- 事例1:資料請求の入力情報が漏洩した
- 事例2:ホームページが書き換えられた
- 事例3:顧客のメールアドレスが漏えいした
- 事例4:他人のIDで不正にオンライン株取引
- 事例5:中古パソコンによるデータの漏洩
- 事例6:情報セキュリティ対策は万全だったはずなのに・・・
- 事例7:ファイル共有ソフトが原因で・・・
- 事例8:SQLインジェクションでサーバの情報が・・・
- 事例9:標的型攻撃で、企業の重要情報が・・・
- 事例10:自分の名前で勝手に書き込みが・・・
- 事例11:公式アカウントが乗っ取られた
- 事例12:有名サイトからダウンロードしたはずなのに・・・
- 事例13:クラウドサービスに預けていた重要データが消えた
- 事例14:マルウェア Emotet(エモテット)
- 事例15:「ウイルスに感染した」と表示される
- 事例16:SNS型投資詐欺・ロマンス詐欺・詐欺広告
事例1:資料請求の入力情報が漏洩した
大手エステ会社のホームページで、資料の請求のために登録された3万件以上の氏名、住所、年齢、メールアドレスなどの個人情報が漏洩したという事件がありました。
原因は、Webサーバの初歩的な設定ミスでした。この情報漏洩事件では、登録情報の中に、エステに関心を持っている理由や体のサイズといった重要なプライバシー情報があったために、とても大きな問題になりました。
この事件だけでなく、ホームページで登録された個人情報が漏洩する事件は、数多く発生しています。たとえば、懸賞やプレゼントの応募者名簿、アンケートの情報、商品の購入者名簿などの漏洩事件が発生しましたが、これらのほとんどは基本的なサーバの設定ミスや脆弱性対策の不備が原因でした。
最近のホームページは、WordPress などの CMS(Contents Management System)で作成するケースが多いです。CSMは簡単にホームページを作成することができますが、サイバー攻撃の標的になりやすく、セキュリティ対策をしっかり行っていないと、簡単に乗っ取られてしまいます。日々公開される脆弱性の対応も含め、日頃の運用管理が重要です。
事例2:ホームページが書き換えられた
ホームページの改ざん(書き換え)は、インターネットにおいて頻繁に発生する事件のひとつです。2000年代前半には、官庁のホームページが狙われて、相次いで改ざんされました。その後も現在に至るまで、同じような手口で、自治体や大手企業、学校などのホームページが改ざんされています。
ホームページの改ざんは、目的を持って特定の団体や企業を攻撃する場合と、無差別に情報セキュリティ対策の甘いホームページを改ざんする場合に分けることができます。
ホームページの改ざんというと、とても高度な攻撃者によるものと思われるかもしれませんが、実際はFTPサーバの管理で安易なパスワードを設定していたり、既知の脆弱性をそのまま残していたりと、基本的な情報セキュリティ対策を怠っていた場合がほとんどです。
最近は、侵入された事が分からないようして、悪意のあるプログラムを埋め込んで、閲覧した人のパソコンにウイルスを感染させたり、Webブラウザの通知機能を悪用して詐欺サイトへ誘導するメッセージを表示させたり、知らないうちに犯罪の片棒を担いでしまっているケースもあります。ホームページは、作りっぱなしにするのではなく、日々更新される脆弱性の対応も含め、日頃の運用管理を確実に行ってください。(サイバー攻撃の被害者であっても、管理責任が問われる場合があります)
事例3:顧客のメールアドレスが漏えいした
Pさんは、いつも利用しているお店のメールマガジンに登録しています。このメールマガジンでは、新製品の紹介やバーゲンセールの案内を定期的に送信してくれるので楽しみにしていました。
ある日、このお店からメールマガジンが届けられましたが、何かいつもと違いました。よく見ると、電子メールのヘッダに大量のメールアドレスが記載されています。確かに自分のメールアドレスもその中に含まれているのですが、それ以外のメールアドレスにはまったく見覚えがありません。
実は、ここで記載されている大量のメールアドレスは、メールマガジンの他の登録者のものだったのです。
