企業の機密情報や個人情報は一度漏洩すると、その被害の程度を測ることは非常に難しくなります。それは、漏洩した情報がさらに悪用される、いわゆる二次被害が存在するからです。
それでもやはり漏洩した情報の重要性や件数などが大きいものから学ぶことは非常に大きいので、2018年に起こった情報漏洩の事例のうち、特に被害が大きかったものを紹介します。
1.DLmarket
2018年10月22日、デジタル商品のインターネット通販サイト「DLmarket」が外部からの不正アクセスにより個人情報56万1,625件が流出した可能性があると発表しました。
流出した項目は「メールアドレス」、「氏名」、「会員ID」でアカウントのパスワードやクレジットカードの情報は含まれてはいないとのことです。
不正アクセスの侵入経路を遮断したり、監視体制を強化したりといった再発防止策を講じてはいるものの、そもそもの不正アクセスの手段が分かっていないため、第三者調査機関の報告を待っているのが現状です。
2.仮想通貨取引所「Zaif」
仮想通貨取引所「Zaif」を運営するテックビューロは、2018年9月20日に受けたサイバー攻撃によって、ビットコインなど複数の仮想通貨が流出した可能性があり、被害額は約67億円、その中には顧客から預かった45億円が含まれているとのことです。
攻撃者の手口については、事件性の高さなどの観点から明らかにされていませんが、事件の経緯についてはある程度公表されています。
2018年9月14日頃より入金サービスに不具合が生じ、不正送金が行われたとのこと。その後2018年9月17日にサーバが以上を検知し、2018年9月18日にはハッキングによる被害が確認されたということです。
3.聖教新聞通販サイト
2018年7月30日に同サイトのプログラムが改ざんされていたと報告されていたとのことですが、決済代行会社から「漏洩の可能性がある」と通報を受けた2018年8月24日まで判明せず、その間、クレジットカード情報2,481件を含む登録した会員情報9万8,852件などが流出してしまいました。
攻撃者はオンラインストアのサーバに、不正ファイルを混入してプログラムを改ざんしたということです。その手口は非常に巧妙で、正規のサイトにアクセスしたユーザが、偽のカード決済画面に遷移するように設定されており、更に偽サイトに情報を入力してもエラーが表示されて、元の決済ページに転送されるために、ユーザが気づかなかったことが被害拡大の原因となっています。
以上のように、実際に不正アクセスがあってから発覚するまでに時間がかかっているケースが多く、手口が巧妙化していることがわかります。
最新のセキュリティ対策ソフトの導入はもちろんのこと、情報セキュリティを専門に担当する人材の育成も急がれるところです。