情報セキュリティ白書 ダントツ人気コンテンツの「国内のセキュリティインシデント」 その4　情報漏えい（１）

　今回から2回に分けて、情報漏えいについてとりあげます。情報漏えい発生の要因は様々ですが、情報セキュリティ白書2020では「外部からの攻撃」「操作ミス等の過失」「内部者の故意による不正」「不適切な情報の取り扱い」の４つに分類し、公開情報を基に漏えいした情報種別、件数などについて記載しています。
　また、東京商工リサーチが2020年1月に公開した「上場企業の個人情報漏えい・紛失事故」 調査の一部を引用しており、それによれば、2019年に個人情報の漏えい・紛失事故を公表した上場企業は66社86件、漏えいした個人情報は903万1,734人分に達したとのこと。さらにこの東京商工リサーチのリンク先を確認してみると、漏えい・紛失した可能性のある個人情報は調査を開始した2012年からの累計で8,889万人分に達するとありました。決して少ない数ではないことに驚かされます。
まず「外部からの攻撃」による情報漏えい事例を見てみましょう。次の表はIPAが公開情報を基に作成したものです。

表１：外部からの攻撃による情報漏えいの主な事例（白書P47）
報道または公表事例を基にIPAが作成

　表中の全18件のうち12件（表中の✓）はその記述からオンラインショッピングサイトからの漏えいだと判ります。

　情報漏えい被害の主たる発生原因である不正アクセスはウェブサイトやシステムの脆弱性、アカウント管理の不備を悪用するものが多いとセキュリティ白書では指摘しています。その他の不正アクセス手口としてパスワードリスト型攻撃もあり、表1には3点の事例が確認できます。

また、表1にはありませんが、白書本文（P46）では情報漏えいの原因として、Emotetのばらまき型メールにも言及してい ます。Emotetは2020年の今も横行し、被害発生が続いており、先月9月にもIPAへの相談が一時急増したところです。

　一般的な情報漏えいへの対策は、ウェブサイトの運営者などの企業が、①利用しているソフトウェアの適切なアップデート　②使用しているアカウントへの適切なアクセス権の設定やパスワード管理、を行うことです。そしてアカウントを所有する一般利用者も対策の必要があり、フィッシングなどにより情報を詐取されないよう注意を怠らないことが重要です。

Emotetについての対策はこれらとは異なりますので、詳細は上記文中のリンクをご確認ください。

次回は残り３つの情報漏えい発生要因についてお話しします。
「情報セキュリティ白書2020」は以下のURLからご覧になれます。
https://www.ipa.go.jp/publish/wp-security/sec-2020.html