本来、メールマガジンなど多くの利用者に電子メールを送信する場合には、受信者に他人のメールアドレスがわからないようにしなければなりません。そのためには、専用のソフトウェアを利用するか、メールアドレスをTOやCCではなく、BCCに指定する必要があります。TOやCCにメールアドレスを指定して送信すると、受信者全員にすべてのメールアドレスを教えてしまうことになります。
社内メールでは、TOやCCをあまり意識せずに使っていますが、外部に送信するメールでは、細心の注意が必要です。このような単純なミスが原因で顧客のメールアドレスを漏えいしてしまう事件が多発しています。
事例4:他人のIDで不正にオンライン株取引
証券会社の顧客になりすまして、オンライントレードのシステムを利用して株の売買を行った情報処理サービス会社の社員Aが、不正アクセス禁止法違反、私電磁的記録不正作出・同供用で逮捕されました。
情報処理サービス会社の社員であったAは、派遣先の証券会社でオンライントレードのシステムに関わる作業を行った際に、ユーザ名やパスワードなど、約3万8000人分の顧客情報を自分のノートパソコンにコピーして不正に入手していました。社内の自分の評価に不満があり、トラブルを起こすことそのものが目的であったそうです。
実際に犯罪を行ったのは、自社の社員ではありませんが、管理責任が問われるケースです。情報セキュリティでは、社員だけでなく、業務に関わる全ての人に対して、情報資産を守るための仕組みの遵守が求められます。残念ではありますが、性善説ではなく、性悪説で考えないといけません。
事例5:中古パソコンによるデータの漏洩
名古屋市内で、ある大学生が中古のパソコンを購入したそうです。購入後、その大学生が市販のデータ復元ソフトを使用して、ハードディスクのデータを復元してみたところ、ある医療機関が健康保険組合などに医療費を請求するために作成した診療報酬明細書の画像データが残されていたということです。
企業内の機密情報収集を目的として、中古パソコンを購入するという手口も行われています。コンピュータやハードディスクは、データが復元できない状態にしてから廃棄しなければなりません。同様に、携帯電話やスマートフォンなども、必ずデータが復元できない状態にしてから廃棄しましょう。
事例6:情報セキュリティ対策は万全だったはずなのに・・・
ある会社での出来事です。Sさんが会社の情報管理担当者になって、もう3年になります。もともとコンピュータが好きなSさんだけあって、会社内の情報セキュリティ対策は万全と考えています。
それぞれの社員が使用するコンピュータはもちろん、サーバにもウイルス対策ソフトが導入されています。ウイルス対策ソフトに対しては、定期的なウイルス検知用データの更新も行っています。そして、外部からの侵入に備えて、ネットワークにファイアウォールも設置しました。
しかし、ある日、Sさんがインターネットの電子掲示板を見てみると、なんと自分の会社の顧客情報が漏洩していることがわかりました。いったいどうして・・・。
最近、このように情報セキュリティ対策を施していたにも関わらず、情報が漏洩してしまったという事例も増えています。このケースでは、ある1人の社員が仕事のデータを自宅に持ち帰った際に、自宅のコンピュータがウイルスに感染していて、そこから個人情報が漏洩してしまったということが考えられます。または、誰かが業務データファイルの保存されていたUSBメモリをどこかで紛失してしまったのかもしれません。つまり、情報セキュリティ対策には、万全なものはないのです。
個人情報や機密情報を保有する企業や組織は、システムやソフトウェアによる情報セキュリティ対策だけでなく、厳密な社内ルール(情報セキュリティポリシー)の策定とその徹底、データベースやファイルサーバに対する権限設定など、多角的なセキュリティ対策が要求されます。
情報管理担当者は、基本的な情報セキュリティ対策だけでなく、社員への教育の徹底も、大切な情報セキュリティ対策のひとつであるということを心に止めておいてください。
情報セキュリティ上のリスクは、時間とともに変化するものです。そのため、現状の情報セキュリティ対策に満足するのではなく、最新の情報セキュリティ脅威の動向に常に気を配り、継続的に対策を見直すことが大切です。
事例7:ファイル共有ソフトが原因で・・・
T君は大の音楽好きです。T君は大量の音楽データをまとめてダウンロードするために、ちょっと会社のネットワークを拝借することにしました。会社で自分が使っているパソコンに、ファイル共有ソフトを入れてみると、あっという間に好きな音楽データがたまっていきます。
