2021年に起きたサイバー攻撃による個人情報流出事件を紹介

2021年10月28日

2021年に発生した個人情報流出事件

情報化社会が進歩するにつれ、個人情報の漏えいが大きな問題になっています。
クレジットカードや住所などの個人情報の漏えいが発生すれば、企業の信頼をゆるがす大問題になるでしょう。
近年では個人情報流出の事件も増加しており、私たちの情報もいつの間にか出回っているかもしれません。
企業に対してサイバー攻撃を行う集団も出てきているのが現状です。
IPA(独立行政法人情報処理推進機構)が発表した「コンピュータウイルス・不正アクセスの届出事例[2021 年上半期(1 月~6 月)]」では身代金を要求するサイバー攻撃の被害は30件にもなります。
以前までは誤送信などのヒューマンエラーが原因となることが多かったですが、サイバー攻撃を行う集団が増えた影響もあり、どの企業にも個人情報が流出するリスクがあると考えてもよいでしょう。
今回は多くの個人情報が流出し、身代金まで請求された事例を2つ紹介します。

株式会社ユピテル

株式会社ユピテルは2021年6月7日に、自社が提供する会員サービス「My Yupiteru」が外部からの不正アクセスを受け、個人情報が流出したことを発表しました。
流出した個人情報は会員の住所、氏名、性別、生年月日、電話番号、メールアドレスであり、40万5576件にも及びます。
発表によると、4年前の2017年10月31日には不正アクセスによって、会員データが流出していたとのことです。
不正アクセスが確認された際は不正アクセス元からの通信を遮断し、セキュリティチェックを行いました。
その後、業務委託をしているシステム開発会社や管理会社に調査を依頼し、個人情報がダウンロードされた結果は見られないと判断されたため、不正アクセスがあったことを公表しませんでした。
しかし、約3年半後の2021年5月。不正アクセスを行ったとみられる人物からメールが届きます。
メールには「2017年末にサーバをハッキングし、顧客情報を持っている」という文言が書かれており、その人物はユピテルに対して「要求した金銭を支払わない場合は個人情報を競合他社に渡す」と金銭を要求しました。
メールにはリンクが記載されていて、そこでは約52万件のデータを確認することができました。
攻撃者からの提示額についてユピテルは「詳細は開示できない」と具体的な金額は明らかにしませんでしたが、「かなりの金額」と答え、三田警察署に被害届を提出するとともに、個人情報保護委員会にも報告しています。
今回の件で身代金を払ったのか、どのような交渉が行われたのかは発表されていません。

鹿島建設

大手ゼネコンである鹿島建設の海外グループ会社が2021年4月28日、ランサムウェアに感染したのが原因で、請求書などの内部情報流出があったことがわかりました。
ランサムウェアによるサイバー攻撃は2021年3月下旬に発生していて、今回の攻撃を行ったのはロシア系サイバー犯罪カルテル「REvil(レビル)」とみられています。
ハッカー集団「REvil(レビル)」は世界で活動をしているサイバー犯罪カルテルの一つで、海外に拠点を置く多国籍企業を標的に攻撃を行っています。
盗まれた個人情報は全部で約130万件に及ぶものと見られており、2021年4月27日にダークウェブ上で、盗み取った情報の一部が公開されました。
公開された情報は大手テーマパークの運営会社との秘密保持契約書のほか、労働の契約書、それにメールや取引先のリストなどで、関係している企業には個別に説明を行っているそうです。
5月1日までに身代金を支払わないと情報を売却するといった内容の犯行声明を出していました。
鹿島建設の対応に注目が集まっていましたが、どのような対応を取ったのかは発表されていないため身代金を払ったのかはわかっていません。

終わりに

警察庁は「2021年(令和3年)上半期におけるサイバー空間の脅威情勢について」を発表し、被害状況などを分析した結果を発表しました。
企業・団体へのランサムウェア被害は、警察庁に報告のあった件数だけで61件になり、前年下半期の21件から大幅に増えています。
被害を受けた61件のうち、金銭の要求があったのは35件にも上っています。
被害件数の内訳を企業・団体の規模別に見ると大企業が17件(28%)、中小企業が40件(66%)となっていて企業の規模に関わらず被害が発生していました。
被害企業・団体に対するアンケートによると、「調査・復旧費用の総額」は、1,000万円以上の費用を要したものが全体の4割近くを占めています。
ランサムウェアの感染経路は、31件の有効回答のうち、17件が「VPN機器からの侵入」で全体の55%を占め、次いで「リモートデスクトップからの侵入」7件が23%を占めていて、テレワークの普及が被害件数の増加に影響したとみられています。
サイバー攻撃による被害はどんどん拡大していますね。セキュリティは利益をもたらすことはないですが、軽視してしまうと努力して積み上げた利益をあっという間に無にしてしまうほどの損失を招く可能性があります。
被害にあわないためにもセキュリティに対する知識を高め、個人情報流出対策を行うことがIT分野に取り組むための重要なポイントになるでしょう。

参考