【2022年事例】不正アクセス・個人情報漏洩事件一覧

不正アクセス 事例

昨今、不正アクセスによる事件が多いとご存じでしょうか?

この記事では「不正アクセスの事例」を紹介します。

結論、不正アクセスを100%防ぐ方法はありません。

大手の企業でさえ、不正アクセスされている例があります。

その他に「個人情報漏洩事例一覧」や「不正アクセスの主な手口」について解説するので、それぞれを知った上で、どのような対策が効果的か考えて実践してください。

また「個人情報が漏洩するとどうなるのか?」について知りたい方は、こちらで解説を行っていますので、ぜひ確認してください。

2022年度不正アクセス事件一覧

2022年度不正アクセス事件一覧

2022年に起きた不正アクセス事件を表にまとめました。

毎月起きている件数は、10件以上もあります。

以下では、その月ごとの代表的な事例をまとめました。

代表的な不正アクセス事件
1月博物館情報サイト「見験楽学」が不正アクセスにより一時改ざん。
2月化粧品OEM製造会社のタイキがサーバー攻撃を受ける。
3月トヨタ自動車が部品供給元でマルウェアに起因するシステム障害が発生し、全製造ライン一時停止
4月スマホゲーム「イケメン戦国」が10日以上のアクセス障害。不正アクセスの可能性が高いとされている。
5月衣料小売大手の「しまむら」がサイバー攻撃を受け、システム障害発生。
6月「スイーツパラダイス」通販サイトに不正アクセス。クレジットカード情報が外部に流出した可能性。
7月「読売新聞オンライン」にて不正アクセス。
8月「SOMPOホールディングス」の海外グループ会社にサイバー攻撃。サーバー7台が被害。
9月「明治」の海外グループ会社がランサムウェアによるサイバー攻撃を受ける。
10月那覇市の図書館システムがランサム被害。
11月大阪急性期・総合医療センターにサイバー攻撃。
参考元:Security NEXT

