近年、不正アクセスによる個人情報漏洩が後を絶ちません。

直近では、2023年2月14日にソースネクスト株式会社が不正アクセスを受け、約12万件ものクレジットカード情報・個人情報が漏洩させてしまったことも話題となりました。

この記事を読んでおられる皆様の中にも近年、不正アクセスによる個人情報漏洩のニュースを目にしたり、勤務先で注意喚起がアナウンスされることが増えた方がいらっしゃるのではないでしょうか。

そこで、今回の記事では世間を騒がせている「不正アクセスによる個人情報漏洩」について取り上げていきたいと思います。

目次

不正アクセスによる個人情報漏洩10秒まとめ

近年不正アクセス件数や、それに伴う個人情報漏洩件数が急増している

Webサイトの改竄に対応には、未然に改竄を防ぐWebセキュリティ対策と、万が一の事態に迅速に対応できる仕組み・体制の導入が必須

セキュリティ対策に特化したシステム運用監視ツールを使うことで、Webサイトの改竄を監視することが可能

不正アクセスによる個人情報漏洩ーソースネクスト株式会社の事例ー

記事の冒頭で、ソースネクスト株式会社が不正アクセスを受け、個人情報が漏洩したとご紹介しました。ここではより詳しくソースネクスト株式会社の事例を見ていきたいと思います。

ソースネクスト株式会社は2023年1月4日、一部のクレジットカード会社から、自社サイトの利用客様のクレジットカード情報が漏えいした可能性があると連絡を受けていました。そして、翌1月5日、サイトでのカード決済を停止すると同時に、第三者調査機関による調査を行いました。1月23日に調査機関による調査が完了し、2022年11月15日~2023年1月17日の期間に自社サイトで購入決済を行ったユーザーのクレジットカード情報および個人情報約12万件が漏えいし、一部ユーザーのクレジットカード情報が不正利用された可能性があることを確認したとのことです。

加えて、個人情報やクレジットカード情報が漏洩した原因は、自社サイトのシステムの一部の脆弱性を利用した第三者の不正アクセスによって、ペイメントアプリケーションの改ざんが行なわれたためだそうです。

現在、ソースネクスト株式会社では、調査結果を踏まえ、システムのセキュリティ対策および監視体制の強化を行い、再発防止を図っているとのことで、改修後のクレジットカード決済再開日につきましては、未定とのことです。

詳しくはソースネクスト株式会社のサイトに掲載されているのでご関心のある方はご覧ください。

今回のソースネクスト株式会社の事例では、webサイトの改ざんによって個人情報が漏洩したと言えます。そしてwebサイトの改ざんは、社外の第三者による不正アクセスによって行われたと言えます。こうした不正アクセスによる個人情報の漏洩は年々増加しつつあります。

近年の不正アクセスによる個人情報漏洩件数は?

では、近年の不正アクセスによる個人情報漏洩はどれくらい起きているのでしょうか?

これについては、東京商工リサーチが行った2022年「上場企業の個人情報漏えい・紛失事故」調査のデータに基づいてみていきましょう。

出典:東京商工リサーチ(2022)「上場企業の個人情報漏えい・紛失事故」調査

まず個人情報漏洩の件数を見てみると、2012年から2022年までの11年間の事故件数は累計1,090件に達し、年々右肩上がりで増えています

出典:東京商工リサーチ(2022)「上場企業の個人情報漏えい・紛失事故」調査

また情報漏えい・紛失事故が発生した原因について2022年に焦点を当ててみると、「ウイルス感染・不正アクセス」が構成比55.1%と最多で、半数以上を占めています。

出典:東京商工リサーチ(2022)「上場企業の個人情報漏えい・紛失事故」調査

最後に2012年から2022年までの10年間の不正アクセスの件数を見ると、2012年から増加の一途をたどっていることが明らかです。 「ウイルス感染・不正アクセス」による事故件数は2019年以降、4年連続で最多を更新し続けています。