そんなある日のことです。ファイル共有ソフトでダウンロードしたひとつのファイルを開いたときに、T君の使用するパソコンがウイルスに感染してしまったのです。しかし、T君はウイルスに感染したことにはまったく気づきません。しばらくすると、社内でインターネットの電子掲示板に、会社の名前が出ているということを耳にしました。
T君がその電子掲示板にアクセスしてみると、なんとそこにはT君が使用しているパソコンのデスクトップ画面の画像が公開されているではありませんか。そして、デスクトップ画面には、大切なお客様に送信した重要な電子メールの内容がしっかりと記されていたのです。
ファイル共有ソフトを導入した場合には、ウイルスに感染してしまうと、機密情報や個人情報が漏洩する危険性が高いということを認識しておかなければなりません。自分が、ファイル共有ソフトをインストールしていなくても、そのパソコンに家族の誰かがインストールしていると、そのパソコンを利用している人すべての情報が漏洩してしまいます。
また、ファイル共有ソフトを通じて入手したファイルは著作権違反となっているものやコンピュータウイルスが非常に多く含まれています。このような場合、罪に問われたり、ウイルス感染したりする危険性があるのです。ファイル共有ソフトの利用は、できる限り控えましょう。
事例8:SQLインジェクションでサーバの情報が・・・
Wさんの会社は、自社製品を販売するためにショッピングサイトを構築することになりました。会社には情報システム部もないし、ITに精通したスタッフもいません。担当部署の中で一番若く、コンピュータに詳しいという理由で、Wさんが専任者に選ばれたのです。
さて、早速業者にホームページ制作とシステムの構築を依頼し、なんとかショッピングサイトの公開にこぎ着けました。直販サイトなので価格も安く、ここでしか販売しない商品を取りそろえたのが良かったのでしょうか、運用開始直後から少しずつ売り上げも伸びてきました。このまま行けば、人気サイトと呼ばれる日も近いのかもしれません。
そんなある日のことです。このサイトが繁盛していることを知った悪意のある人間がいました。彼は会員ページの入り口にあるログインページに目を付けました。ログインページのユーザID入力欄に、コマンドを含む特殊な文字列を入力する「SQLインジェクション」という手法を試みました。すると、なんとパスワードを知らなくても、会員ページにログインできてしまうことが分かりました。会員ページに入ってしまえば、会員の住所や氏名、電話番号、購入履歴の他に、クレジットカード番号まで参照できるのです。このような方法で、Wさんの会社のショッピングサイトから会員の個人情報が大量に漏洩してしまったのです。
総務省:事故・被害の事例 より引用
SQLインジェクションは1990年代後半には存在した、古くからあるサイバー攻撃手法ですが、今現在も攻撃手法として使われています。中には、会員情報がまとめて漏洩されるケースや、ホームページが改ざんされて悪質なサイトに誘導するような仕掛けを組み込まれたケースもあります。個人情報のような重要な情報を扱う企業・組織では、SQLインジェクションの原因となる脆弱性への対策をしっかりとらなければなりません。
事例9:標的型攻撃で、企業の重要情報が・・・
ある組織が所有している機密情報が、電子メールで外部に送信されていることが判明しました。
この組織の内部から外部に向けた通信の中で、不審な通信が発見されたため、その通信元のパソコン1台を特定し、ただちにネットワークから切り離して調査をしました。その結果、その1台のパソコンがウイルス感染していることが判明したのです。さらに、その後の長い調査の結果、このパソコンに感染していたウイルスによって、組織内部の情報収集が実行されていた痕跡と外部と通信していた事実が確認されました。
発端は、ある職員の電子メールアドレスに、知人を装ったウイルス付きのメールが送られたことからでした。職員はこのメールを不審なメールであると全く疑わずに業務用のパソコンで開封し、ウイルスに感染してしまいました。しかもその後も、パソコンの調子に特に変わったところがなかったので、ずっと感染に気づかなかったのです。しかし、このメールは実際には知人から送られたメールではなく、送信元を偽った標的型攻撃のメールだったのです。
