2024.07.26 2025.02.19

なぜ大企業でも相次ぐのか？主なセキュリティー事案と背景を考える

kotobato

先週、日本時間で7月19日（金）14時半頃から、一部のWindowsが起動せず、通称「死のブルースクリーン（BSoD）」と呼ばれる画面が表示される障害が起きました。幸い、サイバー攻撃ではなく、アメリカのエンタープライズ向けセキュリティー企業CrowdStrikeが提供する、ドライバーソフトウェアが原因だと判明しました。つまり、セキュリティー対策をしている大企業が、それによって影響を受けるという、何とも皮肉な状態でした。

とはいえ、企業の社内システムから交通機関、医療機関、POS、サイネージなど、世界規模で850万台が影響を受ける深刻な事態に。復旧方法もすぐに解明されたものの、リモートでは対応できず、情報システム部のエンジニアがサーバーやシステムがある場所に行かなければ、処理できないトラブルでした。

今回は、世界各地で起きている近年のセキュリティー事故や事件をいくつか取り上げてみます。そして、盤石で強固なセキュリティー対策が実施されているはずの大企業ですら、深刻な事態に陥ってしまうその背景を考えてみましょう。

KADOKAWAの報道で聞くランサムウェアやダークウェブとは何か？企業へのサイバー攻撃による被害は過去最悪。聞く機会が増えたランサムウェアやダークウェブについて、基本をチェックしましょう。自分のデータが流出していないか？セキュアに確認できるサービスも紹介します。

攻撃対象としての日本は世界ワースト11位

近年、世界情勢が各地で緊迫していますが、サイバー攻撃は常に、今この瞬間も世界中で勃発しています。日本は、攻撃対象として狙われる国のランキングで、世界ワースト11位。この美しいビジュアライゼーションでは、いろいろなマルウェアの様子がリアルタイムで表示されています。これが何を示しているのかも忘れて、つい見惚れてしまいます。

なお、これを提供しているのは、ロシアのアンチウイルスソフトウェアKaspersky。先日、アメリカ政府からセキュリティーリスクを理由に全面禁止の措置が執られる、何とも皮肉な状況になっています。

MAP | Kaspersky Cyberthreat live map

Find out if you’re under cyber-attack here #CyberSecurityMap...

URLhttps://cybermap.kaspersky.com/

国内外で起きた情報漏洩事故・事件

企業やユーザー、従業員に深刻な影響を及ぼす情報流出事故・事件は、国内外で毎月のように発生し、流出件数や被害状況もワーストが更新され続けています。この10年の一部だけでも、以下のような事例がニュースとなりました。ただし、ダークウェブへの流出があったかどうかも含め、詳細は必ずしも明らかになりません。そのため、実際には遙かに多い被害が発生していると見て間違いないでしょう。

対象は一般企業だけに留まりません。行政機関がターゲットになり、住民情報が流出したケースでは、氏名や住所、生年月日、電話番号以外に、日本ではマイナンバーが含まれている例もありました。住民票記載事項は、家庭や職場、就職にも後々影響を残す可能性があります。

また、複数の医療機関では、レセコン（診療報酬明細書を作成するコンピューター）がハックされ、患者のカルテ情報が流出する事案が発生しました。電子カルテも使えないため、紙カルテで緊急対応。流出した診療内容や検査結果は、ダークウェブでより高値で取り引きされます。

ベネッセホールディングス（2014年 ）

通信教育最大手で3,504万件の個人情報が流出し、顧客や株主からの集団訴訟に発展。原因は、関連会社の社員による持ち出しだったが、企業にも監督義務違反があったと認定。

WannaCry（2017年）

日本を含む世界150か国、23万台以上のコンピューターが感染するなど、世界中で猛威を振るった。鉄道や金融、医療や政府機関など、多くの組織で被害が発生。「ランサムウェア」という言葉が広く報道される一つのきっかけに。

マリオット・インターナショナル（2018年）

世界最大級のホテルチェーンの事案で、約5億人もの膨大な宿泊客情報が流出。実は、2016年に買収した傘下ブランドで、すでに2014年には流出が始まっていた。一部は、パスポート番号やクレジットカードのAES-128暗号化キーも盗難に。

