管理者のみがアクセス可能な領域としており、外部流出の可能性は極めて低いという。
同社は、従来から取り組んでいた同社社員及び委託会社の社員への個人情報保護に関する教育・指導、委託先による個人情報取り扱い状況のモニタリングを再徹底・強化し、再発防止に努めるとしている。
◇2023/7/25 某娯楽用品会社のオンラインショップに不正アクセス クレカ情報・個人情報漏えいの可能性
某娯楽用品会社は7月25日、同社が運営するオンラインショップが不正アクセスを受け、クレジットカード情報及び個人情報が漏えいした可能性について公表した。
3月17日、同社はサイトを利用した顧客のクレジットカード情報の漏えい懸念を検知し、サイトでのカード決済を停止したという。
調査の結果、原因はサイトシステムの一部の脆弱性を突いたことによる不正アクセスにより、ペイメントアプリケーションの改ざんが行われたためとしている。漏えいした可能性のあるクレジットカード情報は3月1日から3月14日に同サイトでクレジットカード決済をした顧客30名分とし、同サイト以外の通販サイトで同社商品を購入した情報は対象外としている。
漏えいした可能性のある個人情報は、3月16日までに同サイトへ会員登録をした顧客265名分、同サイトで商品購入をした顧客1,007名分、商品購入時に届け先として指定された顧客187名分とし、顧客には電子メール(送信不可の場合は書状)にて個別連絡しているという。
同社は個人情報保護委員会と所轄警察署に申告しており、顧客に対しては、クレジットカード不正利用の確認と同サイトのログインID・パスワード変更、不審メール・電話への注意喚起を呼び掛けている。
再発防止策としては、システムのセキュリティ対策と監視体制の強化に努めるとしている。
◇2023/7/28 東京都目黒区の電子申請サービスに不具合 申請内容が他自治体に誤配信
東京都目黒区は7月28日、同区が利用する電子申請サービスの不具合によりデータが誤配信され、誤配信データ5件・個人情報51名分が漏えいしたことを公表した。
同区によると、区に申請された情報が、同じ電子申請サービスを利用している別の自治体に一部誤配信される状況となっていたとのこと。
誤配信されたデータの内訳は、申請者の氏名・住所・生年月日等を含む区民からの助成申請2件と、従業員の氏名・給与・勤続年数等を含む事業者からの補助申請3件だという。
同区は本事象を把握した後、サービス提供事業者と連携して誤配信された自治体に連絡し、当該ファイルの削除依頼と削除完了の確認を行ったとしている。
漏えいの対象となった区民及び事業者へは、お詫びと対処結果を通知したとしている。同区によると、サービス提供事業者は同様の事象が起こらないようシステムの暫定措置を行っており、9月末までに恒久的な措置を実施するとしている。
同区は今後について、サービス提供事業者の再発防止状況を注視し、必要に応じた改善・是正措置の要求を行うとしている。
また、同サービスを利用する他の自治体も、システム障害による情報漏えいについて公表している。
◇2023/7/31 某食品製造販売会社のECサイトへ不正アクセス 3,477名分のクレジットカード情報が漏えいか
某食品製造販売会社は7月31日、同社が運営するECサイトへの不正アクセスにより個人情報及びクレジットカード情報が漏えいした可能性があることを公表した。
原因はシステムの一部の脆弱性を突いたことによる第三者の不正アクセスにより、ペイメントアプリケーションの改ざんが行われたこととしている。
漏えいした可能性のある情報は、2020年9月1日から2022年11月24日の期間に同サイトにてクレジットカード決済を行った顧客3,477名分のクレジットカード情報と、2020年9月1日から2022年11月24日の期間中にECサイトを利用した顧客ならびに配送先となった顧客1,299名分の個人情報だという。
同社によると、2022年12月6日に一部のクレジットカード会社から顧客のカード情報漏えい懸念について連絡を受け、外部からのアクセスを遮断し、クレジットカード決済を停止したという。
同時に第三者調査機関による調査を開始し、2023年3月19日に調査が完了。
その結果、2020年9月1日から2022年11月24日の期間に同社が運営するECサイトにて購入した顧客のクレジットカード情報が漏えいし、一部の顧客のクレジットカード情報が不正利用された可能性があることを確認したという。
漏えい懸念から公表に至るまで時間を要した原因として、対応準備を整えてからの告知が不可欠であると判断し、調査会社の調査結果とカード会社との連携を待ってから公表を行うことにしたためとしている。
対象者へはメールにて個別に連絡するとし、メールが届かなかった顧客へは書面にて通知するとしている。
改修後のECサイトの再開日に関しては、決定し次第Webサイトにて知らせるとのこと。