たった1通の標的型攻撃メールより、たった1台のパソコンがウイルス感染したことから、重要な組織情報が盗まれるという事態に発生することもあります。標的型攻撃には十分に注意しなければなりません。
事例10:自分の名前で勝手に書き込みが・・・
Aさんは、地方自治体の相談窓口のホームページに「トラックとナイフで無差別殺人をする」という内容の犯行予告を投稿したという威力業務妨害の容疑で逮捕されました。
この事件の捜査において、ホームページの通信記録に残っていたIPアドレスから、Aさんのパソコンが特定されたため、逮捕されたのです。Aさんは、取り調べの中では容疑を否認しましたが、1ヶ月弱拘留され、ようやく釈放されました。
この事件で、Aさんは実際の犯人ではありませんでした。Aさんのパソコンはインターネットの掲示板でコンピュータウイルスに感染し、真犯人がAさんのパソコンを遠隔操作して、ホームページへの犯行予告の書き込みをしたため、本人の自覚がないまま犯罪に加担させられてしまったのです。Aさんが犯行予告の書き込みをしたように、通信記録が残っていました。
このように、インターネットのホームページや掲示板には、正規のアプリケーションに見せかけたコンピュータウイルスが置かれていることがあります。それを念頭に、あやしいホームページからはファイルをダウンロードしないなど、インターネットの利用には注意しなければなりません。
事例11:公式アカウントが乗っ取られた
ある有名なゆるキャラのSNSのアカウントが乗っ取り被害に遭いました。さらに、同じ日にこのゆるキャラの偽アカウントも作成されました。
このアカウントのフォロワー(SNS投稿の購読者)から「(この有名なゆるキャラから)アカウントをブロックされた時と同じ症状が出ている」といった旨の報告があり、調べた結果、乗っ取りが判明したのです。このアカウントには、悪意の第三者がログインしていることが判明したため、アカウント閉鎖を行い、新アカウントを作成し移行することを発表しました。
そのため、一時は、このゆるキャラのアカウントが、旧アカウント、新アカウント、偽アカウントの3つが同時に存在し、ゆるキャラの運営者や当時20,000人以上いたフォロワーが大混乱に陥る事態となりました。
SNSの公式アカウントは、企業や組織の顔ともいえる重要なものです。そんなアカウントを乗っ取られるということは、ホームページの改ざんにも匹敵する影響が発生することも多いのです。
公式アカウントに関する情報(ユーザIDやパスワード等)は、運用のルールを明確に決め、適切に管理するようにしましょう。
事例12:有名サイトからダウンロードしたはずなのに・・・
Bさんは、撮りためたデジタルカメラの画像を整理するうちに、気に入った写真の加工をしてみようと思い立ちました。しかし、どんな画像の加工ソフトがあるのか知りませんでした。そこで、検索エンジンを利用して、よく使われていて評判のよい無料ソフトを使うことにしました。
検索エンジンの上位に出てきた口コミサイトで、ある無料ソフトの口コミを見てみると、かなり多数の人がダウンロードしていて、評判を表す☆の数も多く、そのソフトを推奨するコメントばかりでした。またそのソフトは、ある有名ダウンロードサイトから配布されていると説明されていました。そこでBさんは安心して、その無料ソフトを使うことにし、その口コミサイトに掲載されていたリンクから、有名ダウンロードサイトに行き、ソフトをダウンロードしました。
利用してみると、口コミサイトに書かれていた評判ほどよいソフトという感じはしませんでしたが、基本的な機能は備えており、無料ソフトということで納得し、そのまま利用していました。
数ヵ月後、いつものようにこのソフトを利用しようとすると、ウイルス対策ソフトから警告メッセージが出てきました。詳細を調べてみると、このソフトはボット(ウイルスの一種)だというのです。有名ダウンロードサイトから入手したはずなのに、なぜボットがインストールされたのでしょうか。
実は、Bさんは悪意のある口コミサイトから、有名ダウンロードサイトへの偽のリンクで、別のホームページに誘導され、通常のソフトに見せかけたボットをインストールさせられたのです。その口コミサイトに書かれていた評判も、すべて嘘の情報だったのです。しかも、新種のボットだったために、ウイルス対策ソフトでは検知されませんでした。
