今年に入り、仮想通貨取引所が不正アクセスにより巨額の仮想通貨を流出させた事件は記憶に新しいでしょう。同事件については企業の管理不備なども指摘されていますが、最近になってそもそもの原因が、同社社員のパソコンがウイルスに感染し遠隔操作を許したことで、取引に使用する秘密鍵を盗まれたことだということが明らかになっています。
この事件は、法制度や保証も整わない仮想通貨という最新のキーワードと、その稀に見る巨額の被害額により、連日ニュースで大きく取り上げられました。しかし、こうしたサイバー攻撃や不正アクセスは現在、世界中で毎日のように起きているのです。昨年国内で起きた主なサイバーインシデントについて振り返ってみましょう。
2017年に起きた主な事件
3月:日本郵便に不正アクセス。ソフトウエアフレームワークである「Apache Struts2」の脆弱性をつかれ、3万件近い登録者のメールアドレスが流出。
3月:電力会社のサイトに「Apache Struts2」の脆弱性を利用した不正アクセス。6000件を超える顧客情報が流出。
4月:チケット販売会社の運営するサイトに不正アクセス。3万2000件のカード情報を含む15万件の個人情報が流出。197件630万円の不正利用を確認。
4月:総務省の保有する政府統計の窓口機能に「Apache Struts2」の脆弱性をつかれた不正アクセスが発生。2万3000件の登録情報が流出。
6月:再び「Apache Struts2」の脆弱性により、国土交通省のサイトから4000件以上のアンケート情報が流出。
7月:投資情報サイトに不正アクセス。1万件近い顧客のクレジットカード情報が流出。
9月:ガス会社の料金照会サービスに不正アクセス。流出した17件のアカウント情報から不正ログインが行われたと発表。
11月:チケット販売サイトにリスト型攻撃による不正ログインが発生。
12月:大学に不正アクセス。盗み出した教員のログイン情報が悪用され8万件以上の個人情報が流出。
※上記記載の月は発表時点のもの。
ターゲットはサイトを運営するあらゆる企業・組織
このように、サイトを運営するあらゆる企業・組織がターゲットとなっていることが分かります。さらに漏えいしたデータがリスト型攻撃などに悪用されたり、実際に金銭的被害が発生したりするなど、被害は不正アクセスを受けたサイトにとどまりません。
また、世界に目を向けると、米大手検索サイトが2013年に起きた情報漏えいにより、30億件にのぼる個人情報を流出させていたことが発覚。ランサムウェア"WannaCry“の被害は世界150カ国に及び、さらに国家をまたいだ選挙への干渉や、仮想通貨を狙ったサイバー攻撃も明らかになるなど、サイバーインシデントは大規模化・深刻化を続けています。
サービスを提供する事業者には、高い情報セキュリティ対策が求められており、同時に一人ひとりの利用者も、自分の情報を守るためのデータ管理や情報セキュリティへの意識が必要になっています。