このように、毎月大きなアクセスに関する大きな事件は起きています。

【2022年最新】有名企業の不正アクセス被害

【2022年最新】有名企業の不正アクセス被害

2022年の不正アクセス被害のなかでも、とくに有名企業の事例を紹介します。

  • ニトリの情報漏洩の可能性
  • 4省庁23サイトで不正アクセスによる問題
  • SOMPOホールディングスでサイバー攻撃被害

いずれも大手の不正アクセス被害です。

つまり「大手だから安心できる」「大手だからセキュリティ対策が万全」とは言えません。

以下では、それぞれの不正アクセス事件について具体的に解説します。

ニトリの情報漏洩の可能性

ニトリでは、2022年9月19日、ニトリの会員向けサービス内から情報漏洩した可能性があります。

第三者が利用者になりすまし、不正アクセスが行われたのです。

その結果、会員の指名や住所、クレジットカード番号などが閲覧された恐れがあります。

今後はセキュリティ機器の強化をはじめ、対策の強化を検討していると説明しました。

4省庁23サイトで不正アクセスによる問題

不正アクセスによる問題

2022年9月7日には、政府が関連する複数のサイトにて閲覧障害が発生しました。

SNSに攻撃をほのめかす書き込みも発見されているため、不正アクセスが原因と考えられています。

ただし、アクセス障害が発生したのみで、情報漏洩は確認されていません。

今後は各関係省庁が連携し、政府として適切に対策を講じていくと説明しました。

SOMPOホールディングスでサイバー攻撃被害

保険ブローカー事業を展開するSOMPOホールディングスでは、2022年8月24日にサイバー攻撃を受けています。

8月18日の時点で、サーバ7台において内部のデータが暗号化されていると判明しました。

顧客情報や機密情報の外部流出は確認されていません。

また、事業継続においての影響やグループ他社への影響はないと説明しています。

【2022年最新】個人情報漏洩事例一覧

【2022年最新】個人情報漏洩事例一覧

不正アクセスによる被害で、消費者に最も影響があるのは「個人情報の漏洩」です。

個人情報の漏洩について、毎月約10件ほど起きています。

以下では、月ごとの代表的な事例をまとめました。

代表的な個人情報漏洩事件
1月北海道ガス株式会社、個人情報約3万件記録していたHDDを誤廃棄
2月ライオン株式会社がEmotet感染、社内外に不審メール発生
3月琉球大学が不正アクセス被害、卒業生や教員287名の情報流出の可能性
4月電通プロモーションサービスが不正アクセス被害、情報流出の可能性
5月国営あいな里山公園で報道メール誤送信、28名のアドレス流出
6月「スイーツパラダイスオンラインショップ」セキュリティコード含むカード情報7,645件流出の可能性
7月オフィスバスターズ社が不正アクセス被害、顧客情報流出の可能性
8月DIY FACTORY Businessが不正アクセス被害、122名のカード情報流出の可能性
9月「アットキャド」サービス利用者2万件超の情報流出、不審メール確認
10月尚美学園大学、学生62名の延納申請情報を誤送信
11月ウイル・コーポレーションが不正アクセス被害、2,426件のカード情報流出の可能性
参考元:サイバーセキュリティ.com|セキュリティポータルサイト

上記のように、毎月個人情報漏洩の事件は発生しています。

【2022年】主な個人情報漏洩事例

主な個人情報漏洩事例

個人情報漏洩の事例について、主なものを紹介します。

  • カクヤスにて8,094件の個人情報漏洩
  • フジフイルムモールにて1,370件の個人情報漏洩
  • ABC-MARTにて2,298件の個人情報漏洩

いずれも誰もが知る大手の企業です。

実際にどのような内容となったのか、以下で解説します。

カクヤスにて8,094件の個人情報漏洩

株式会社カクヤスでは、2022年11月1日に、同社が運営する「カクヤスネットショッピング」にて、個人情報が流出しました。

入力支援ツールが第三者により改ざんされ、過去対象サイトにて決済されたクレジットカード情報が流出してしまったのです。

流出した件数は、8094件とされています。

株式会社カクヤスは、「カクヤスネットショッピング」のサービス停止と切り離しを実施しました。

フジフイルムモールにて1,370件の個人情報漏洩

個人情報漏洩

「富士フィルムホールディングス」の「富士フイルムイメージングシステムズ株式会社」は2022年10月26日に、クレジットカード情報が流出してしまいました。

同社が運営する「FUJIFILMプリント&ギフト」および「フジフイルムモール」にサイバー攻撃があったためです。

流出したクレジットカード情報の数は1370件。

被害を受け、富士フイルムイメージングシステムズ株式会社は、決済機能を一時停止しました。

ABC-MARTにて2,298件の個人情報漏洩

大手シューズ販売の「株式会社エービーシー・マート」は、2022年10月25日にクレジットカード情報を流出させてしまいました。

「ABC-MART公式オンラインストア」の導入ツールに内在していたシステム上の脆弱性が原因とされています。

流出したクレジットカード情報は2298件。

「ABC-MART公式オンラインストア」の導入ツール以外の原因はないと説明しています。

不正アクセスの主な手口

不正アクセスの主な手口

不正アクセスは、アクセスすることだけが目的ではありません。

不正アクセスをして、何かしらの攻撃を与えます。

主な不正アクセスの手口としては、以下の7つです。

  • ホームページの改ざん
  • 保存データの流出
  • サーバーシステムの破壊
  • サーバーやサービスの停止
  • 迷惑メールの送信や中継に利用
  • 他サーバーやパソコンへの攻撃の中継に利用
  • バックドアを仕掛けられ常に侵入できるように改ざん

さらに、ウイルスやマルウェア感染、身代金を要求するサイバー攻撃の被害などを与えます。

不正アクセスの主な対策方法

不正アクセスの主な対策方法

不正アクセスを防ぐためには、各企業で対策を行わなければいけません。

主な対策方法として、以下の8つについて解説します。

  • パスワードの徹底管理
  • 不正プログラムをインストールしない
  • 利用サービスの適切な管理
  • パーミッション設定
  • SQLインジェクション対策
  • 不正侵入防止システム導入
  • モバイル機器の管理
  • 認証設定の徹底