検索エンジンで出てくる情報が、すべて無害とは限りません。このように悪意のホームページへと誘導されることもあります。インターネット上でソフトなどをダウンロードする場合は、できる限りリンクではなく、信頼できる正規のホームページに行ってから、その中で検索するようにしましょう。
事例13:クラウドサービスに預けていた重要データが消えた
ベンチャー系中小企業のC社は、インターネットのサービスをすぐに使えて、コストも削減できるというメリットから、クラウドサービスの1つであるレンタルサーバのサービスを利用することにしました。このサービスのおかげで、C社の業務は効率よく順調に進んでいました。
そんなある日、C社からレンタルサーバに接続できないという症状が発生しました。サービス事業者に連絡してみると、障害が発生し利用できないとのことでした。さらに、しばらくすると、レンタルサーバ内にあった、C社の業務で利用している重要データが消えてしまっており、その復旧もできないという連絡が来たのです。
その重要データは、このレンタルサーバにしか保存しておらず、C社側でバックアップも取得していませんでした。サービス規約をよく読んでみると、データのバックアップや復旧は、最終的には利用者の責任であると書いてありました。C社としては、すべて丸投げ可能のサービスで、このような責任や業務は発生しないと考えて利用していたのです。業務もできなくなり、重要データも消えてしまい、C社の社員たちはただただ途方に暮れるしかありませんでした。
クラウドサービスを利用していても、事業者側の障害やメンテナンスなどで利用できなくなることを想定して、バックアップを取得したり、サービス停止時の代替手段などを用意したりしておきましょう。また、障害は絶対に発生しないということは言えません。まずは利用規約をよく読んで、そのような場合に、利用者側にはどこまで責任があり、何をしなければならないのかを確認をしておきましょう。
| Microsoft | ||
| クラウドサービスの責任 | Microsoft 365 のIT基盤 ・クラウドサービスの可用性 ・データのレプリケーションと地理的冗長性 | Google WorkspaceのIT基盤 ・インフラストラクチャの速やかな復旧 ・自然災害に対する速やかな復旧 |
| ユーザーの責任 | Microsoft 365 のデータ ・データの利用と操作 ・データのバックアップ ・長期的なデータの保持 | Google Workspace のデータ ・ヒューマンエラーによる予期せぬ削除への対策 ・悪意ある内部利用者からの保護 ・マルウェアやランサムウェア攻撃からの保護 ・長期にわたるデータ管理と保護 |
事例14:マルウェア Emotet(エモテット)
Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、メールに添付される不正なファイルや、本文に書かれたURLリンク先に配置した不正ファイルを受信者に開かせることで感染させます。(悪意のあるソフトウエアのことを マルウェア と呼びます)
受信者が過去に取引先などに送信したメールを引用し、返信部分に、攻撃者が付け加えた文章が書かれています。メールの差出人(From)は、過去にメールをやり取りした相手になりすまします。件名も実際に送信したメールの件名が流用され、自分が過去に送ったメールに返信されてきたように見せかける作りになっています。
添付される不正ファイルは、Wordファイル(.docや.docm)だけでなく、Excelファイル(.xlsや.xlsm)、Microsoft OneNote形式のファイル(.one)、ショートカットファイル(.lnk)、ZIPファイル(.zip)、PDFファイル(.pdf)、アプリインストーラファイル(.appxbundle) など、複数の種類が確認されています。
過去にやり取りしたことがある相手からのメールでも、身に覚えのない内容や添付ファイルがある場合は、添付ファイルやURLリンクは開かずに、情報管理担当者に報告・相談しましょう。メールの送信元に確認の電話をすることが、真偽を見分ける有効な手段の場合もあります。ためらわずに、相手先に確認の電話をしてください。
IPA:Emotet 攻撃の手口 より引用
事例15:「ウイルスに感染した」と表示される
Webブラウザを使っていたら「ウイルスに感染した」と表示されました。クリックすると、ウイルス対策ソフトを購入するように表示されました。これって、購入した方が良いですか?