Collection＃1（2019年）

全世界を対象とした、約27億レコードという巨大漏洩ファイルが「Collection＃1」として、ダークウェブにアップロード・販売される。7億7,300万件のメールアドレスは、2024年時点でも過去最悪。

Facebook（2018年）/Twitter（2020年）

Facebookで、約8,700万人のユーザー情報が流出。同社は修正したと発表していたものの、2021年には、5億3,000万人分がさらに流出。Twitter（現X）でも、約4億6,000万人のユーザー情報が流出。

Apache Log4j（2021年）

Apache Log4j は、Apache Software Foundationがオープンソースで提供しているJavaベースのロギングライブラリ。遠隔の第三者が細工したデータを送る事で、任意のコマンドを実行できる脆弱性が発見され、全世界で多くのシステムが影響を受けた。

大阪急性期・総合医療センター（2022年）

800以上の病床数を抱える地域の大型病院がターゲットになり、外来診療や各種検査、救急患者の受け入れを制限する事態に。ランサムウェアの侵入口は、給食委託事業者のVPN装置と判明。完全復旧には約2カ月を要した。

NTT西日本（2023年）

子会社でコールセンターシステムの運用保守を担当していた元派遣社員が、10年前から約928万件の個人情報を不正に持ち出し。テレマーケティングなどを業務委託していた山田養蜂場や森永乳業、地方自治体にも被害が波及。

Ticketmaster（2024年）

アメリカのチケット販売大手で、Snowflakeデータベースが攻撃され、約5億6,000万人の顧客情報がダークウェブへ（過去にも、カードスキミングやマルウェア感染あり）。初動の遅れから被害が拡大し、政府機関が注目するほどの事件に。元々、親会社のLive Nationは、独占禁止法違反で司法省から訴えられていた最中。

JAXA 宇宙航空研究開発機構（2024年）

2023年から4回にわたって攻撃を受け、5,000人職員の個人情報や、秘密保持契約（NDA）を結んだ取引先のファイルが漏洩。スーパーコンピューターもターゲットに。VPN装置の不具合が、一般に公表される前に狙われた。

［追記 2024/2/19］
2025年2月1日から3月18日は、内閣サイバーセキュリティセンター（NISC）による「サイバーセキュリティ月間」です。数々の最新事例も、ぜひご覧ください。

“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓：半径300メートルのIT – ITmedia エンタープライズ

“あまりにもお粗末”　岡山県の病院で起きたランサム被害から得られる教訓

岡山県の病院が公開した「ランサムウェア事案調査報告書」に注目が集まっています。この報告書では“あまりにもお粗末なセキュリ...

URLhttps://www.itmedia.co.jp/enterprise/articles/2502/18/news058.html

大企業でも情報漏洩が発生している背景

前述の組織がセキュリティ対策を怠っていたとは限りません。むしろ、一般の企業よりも高度な対策を導入していた可能性があります。それでも、なぜ大企業で情報漏洩事故や事件が相次ぐのか？原因は複雑ですが、以下のような点が指摘されています。

大企業のITインフラが一番のターゲットに

世界は、インダストリー4.0（第4次産業革命）やSociety 5.0と称される、超高度情報化社会へと推移しています。ITを利用する大きな組織が、一番ホットなターゲットになってしまうのは自明です。セキュリティーホールを総当たりした無差別型攻撃の一つに偶然なってしまう場合と、最初から標的型攻撃のターゲットにされる場合とがあります。

インダストリー4.0とSociety 5.0が示す、パラダイムシフトとは？「インダストリー4.0」と「Society 5.0」は、現代の産業構造の変化や、DXを語る上でよく使われる言葉です。この2つは直接は関係しませんが、IoTやAI、ビッグデータなどさまざまな技術が鍵となっている点では同じです。共通点や基本をチェックしましょう。

