最後に、序章にある「2019年度の情報セキュリティの概要」というページを見る。2019年度に起きた、大きな事件についてまとめられている。それぞれ企業名は伏せられているが、調べればすぐに分かるものばかりだ。
IPAが、大きな事件として取り上げたものは、記憶に残っているものも多い。それらを振り返り、2019年度のセキュリティ事案をたどってみよう。前半は情報漏洩の話が多い。後半はビジネスメール詐欺やフィッシング、マルウェアなど、犯罪者による攻撃が多数登場している。
● 2019年5月 ECサイトのアカウント46万1,000 件に不正アクセス
ユニクロ、ジーユー(ファーストリテイリング)の事件。氏名、住所、電話番号など以外に、クレジットカード情報の一部も閲覧された可能性がある(参照:
ネットショップ担当者フォーラム)。
● 2019年5月 アンケートモニターサービスの登録アカウント77万74件に不正アクセス
アンとケイト(マーケティングアプリケーションズ)の事件。氏名、住所、電話番号、個人年収、世帯年収、口座番号、口座名義など、細かな情報が流出した懸念があるそうだ。こうした情報が登録されているのは、アンケートサービスのためだろう(参照:
サイバーセキュリティ.com)。
● 2019年7月 米国の大手金融会社のクラウドから大量の個人情報漏えい
Capital Oneの事件。1億600万人分の個人情報が不正アクセスを受けて流出していたと発表された。逮捕されたのは、アマゾンでクラウドサービスを担当するエンジニアとして勤務していたことのある女性だった(参照:
朝日新聞デジタル)。
● 2019年7月 福岡県警察、警視庁等、海賊版サイト運営者らを著作権法違反で検挙
いわゆる
漫画村の件だ。漫画村は、最盛期は日本では連日大きく取り上げられた。漫画村は2016年1月に開設なので、逮捕まで3年半掛かったことになる(参照:
朝日新聞デジタル)。
● 2019年8月 スマホ決済サービスが不正アクセス被害を受けサービス廃止を発表
7payの事件だ。大きなセキュリティ事案だったため、鮮烈に印象に残っている(参照:
Engadget 日本版)。来年は、ドコモ口座が掲載されるのは確実だろう。
● 2019年8月 就職情報サイト運営会社が「内定辞退率」データを販売
リクナビによる個人情報販売事件。通常の企業による個人情報流出とは違い、当該企業が個人情報を販売していたということで注目を浴びた(参照:
ITmedia NEWS)。
● 2019年8月 クラウドプラットフォームサービス大手が大規模障害で多数のサービスに影響
AWS(アマゾン・ウェブ・サービス)の障害だ。AWSを利用している多くのサービスが停止したり、トラブルが起きた。多くの企業の活動が、少数のクラウド企業の上に乗っているため、一度障害が起きると広範囲に影響が起きる例だ(参照:
日本経済新聞)。
● 2019年9月 エクアドル国民約2,000万人分の個人情報流出
南米エクアドルの全国民の個人情報が流出した事件。流出したデータには、名前や個人識別番号、銀行口座残高が含まれる。デジタル化が進めば、いつかは起きる事件だといえる(参照:
日本経済新聞)。
● 2019年9月 大手新聞社米子会社、香港に32億円流出の詐欺被害
ビジネスメール詐欺により、
日経新聞の米子会社が32億円の被害を受けた事件(参照:
日本経済新聞)。新型コロナ以降、ビジネスの取り引きや関係が大きく変わっているので、こうした詐欺は横行しやすい。注意が必要だ。
● 2019年10月 フィッシングの月間報告が8,000件を超え過去最多に
フィッシング対策協議会から発表された情報によると、2018年11月にあ1652件だったフィッシング宝庫校は2019年10月に8034件になり、8000件を超えた(参照:
フィッシング対策協議会)。
● 2019年11月 JPCERT/CC、Emotetの感染に関する注意喚起
マルウエア Emotet が猛威を振るっているという件だ(参照:
JPCERT)。また、2019年12月には「日本へのEmotet のばらまき型メールによる攻撃急増」が、同概況のリストに入っている。
● 2019年12月 情報機器リユース会社において廃棄予定HDDの流出発覚
神奈川県庁で利用されていたHDDの転売による個人情報漏洩事件。データをどう廃棄すればよいか、様々な場所で議論がおこなわれた。目に見えないように感じる情報も、何かに記録されており、物理媒体に紐付いている。こうした事件が起きると、そのことに気づかされる(参照:
朝日新聞デジタル)。
● 2019年12月 自治体向けクラウドにおけるシステム障害でサービス停止等の影響
日本電子計算が提供する自治体向けサービス「Jip-Base」でシステム障害が起きた件。53自治体で被害が出た(参照:
INTERNET Watch)。
● 2020年1月 国内防衛関連企業が不正アクセスによる情報流出を公表
三菱電機へのサイバー攻撃事件。事件自体は前年から進行していた。調査の結果、1月に不正アクセスの公表となった。流出した情報は、個人情報だけでなく、防衛・電力・鉄道などの社会インフラに関するものだった。(参照:
Yahoo!ニュース)。
● 2020年2月 新型コロナウイルスに関連した内容のSMSからフィッシングサイトに誘導する手口発生
今も増え続けているだろうなと思う詐欺である。社会の混乱期には嘘やデマが大幅に増える。普段なら引っ掛からないような詐欺にも、気づかずに引っ掛かる。また、今年最大の話題のため多くの人々が関心を寄せている。そうした話題はサイバー犯罪に悪用されやすい。継続して注意が必要な手口だ(参照:
トレンドマイクロ)。
<文/柳井政和>