それぞれを参考にして、セキュリティ対策を万全にしておきましょう。

パスワードの徹底管理

基本的な部分として、パスワードの徹底した管理を行いましょう。

IDと同じパスワードや電話番号などの推測されやすいパスワードでは、不正アクセスされる可能性が高いです。

また、不用意にパスワードを教えたり複数のウェブサイトで同じパスワードを使いまわすのも避けましょう。

不安な場合は、一定期間でパスワードを変更するようにすると良いです。

不正プログラムをインストールしない

モバイル端末では、不正なプログラムを知らないうちにインスト―ルしてしまうケースがよく見られます。

SMSやメールの添付ファイルなどを開くと、自動的にインストールされてしまう仕組みです。

プログラムをインストールしてしまうと、IDやパスワードが抜き取られてしまいます。

そのため、モバイル端末を使用する際は、すぐにファイルを開くのではなく、「安全な送信元であるか」「安全なURLか」を確認してから開くようにしましょう。

利用サービスの適切な管理

利用サービスの適切な管理

サーバーで提供されているサービスは、安全であるかをしっかり確認しておきましょう。

とくに新しく使うツールは確認が必要です。

システムの情弱性がないかを確認した上で、最新のセキュリティであるかを確認しなければいけません。

また、アップデートがある場合は、迅速に処理を行いましょう。

パーミッション設定

パーミッション設定とは、ディレクトリやファイルアクセス権限の設定を指します。

これらの設定は「誰にでも見れる」状態にしないようにしておきましょう。

一定のユーザーだけが開ける設定にしておけば、第三者からの不正アクセスを防げます。

アカウント認証やアクセス制御、アカウント管理を徹底的に行ってください。

SQLインジェクション対策

SQLインジェクション対策

SQLインジェクションとは、システムのセキュリティに不備を利用し、想定しないSQL文を実行させ、不正に操作するといった攻撃方法です。

※補足 SQLとは
SQLは、関係データベース管理システム において、データの操作や定義を行うためのデータベース言語、ドメイン固有言語である。
引用元:wikipedia

SQLインジェクションの対策としては、以下の3つがあります。

  • エスケープ処理
  • 攻撃を検知するシステムの導入
  • 脆弱性診断サービスなどを使った定期的なチェック

昨今では、セキュリティ対策のためのツールも多いので、SQL対策を行えるシステムやツールを導入しておきましょう。

不正侵入防止システム導入

不正侵入防止システムとは、ネットワークやサーバーを監視し、不正アクセスを検知して通知するシステムです。

システムを導入しておけば、不正アクセスがあった場合にスムーズに対応できます。

ただし、不正侵入防止システムの質のレベルはピンキリです。

フリーのシステムなどもありますが、できるだけ最新の質の高いシステムを導入しましょう。

モバイル機器の管理

モバイル機器の管理

企業内で社員に提供しているモバイル機器がある場合は、徹底的な管理を行ってください。

モバイル機器からの不正アクセスや情報漏洩の可能性があります。

たとえば、ユーザー名やパスワードを記憶させないするなどの対策が効果的です。

また、モバイル機器を紛失した場合、すぐにユーザー認証情報を変更しておくようにしましょう。

認証設定の徹底

認証設定は、基本的に2段階認証を採用しましょう。

2段階認証を設定すると、ログイン時に認証コードを追加で要求できます。

もしもパスワードが流出してしまっても、不正アクセスされる可能性は抑えられるでしょう。

対策のなかでも簡単な方法なので、徹底してください。

「自社には関係ない」油断は禁物

「自社には関係ない」油断は禁物

不正アクセスについて「自社はセキュリティが高いから安全」「自社は大手だから問題ないだろう」といった油断は禁物です。

どれだけ対策を行っていても、どれだけ大手の会社でも、不正アクセスされる恐れはあります。

実際に今回紹介した事例のなかにも、誰もが知る大手の企業はありました。

そのため、不正アクセスへの対策としては、定期的にセキュリティを見直すことが大事です。

セキュリティのシステムやツールがアップグレードされているのと同時に、不正アクセスの手口もよりレベルの高いものになっています。

今回の記事を参考にしながら、常にセキュリティ対策について考えておきましょう。

カテゴリー:
移管記事
タグ:
個人情報漏洩
不正アクセス
事例
一覧