大きい組織ほど、攻撃箇所が多数

堅牢な企業本体ではなく、子会社や工場、配送センター、海外拠点、取引先などのサプライチェーンが狙われるケースが増えています。産業構造の変化などでM&A（企業合併や買収）があれば、異なるシステムが混在することは珍しくありません。システム同士の連携の隙間や、レガシーなプログラムやデバイスの脆弱性など、攻撃者が付け入る隙が随所に生まれます。

コロナ禍と働き方の大きな変化

コロナ禍でリモートワークが普及した一方、近年では出社への回帰や、両者を組み合わせたハイブリッドな働き方が拡がっています。企業本体よりも脆弱な個人がターゲットになり、ネットワークやVPN環境の脆弱性が突かれます。タイムシフト勤務やダブルワーク、スポットワークなど、働き方が多様化している分、大きな組織ほど、アカウントのアクセス管理は複雑さを増しています。

巧妙化・高度化するサイバー攻撃

サイバー攻撃の手法は日々巧妙化し、従来のセキュリティー対策や常識では防ぎきれないケースが増えています。ダークウェブは、情報売買の場というだけでなく、マルウェアやハッカー人材のマーケットプレイスにもなっています。また、ソーシャルメディアが、匿名のユーザーを集めやすい仕組みとして成立していることも、無視できません。

ソーシャルエンジニアリングの巧妙化

従業員個人がターゲットになるという点では、ソーシャルエンジニアリング的手法も無視できません。これは、技術的にではなく、心理的・社会的な手段で情報を収集すること。攻撃者は、システムの脆弱性を直接突く以外の手法も組み合わせて侵入を試みます。ソーシャルネットワークやモバイルデバイスの普及も背景に、そしてここでも生成AIが暗躍しています。

人材不足によるナレッジの断絶

情報漏洩は内部関係者のパスワードの流出や、誤操作などの人為的なミスによって引き起こされることが少なくありません。「2025年の崖」で現役世代がリタイアし、若年層人口が減る一方の中、退職や異動により、文書化されない重要なナレッジが引き継がれなくなっています。

日本社会の低迷と社会不安の増大

平均株価が高値を付け、企業の内部留保が最大を記録する一方で、先進国中で最下位の経済成長率で社会格差は広がり、不満や不信が渦巻いています。必要なナレッジとツール、そこに動機があれば、犯罪に手を染める個人も増えていきます。また、サイバー攻撃が常態化する中、人材を「傭兵」としてスカウトするニーズもあります。犯罪が多層化・複雑化し、いわゆる「闇バイト」が特殊詐欺の入口になっている構造にも通じています。

個人情報が安い、非訴訟社会の日本

個人情報の流出事故・事件が起きても、そもそも日本は訴訟社会ではないので、賠償金・制裁金が非常に安く留まっているのが現実です（過去の事例でも、被害者一人あたり数百〜数千円程度）。企業の存続を左右するほどにならないので、人員も予算も少ないままで改善には至りません。

日本独自の「和風DX」の限界

本来のDXとは、既存プロセルの破壊も含むビジネスの変革・創出のはず。しかし、JTC（伝統的な日本企業）では、単なるIT化の域を出ないことも珍しくありません。システムの運用・保守も、直接の売上をもたらさない「コストセンター」として扱われがちです。経営層が情報漏洩のリスクを認識し、十分な予算と人員をセキュリティー対策に投入しなければ、有効な対策は講じられません。

行動分析学では、「死人テスト（Dead Man Test）」という概念があります。これは、研究者であるOgden R. Lindsley氏が提唱した、「死人にもできることは、行動ではない」という考え方です。例えば、ランサムウェア対策として、「怪しいメールや添付ファイル、ショートメッセージを開かない！」ことは、死人にもできること。つまり、これは単なる掛け声に過ぎず、行動だとは見なされません。

では、具体的に行動するためにはどうすべきか？よりセキュアなシステムを開発できないのか？次の記事では、セキュリティー面から見た、ローコード開発プラットフォームというメリットについて考えてみましょう。設計とテスト、改善というアジャイルなプロセス、防止や回避策を折り込んだ、積極的行動としての開発におけるヒントを探ります。