個人情報漏えいの被害は過去最悪

個人情報漏えいに関するデータ

 2019年3月に、警察庁が2018年のサイバー犯罪の動向や傾向について調査しまとめた「平成30年におけるサイバー空間をめぐる脅威の情勢等について」を公表しました。

 2018年に検挙したサイバー犯罪の件数は、9040件と最多記録を更新しました。

 中には一定の企業をねらった標的型攻撃や不正アクセス、ポートスキャン攻撃など多岐にわたる攻撃が含まれています。

 具体的に情報漏えいに関するデータについてみていきたいと思います。

1024以上のポートへのアクセス増加

 警察庁には24時間体制で運用しているリアルタイム検知ネットワークシステムがあります。

 これはインターネットとの接続点に設置しているセンサーのことで、このセンサーを使用することで不正アクセスや攻撃と思われる通信など通常のインターネット利用では想定されない接続情報等を検知し、分析することができます。

 このセンサーが検知したアクセス件数の推移が以下の通りです。

 センサーの性能が上がったことも理由として考えられなくはないですが、年々不正アクセスやサイバー攻撃は増加傾向にあることがわかります。

参照元:警察庁「平成30年におけるサイバー空間をめぐる脅威の情勢等について」より

 その中でも特徴的だったのが、1024以上のポート(ウェルノウンポートと呼ばれる一般的なポート番号以外のポート)へのアクセス、つまりポートスキャンが増加していることがわかりました。

 ポートスキャンとは、ネットワークに接続されているサーバー上で稼働しているサービスを調査することです。

 この調査によってサ一バ上で実際に稼働しているサービスやバージョンなどを特定することができます。

 つまり、スキャンによって反応が返ってくればそのサービスは使用されているということがわかりますし、相手が使用しているサービスやバージョンがわかれば、それらが持っ脆弱性をついた攻撃を仕掛けて個人情報を盗み出すことができるというわけです。

 今やこのポートスキャンは特別な知識や技術がなくとも簡単なツールでだれでも行うことができます。

標的型メールも年々増加傾向に

 標的型攻撃とは、特定の企業に対し集中的に攻撃を仕掛けてシステムをダウンさせたり、個人情報を盗み出したりする攻撃です。

 IPA(独立行政法人情報処理機構)が毎年発表している「情報セキュリティ10大脅威2019」において、「標的型攻撃による被害」が組識部門の中で1位にランクインしました。

 集中的に攻撃を仕掛ける際に最も多い手法が、メ一ルによる攻撃です。

 実際に下記のグラフのように、年々増加傾向にあることがわかります。

参照元:警察庁「平成30年におけるサイバー空間をめぐる脅威の情勢等について」より

 最近では情報リテラシーやメ一ルの使用においてのルールを呼びかけるようになってきたため、セキュリティ意識を高めることにはつながっていますが、巧妙な偽造メールを多人数の社員へばらまくようにして送信しているため、一部のセキュリティ意識の低いあるいはセキュリティ操作を怠った社員に感染してしまいます。

個人情報漏えい事件はなぜ増える?

 なぜ個人情報の漏えい事件は後を絶たないのでしようか?

 それどころか年々増加傾向にあります。まず個人情報の価値が高騰していることも挙げられますが、一番は特別な知識がなくても個人情報を盗み出せてしまう点にあります。

 さらに証跡を残すことなく盗み出せるため、簡単・低リスク・高収入という攻撃側に有利な条件ばかりがそろっているのです。

本当に簡単に攻撃ができるのか?

 特別な知識がなくともできる手法のひとつに「ポットによる攻撃」があります。

 ボットとは、コンピュータウイルスの一つで、感染するとサイバー犯罪者に端末を遠隔で操作され、乗っ取られてしまいます。

 このボットウイルスの作り方について公表されていたりプラックマーケットで販売されているため、だれでも簡単に使用し、他人の端末に感染させることができます。

低リスクで攻撃ができるのか?

 厄介なことに、ボットウイルスはコンビュータに直接被害を及ぼす様なことはしないので、なかなか気づきにくいという点があります。

 そのためこのボットウイルスを使用すれば、特ち主に気づかれないうちに端末を遠隔操作して、思い通りに動かすことができます。

 このような低いリスクで端末を操られることから、サイバー攻撃において年々増加している攻撃手法の一つでもあります。

個人情報はどれほど価値が高いのか?

 サイバー犯罪が増加している背景に、個人情報の売買の活発化があります。

 実際に個人情報にはどれほどの価値があるのかといいますと、2014年に起きたベネッセの個人情報漏えい事件では1人あたり500円の商品券が配られたことが記憶に新しいですが、トレンドマイクロ社が、個人情報がブラックマーケットにおいていくらで売買されているかの調査報告をブログで行っていました。

 それによれば、アメリカで盜まれたクレジットカードが売買された場合、1ドル~3ドル程度で取引されるそうです。

 アジアで売買した場合はやや高くなり、6ドル~10ドルの値段がつきます。

 また、銀行口座の情報が売買された場合、1人あたり25ドル~35ドルで取引されるとのことです。

個人情報漏えい対策

 個人情報の漏えいは、お客様に迷惑だけではなく企業の信用力にも響いてきます。

 企業の規模に関わらず、実践してほしい対策を以下でご紹介します。

二段階認証を導入する

 個人情報を盗み出す手法として最もメジャ一なものが不正アクセスです。

 不正アクセスを防ぐには、IDやパスワー・ドの設定の他に、トークンやスマートフォンのアプリを利用して、そこで表示されるランダムな数字の人力を求める2段階認証が効果的です。

 しかし2段階認証を導入している企業は少数であり、ネット通販などを手がける国内企業300社を対象に行ったアンケートによると、約7割の企業がこの2段階認証を導人していないとのことです。

 主な理由は導入費用が高いことと、2段階の認証によるログインの手間から顧客が離れてしまう恐れがあるというものでした。導入しない間は、せめてパスワードの変更を強制的に求めるなどが効果的です。

ログの解析

 ログに関してなかなか駲染みがないかもしれませんが、今後は避けては通れないものといっても過言ではありません。

 ログとは、対象のシステムのあらゆる記録や情報をまとめたものです。

 たとえばシステムに対してログインを行ったユーザはだれか?

 ログインを何回目の入力で成功したのか?

 システムは正常に稼働しているのか? などログの種類は多岐にわたります。

 その中でも特に注目してほしいログは、「ログイン成功/失敗ログ」です。

 システムにアクセスするにはログインが必要です。
 
 ログには、ログインを試みたユーサの日付、名前、所属名等が記載されているので、許可した覚えのないユーザのアクセスが発覚した合は、不正アクセスと判断し迅速に対応することができます。

 これらを実施するにはログの設定やログの管理者を定める必要があります。

 今ではログを一括で管理するソフトが購入できますので、検討することをお勧めします。

まとめ

 個人情報はいとも簡単に盗み出せてしまうため、年々個人情報の漏えい事件が増加傾向にあることがわかりました。

 ただし、よくニュースで取りあげられる事例や話題にあがった出来事のほとんどは、割と初歩的なセキュリティ対策で防ぐことができたはずの事例ばかりです。

 今後は東京オリンピックもある影響で、ますます世界中からの攻撃が過熱すると予想されるため、自分のところは大丈夫だという思い込みは致命的であるといえます。

 最低限度の対策および本記事で紹介した対策をきっちり行っていきましょう。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
おトクでラクラク加入のサイバー保険付帯サービス
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。