今回ご紹介した調査は、上場企業による公表分だけで集計されています。上場企業だけでも2012年以降、日本の人口に匹敵する人数分の個人情報の漏えいや紛失事故が発生しており、また集計対象外の非上場企業や官公庁など様々な組織で同様の事故が起きているため、流出した個人情報は想像しがたいほど甚大な数になるとも言われています。さらに不正アクセスなどのサイバー攻撃による事故件数は4年連続で最多を更新し、深刻さを増しているのが現状です。

そのため企業においては今後も、外部の第三者による不正アクセスを許さないためにもWebセキュリティ対策を万全にしておく必要があります。次章では、webセキュリティ対策で企業が取り組むべきことについてお伝えします。

Webセキュリティ対策で取り組むべきこととは?

Webセキュリティ対策のために、企業が取り組むべきこととは、一体何でしょうか?それは、改ざんを未然防止するためのセキュリティ対策と、攻撃された際の迅速な検知・対処方法の確立です。

改ざんを未然防止するためのセキュリティ対策としては、以下の5つを行うことが基本です。

・OSやソフトウェアのセキュリティアップデートをしっかり行うこと
・Webアプリケーションの脆弱性診断を行うこと
セキュリティ対策ソリューション(※)を導入すること
・使っていない古いツールを放置していないかの確認をすること
・管理画面のスワード管理を徹底すること

※セキュリティ対策ソリューションには、不正侵入対策としてのIDS/IPS(不正侵入検知・防御)やWebアプリケーションへの攻撃を防ぐWAF(Web Application Firewall)がその具体例として挙げられる。)
 
今ご紹介した5つの方法で、サイバー攻撃を未然に防げれば良いのですが、近年サイバー攻撃は高度化・巧妙化しています。そのため基本的なセキュリティ対策を行い、セキュリティ対策ソリューションを導入していたとしても攻撃を防ぎきれない場合もあります。

そのため事後対策として、Web改ざんを迅速に検知できる仕組み・体制を整備しておくことが重要です。

ここまでWebセキュリティについての対策方法をご紹介しましたが、これらの対策は、テックスクエアを運営するコムスクエアが開発・販売しているパトロールクラリスで実現が可能です。次章では、そのパトロールクラリスについてご紹介します。

Web改ざんも検知可能な汎用性の高い監視ツール「パトロールクラリス」のご紹介

弊社が開発・販売するパトロールクラリスは、最新のハードウェア、OSやネットワーク機器の監視が行えるコストパフォーマンスの高いサーバ監視・ネットワーク統合監視ソフトウェアです。

パトロールクラリスは、監視ツールに必要なエージェントの導入をせずに、貴社のITインフラの運用監視を実現できるエージェントレス型の監視ツールで、システム運用者が監視項目をカスタイマイズして運用監視を行えるほど、豊富に監視項目が用意されているのが特徴です。

また、今回、本記事で取り上げたWebセキュリティに関して、パトロールクラリスは、以下のような監視項目が用意されています。

今回の記事で取り上げたWebサイトの改ざんについては、パトロールクラリスでコンテンツ改竄の監視を行うことで、未然防止や迅速な検知が可能になります。

コンテンツ改竄の監視では、サイト全体において指定ディレクトリ配下のファイルが改竄されていないかのチェックを行うため、公開サーバ、特に会社のHP等の改竄監視に利用できます。
また、パトロールクラリスは最短1分間隔での監視設定が可能な為、万が一不正アクセスによりコンテンツの改ざんが行われても即座に検知することができます。

今回はパトロールクラリスの中でも「コンテンツ改竄」の監視をご紹介しましたが、パトロールクラリスにはセキュリティ監視以外にも様々な監視項目が用意されています。詳しくはこちらのサイトをご確認ください。

おわりに

コムスクエアが運営するメディア「テックスクエア」では、情報システム部門が知っておくべき「トレンドニュース」や「業務知識」などを、非エンジニアでも分かるように翻訳し、ブログ記事としてお届けしております。

そんな情シス必見のブログ記事を定期的にメルマガとして配信中。

是非、弊社のメルマガにご登録ください!

 

関連記事