情報漏洩対策ソフトをご検討のみなさまへ

15/02/24

情報漏洩の事例、5つのケース。

情報漏洩の事例、知っておくべき5つのケース

ここでは情報漏洩で、知っておくべき5つの事例を説明します。
情報漏洩は下記事例を読めばわかるように、一度発生すると、その損害は想像以上に大きいものです。
そのために企業イメージを回復するには、多大な企業努力や、巨額の費用が必要になります。
そして、一番大事なことは、原因の80%は、ウイルスではなく人であるということです。

ベネッセ、故意の持ち出しで顧客情報3504万件が漏洩

2014年7月、ベネッセの原田社長が記者会見を開き、同社の顧客情報が漏洩したことを発表しました。これは、顧客情報3504万件の流出という規模の大きさ、価値が高いとされる子供の個人情報が名簿業者から複数の企業に転売されていたことに特徴があります。
国の捜査が入り、当初、その損害額は金額換算ができないくらいのレベルでした。その後の記者会見で、ベネッセは200億円の原資で顧客への補償を用意すると発表しています。
その後ベネッセは次のような対策を立て、信頼回復に努めています。
http://www.benesse.co.jp/customer/

高いレベルのセキュリティ対策を行っていたにも関わらず、サーバーからスマートフォンを介して、契約社員がデータを持ち出したことが原因です。

お名前.com、メルマガ16万超のメール誤送信

2014年12月、GMOインターネットが運営している「お名前.com」の会員にむけてのメルマガ配信で、宛名の違う16万超のメールを誤送信したと発表しました。
原因は、作業上のミスとのことで、ヒューマンエラーが原因でした。一斉にメール同報が16万件と大規模だったこと、インターネット専門会社による事故だったことで大きく報道されましたが、これは大変身近な事故です。多かれ少なかれ、外部へのメ ール送信は誰でも日常行っている行為だからです。
もし1通であっても、それが重要ファイルをやり取りするメールだったら、被害も大きなものでしょう。これもファイル自体の防御策を行うことでリスクを軽減できるパターンです。

サイボウズ、業務用PC紛失で内部のファイルを第三者が閲覧

2014年5月、サイボウズ社の社員が、移動中の電車に、業務用PCを入れた紙袋を置き忘れ、PC内に保存されていた顧客情報が第三者に閲覧されました。PCのログインパスワード機能が、ソフトの不具合で無効になっていたため、第三者が容易にログインしファイルを閲覧・コピーできる状態でした。
サイボウズ社は以下のように再発防止策をたてています。
http://group.cybozu.jp/news/14052301.html

置き忘れという不注意によって発生した事件ですが、さらにPCの防御機能の無効化という事態が重なりました。PC持ち出しを許可する運用では、紛失・盗難も想定し、重要なファイルは一か所に集めてファイルを暗号化しておく、ことが不可欠です。

JAL、ウィルス対策ソフトをかいくぐり顧客情報4131件が漏洩

2014年9月、日本航空(JAL)は、JALマイレージバンク(JMB)に登録した顧客管理システム(VIPS)への不正アクセスが19万件、そのうち4131件の個人情報漏洩があったと発表しました。
JALは以下のように原因究明し再発防止に努めています。
https://www.jal.co.jp/info/other/140924.html

VIPSを参照できる端末で顧客情報を盗み出すウィルスが実行され、社外に送信されたことが原因です。ウィルス対策ソフトはしっかり対策し、セキュリティ教育を実施していたにも関わらず、メールに添付されたマルウェアに感染してしまったようです。ウィルス対策だけに安心せず、重要ファイル自体の安全性を確保する対策が必要だったと思われます。

三菱UFJ証券、149万超の顧客情報を不正に持ち出し

2009年、三菱UFJ証券(現・三菱UFJ証券ホールディングス)の従業員が、149万超(同社のほぼすべて)の顧客情報を不正にCD-ROMにコピーして持ち出しました。

顧客情報は、最終的に4社の名簿業者に転売され、5万人もの個人情報が漏洩しました。5万人への損害賠償額は5億にも上ります。
システム部を統括する立場を利用した不正アクセスによる持ち出しが原因であったため、内部管理体制が問われた事件でした。一人の人間にアクセス権を集中させた安心感の裏をかく盲点で、アクセス権の管理・チェック体制を考えさせられるものです。

 

いかがでしたか?
ここでは、情報漏洩の知っておくべき5つの事例についてご紹介しました。
おわかりのとおり、ほとんどのケースは意図的な人の持ち出しや不注意によるヒューマンエラーです。情報漏洩対策は、ファイルの権限管理、コピー防止、暗号化など、ファイル自体の制御が基本です。

まずは、今回の記事が、貴社のセキュリティ対策の取り組みのご参考になれば幸いです。