これはWebブラウザの通知機能を使ったサポート詐欺です!
- ウイルス検出ソフトからこのようなメッセージは表示されません
- OS(Windows)からこのようなメッセージは表示されません
- 「****に電話してください」ソフトウエア会社はそこまで親切ではありません
この手口のやっかいなところは、脆弱性を狙ったものではなく、Webブラウザの標準機能を悪用しているところです。一部のWebサイトでは、Webサイトを閲覧した方に、Webブラウザの通知機能を使ってメッセージ表示をする場合があります。特殊なものではなく、広く一般的に使われている手法です。
Webブラウザを使って色々なサイトを見ていた時に、通知の表示を許可したのでしょうか。Webブラウザを起動すると、通知メッセージが表示されるようになってしまいます。メッセージをクリックすると、ウイルス対策ソフトの購入サイトが表示されたり(カード情報が盗まれます)、電話番号が表示されたりします。(050で始まる番号はIP電話で、日本国内とは限りません)
IPA:安心相談窓口だより より引用
修復方法は以下のとおりです。
- ブラウザの設定の通知を確認し、不審な通知を削除する
- 念のため、ウイルス検出ソフトでウイルススキャンを実行する
犯罪者は、ありとあらゆる手段を使って、常に新しい手口を使って攻撃してきます。焦らずに、一呼吸おいて、冷静に考えて対応しましょう。
事例16:SNS型投資詐欺・ロマンス詐欺・詐欺広告
昔から「うまい話には裏がある」と言われています。騙す人は、手を変え品を変え、色々な手段で騙そうとします。ちょっと前までは電話を使った「オレオレ詐欺」でしたが、最近は「SNSを使った詐欺」の被害が拡大しています。
警察庁 発表資料より引用
最初のきっかけは、SNSに投稿した写真のフォロワーからの DM(ダイレクトメッセージ)でした。「絶対に儲かる投資話があるから1口乗らない?」SNSのグループに招待されたので参加して、参加者のもうけ話を聞いたら気が大きくなって、試してみたら利益が出て、指定した口座に利益が振り込まれました。しばらくたって、もう少し利益を引き出そうとしたら、利益の10%の手数料が必要と言われました。手数料を振り込んだら、追加で税金が必要と言われて。詳しく聞きたいとメッセージを送った途端に、SNSグループから退会されて、連絡が取れなくなりました。
SNS型投資詐欺のよくあるケースです。自称海外在住の方からの生活支援のお願いは、ロマンス詐欺と呼ばれています。著名人の写真を無断で使用した詐欺広告にも注意が必要です。騙されやすい人の特徴は、以下のように言われています。思い当たる人は注意してください。(誰もが思い当たるとは思いますが・・・)
- あまり自分で決断をしてこなかった人
- 身近に気軽に相談できる相手がいない人
- 限定など特別感のある言葉に弱い人
- 自分は絶対に正しいと思っている人
- 目先の利益を追いすぎる人