【11月第3週】不正アクセス被害多発!今一度IT管理体制の見直しを
このところ企業や団体を狙った不正アクセス被害が多発しています。狙われるのは組織が保有している内部・外部を含む個人情報など。さらにそれを盾に金銭を要求してくる場合もあります。組織の規模に関わらず、決して対岸の家事ではありません。被害にあわないためにも、今一度組織内のセキュリティ体制を見直しましょう。
最近の不正アクセス被害
■2020年9月「慶応SFC個人情報流出(3万件以上)」
慶応義塾大学は、湘南藤沢キャンパス(SFC)の学内システム「SFC-SFS」が不正アクセスを受けた件で、3万1000件以上の個人情報が漏えいした可能性があると発表しました。漏えいの可能性があるのは、学生の顔写真データ(1万8636件)、学生の氏名や入学年月日など(5088件)、授業の履修履歴(4493件)、教員の氏名や職位など(2276件)、教員の生年やメールアドレスなど(2276件)、委託業者のメールアドレスなど(233件)、教員の住所(193件)。犯人は教職員19人のIDやパスワードを窃取。盗み取った情報を使ってSFC-SFSに不正ログインしていたといいます。
■2020年11月「カプコン個人情報流出(35万件)」
カプコンは、第三者からの不正アクセスで最大35万件の個人情報が流出した可能性があると発表しました。漏えいした可能性があるのは、国内顧客の氏名や住所など(約13万4000件)、採用応募者の氏名や顔写真など(約12万5000件)、株主名簿情報(約4万件)、退職者やその家族の氏名、顔写真など(約2万8000件)、社員の人事情報(約1万4000件)、北米向けに運営しているECサイト「Capcom Store」の会員情報(約1万4000件)、北米向けのeスポーツ大会の運営に使っているサイトの会員情報(約4000件)、売上情報、取引先情報、営業資料、開発資料など。保管しているデータを第三者からロックされ、データとの引き換えに身代金を要求されるランサムウェアの被害と確認されています。
■2020年11月「Peatix個人情報流出(677万件)」
Peatix Inc.は、同社が提供しているイベントプラットフォーム「Peatix」において最大677万件の利用者の個人情報を含む顧客情報が引き出された事実が判明したと発表しました。漏えいした可能性があるのは、氏名、メールアドレス、暗号化されたパスワードなど。クレジットカード情報ならびに、金融機関口座情報などの決済関連情報、イベント参加履歴、参加者向けのアンケートフォーム機能で取得したデータ、住所、電話番号などの情報が引き出された事実は確認されていないとしています。発覚経緯は、同社が保有している利用者の個人情報が引き出されている可能性があることを認識し、外部の調査会社による調査を行った結果判明したといいます。
『慶応SFC、3万件以上の個人情報流出か 学生の顔写真など被害に 10月発表の不正アクセスで』
(出典:2020年11月11日 ITmedia記事より)
『カプコン、最大35万件の個人情報が流出した恐れ 11月2日の不正アクセスで』
(出典:2020年11月16日 ITmedia記事より)
『「Peatix」で不正アクセス–最大677万件の個人情報が引き出される』
(出典:2020年11月17日 CNET Japan記事より)
不正アクセスへの対策
企業などが保有する情報を狙う攻撃としては、上記カプコンの個人情報流出にみられるような、情報に対する身代金を要求する「ランサムウェア」や、情報のみを詐取することを目的に執拗に攻撃する「標的型サイバー攻撃」といったものがあります。
■ランサムウェア
ランサムウェアは、まずスパムメールなどからフィッシングサイトへ誘導され、ランサムウェアに感染させられます。感染したランサムウェアが活動を開始すると、感染PCの特定機能を無効化し操作不能にしたり、データファイルを暗号化し利用不能にするなどの活動が行われ、最終的にロックしたデータを感染前の状態に戻すことと引き換えに金銭の支払いを要求する画面が表示されるというものです。
【対策】
・従業員が使用しているパソコン(クライアントPC)のセキュリティ強化。
・内部ネットワークから外部不正サイトへのアクセスをブロックする。
・クライアントPCの脆弱性対策(更新プログラムのアップデート)。
・サーバのバックアップをこまめにとり、被害を最小限に留める。
■標的型サイバー攻撃
標的型サイバー攻撃は、組織が保有する重要情報入手を目的として、特定の組織を攻撃対象とし、継続的に攻撃が行われます。攻撃対象の持つ重要情報の入手を最終的な目標として攻撃が実施されますが、標的組織へ侵入するための足掛かりとして、関連する他の組織や個人が一時的な攻撃対象となる場合があります。関係者や関連業務を偽ったソーシャルエンジニアリングを利用して標的ユーザを信用させ、添付された不正プログラムを開かせる手法です。最近話題の「Emotet」がこれにあたります。侵入後は、標的ネットワーク内部のバックドア型不正プログラムを遠隔操作し、内部活動ツールを使って標的ネットワーク内部の情報を探索し、情報の収集を行います。
【対策】
・従業員が使用しているパソコン(クライアントPC)のセキュリティ強化。
・メールサーバでの標的型メール検出。
・外部への不正なネットワーク通信・接続の検出。
・ネットワーク内部での不審な挙動を可視化。
・組織におけるセキュリティポリシーの策定。
・従業員に対するセキュリティ教育・注意喚起。
このように、いずれも被害の前段階として従業員が使用するクライアントPCから攻撃を仕掛けてきます。まずは、従業員個々の社内PCを使用する際の教育・セキュリティ意識改革が大きな被害を防ぐ第一歩となります。あわせて組織内部のパソコンやサーバーの管理体制の強化もするべきですが、内部での管理が難しいようであれば、管理を外部委託するのも一つの手といえます。
>> IT管理のアウトソーシングならシーティーエスにおまかせください
*********
弊社では、保守サービスやサポートに関する
facebookページを立ち上げています。
セキュリティの問題や脆弱性の情報を
毎日ピックアップして掲載しておりますので
よろしければお立ち寄りください。
ITサポート&サービス情報局【CTS】facebookページ
http://www.facebook.com/ITsupport.service
今週も「IT・保守サポートの日誌」をお読みいただき、
ありがとうございました。
シーティーエス株式会社 ブログ担当スタッフより
