サイバー攻撃による被害の中でも、最も警戒すべき事案は「個人情報の流出」です。ひとたび個人情報の流出を起こした企業は、損害賠償や行政対応、再発防止策の実施など様々な責任を負う事となり、経済的損失は計り知れません。今回は、企業を取り巻く様々なサイバー攻撃のうち、最も代表的なものたちをご紹介しようと思います。
サイバー攻撃事案その1:システム脆弱性の悪用
自社ウェブサービスの運用に欠かせないシステムに発見された、脆弱性を利用した不正アクセスです。侵入経路は様々ですが、管理用のバックドアを利用したサイバー攻撃も多く、国内でも数々の被害事例が報告されています。
システム脆弱性を悪用した個人情報流出事件
〇 「H&F BELX公式オンラインショップ」情報漏洩事件(2017年9月) → オープンソース型のECサイトパッケージ「Magento(マジェント)」の脆弱性が利用された事件。カード情報を含めて最大1,207件の個人情報流出の可能性。
〇 「NICT関連機関」不正アクセス事件(2017年3月) → アプリケーションフレームワーク「Apache Struts 2」に内在する脆弱性が悪用された事件。サイト利用者最大378名分の個人情報が漏洩した可能性。
サイバー攻撃事案その2:リスト型攻撃による不正アクセス
ユーザーの多くが「パスワードを使いまわす」傾向にある点を悪用したサイバー攻撃です。攻撃者はセキュリティシステムの脆弱なサイトからユーザーパスワードなどの「リスト」を入手し、本命となる企業サイトに対して攻撃を仕掛けます。
標的型攻撃と併用されることも多く、厄介なサイバー攻撃の1つです。
リスト型攻撃による個人情報流出事件
〇 ディノス・セシール不正アクセス事件(2017年9月等複数回) → 服飾販売サイト「セシールオンラインショップ」の顧客IDを悪用した不正アクセス事件。第三者のカード情報の登録・削除被害やポイントの不正利用が同一年内に複数回発生。標的型攻撃との併用が指摘されている。
〇 楽天ポイント不正利用事件(2016年11月~2017年9月) → 中国人犯罪容疑者・張鳳陽(27)らが逮捕された事件。2016年12月から2017年9月にかけて個人情報約274万件を収集し、リスト型攻撃を利用して楽天などECサイトのポイントを不正使用した疑いが持たれている。
サイバー攻撃事案その3:ランサムウェアによる情報流出事件
マルウェアの中でも特に脚光を浴びている「ランサムウェア」によるサイバー攻撃です。2017年は「WannaCry」や「Badrabbit」など複数のランサムウェアが跋扈し、多くの被害を及ぼしました。
ランサムウェアによるサイバー攻撃事件
〇 アイカ工業不正アクセス事件(2017年10月) → アイカ工業の公式ウェブサイトの一部が不正アクセスにより改ざん被害。「Badrabbit」に代表されるランサムウェア感染 サイトへのリンクに書き換えられたことが判明。
〇 JR東日本「WannaCry」感染事件(2017年5月) → JR東日本が保有するPC端末が「WannaCry」による感染被害のを受けた可能性が指摘された事件です。