今後についてはシステムのセキュリティ対策及び監視体制の強化を行い、再発防止を図るとしている。
なお、個人情報保護委員会には2022年12月9日に報告、所轄警察署には5月8日に被害申告をし、今後捜査にも全面的に協力するとしている。
◇2023/8/3 某エネルギー会社のグループ会社に不正アクセス 1万件の個人情報漏えい
某エネルギー会社は8月3日、3月3日に第一報を公表していたグループ会社への不正アクセスを受け、新たに別グループ会社における個人情報漏えいの可能性について公表した。
漏えいした可能性のある個人情報は、2003年11月6日から2023年2月18日に同グループ会社が受発注した取引先関係者や同グループ会社に在籍した従業員、合計約1万名の氏名・性別・生年月日・住所・電話番号・所属会社・身分証のコピー等としている。
原因は、グループ会社共通で使用していたシステムに第三者がマルウェアを用いて不正侵入したこととしている。
同社は、不正アクセスの確認後にネットワークを遮断し、内部ネットワークセキュリティ強化等の再発防止策を実施しているという。
◇2023/8/7 某文具関連会社 ランサムウェア攻撃について第二報を公表
某文具関連会社は8月7日、同社グループの情報システムに対するランサムウェア攻撃について第二報を公表した。
同社は6月8日に、同社グループの一部情報システムが6月5日から6日にかけてランサムウェアによる攻撃を受けたことを公表していた。
同社によると、本件は第三者が同社の海外現地法人側の同社グループのネットワークに侵入したことによるもので、ランサムウェアの実行によりデータが暗号されたと考えられるという。
公表時点で同社の情報が漏えいした事実や攻撃者による情報の公開は確認していないとのこと。
外部の調査機関からは、外部転送のデータ通信量がわずかであったことから、データが外部に漏えいした可能性は極めて低いとの報告を受けたとしている。
その一方、同社が保有する個人データ約186万件については、漏えいの可能性を完全に否定することが困難だとし、対象者へは順次通知を行うとしている。
件による業績予想の変更はないとのこと。
また、本公表と同時に、同社が利用する人事システムのベンダーがランサムウェア攻撃を受けたことについても公表している。
本件についても公表時点で個人情報の漏えいは確認しておらず、同社グループの事業運営への影響は限定的で、業績への影響も軽微である見込みとしている。
2.政策・立法関連
◇2023/8/17 政府 重要インフラ・基幹インフラの対象拡大へ
複数の報道機関によると、政府はサイバーセキュリティ基本法や経済安全保障推進法の改正を検討しているという。
近年、医療や港湾等の国民への影響が大きい業界へのサイバー攻撃が目立つ一方で、これらはサイバーセキュリティ基本法の重要インフラや経済安全保障推進法の基幹インフラに指定されていない背景がある。
港湾のサイバーセキュリティ対策については、7月31日に国土交通省が「コンテナターミナルにおける情報セキュリティ対策等検討委員会」を開催した。
7月に発生したランサムウェア感染によるインシデントについてヒアリングを行い、意見交換を行ったとしている。
3.対策
◇2023/8/10 総務省 「ICTサイバーセキュリティ総合対策2023」の公開
総務省は8月10日、「ICTサイバーセキュリティ総合対策2023」を公開した。
本文書を策定したタスクフォースは、サイバー攻撃の複雑化、巧妙化、脆弱性の拡大などのサイバーセキュリティに係る課題の整理や、情報通信分野における施策や既存取り組みの改善を目的として、2017年以降開催されている。
本文書は、2023年1月から開催されている「情報通信ネットワークにおけるサイバーセキュリティ対策分科会」の論議を経て、必要な改定が行われている。
昨今のサイバー攻撃リスクの拡大を踏まえ、総務省として取り組むべき施策としては、情報通信ネットワークの安全性・信頼性の確保、利用者が安全・安心に利用できる情報通信サービスの実現に向けた施策推進としている。
本文書では、「情報通信ネットワークの安全性・信頼性の確保」、「サイバー攻撃への自律的な対処能力の向上」、「国際連携の推進」及び「普及啓発の推進」の4点における取り組むべき施策について示されている。
4.その他
◇2023/7/12 個人情報保護委員会が某自動車製造会社へ行政指導
個人情報保護委員会は7月12日、某自動車製造会社へ個人情報保護法に基づく行政指導を行ったことを公表した。
同社は車両利用者向けサービスの個人データ取り扱いを関連会社に委託しており、関連会社におけるクラウド環境の誤設定により、約230万名分の個人データが約10年間にわたり外部に漏えいした可能性がある事象が発覚したという。
個人データはサーバに保管されていたが、サーバのクラウド環境設定を行う従業員への教育が不十分であった点、委託先の個人データ取り扱いについて適切に把握していなかった点が問題とされている。
同委員会はこれを受け、個人データの安全管理のため、個人データ取り扱いの周知徹底及び適切な教育、適切なアクセス制御、委託先の監督を行うよう同社を指導したという。
同社は再発防止策として、従業員に対するクラウド環境の個人データ取り扱いのルールに関する教育の徹底、クラウド環境の監視システムの導入・設定状況の監視、委託先に対する個人データの取り扱い状況の定期的な監視等を行うとしている。
◇2023/7/24 JIPDECが「2022年度個人情報の取扱いにおける事故報告集計結果」を公表
一般財団法人日本情報経済社会推進協会(JIPDEC)は7月24日、「2022年度個人情報の取扱いにおける事故報告集計結果」を公表した。
本書は、2022年度にプライバシーマーク付与事業者が個人情報の取扱いにおいて、同協会及び指定審査機関に報告した内容の集計である。
事故報告件数は、1,460社より7,009件あり、速報として受け付けた事故報告は全体の26.8%(1,878件)であった。発生事象別では「漏えい」が76.1%(5,335件)と最も多く、「紛失」が9.7%(681件)であった。
事象分類別では「誤配達・誤交付」が43.0%(3,013件)、「誤送信」が24.7%(1,730件)、「紛失・滅失・き損」が11.2%(785件)、「不正アクセス」が6.2%(438件)となった。
原因別では担当者が適切な作業をしなかったことによる事故が多数を占めており、「手順・ルール違反作業、操作」が2,803件、「作業・操作ミス」が2,445件、「確認不足」が1,979件であった。
媒体別の事故報告割合は、「紙」が49.4%、「電子データ」が37.8%であった。事故報告の項目別では、「氏名」が4,642件と全体の29.4%を占めている。
「2022年度個人情報の取扱いにおける事故報告集計結果」 一般財団法人日本情報経済社会推進協会(JIPDEC)
◇2023/7/25 IPAが「情報セキュリティ白書2023」を公表
独立行政法人情報処理推進機構(IPA)は7月25日、「情報セキュリティ白書2023」を公表した。
本白書は、2008年以降毎年発行しており、情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態などの定番トピックスとともに、その年ごとの象徴的なトピックスを取り上げている。
2022年度の特徴として、コロナ禍でのテレワークやDX推進の取り組みに関連した国内外でのサイバー攻撃増加が上げられている。
国内では、ランサムウェア攻撃やサプライチェーンが狙われたインシデントによる多数の被害報告についても着目している。
同白書の章立ては以下の通り。
第1章:情報セキュリティインシデント・脆弱性の現状と対策
第2章:情報セキュリティを支える基盤の動向
第3章:個別テーマ
「情報セキュリティ白書2023」 独立行政法人情報処理推進機構(IPA)
◇2023/7/28 防衛省が「令和5年版防衛白書」を公開
防衛省は7月28日、「令和5年版防衛白書」を公開した。
サイバー空間における脅威の動向としては、サイバー攻撃は政府機関や軍隊のみならず民間企業や学術機関に対しても多発しており、重要技術や機密情報等が標的になる事例が確認されているとしている。
また、特定の組織を執拗に攻撃する高度サイバー攻撃(APT)に対処するため、諸外国との技術面や運用面での協力が求められているとしている。
サイバー空間における脅威に対する動向としては、脅威の増大を受けて各国で様々な取り組みが進められているが、各国で国際法の適用の在り方等について意見が異なり、国際会議等の枠組みにおいて国際的なルール作り等に関する議論が行われているという。
また、新型コロナウイルスへの対応を経て、世界的に新たな生活様式が確立された一方で、従来型のサイバーセキュリティ対策の主要な前提である「境界型セキュリティ」の考え方に対する限界が指摘され、各国で新たなセキュリティ対策の検討が進められているという。
__________________________________________________________________________________
▼内容についてのご相談・ご確認は 白根(support@prev-legal.com)までご連絡ください。
▼本サービスの内容の全部又は一部については、お客様社内での利用に限ります。
二次利用、引用、転載、複写、商業目的での利用等を行うことはできません。
__________________________________________________________________________________