企業が保有する顧客の個人情報や、重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。NPO法人日本ネットワークセキュリティ協会(JNSA)が発表した「2015年 情報セキュリティインシデントに関する調査報告書 速報版」によると、昨年1年間での情報漏洩による想定被害総額は2541億円。
漏洩した個人情報の顧客へのお詫び金や、株価の暴落、イメージ低下による顧客数の減少から訴訟のための弁護士・裁判費用まで、情報漏洩によって会社にもたらされる損害は計り知れません。
今回は、情報流出によって大きな損害を出してしまった会社の事例をご紹介します。失敗から学び、自分の会社の情報セキュリティ強化、安全化に生かしましょう!
安全化とはなにか、どのように安全化に挑むかは以下の記事で紹介しています。
ご紹介する事例
- ベネッセ・コーポレーション
- 日本年金機構
- JTB
- 米国医療保険会社Anthem
- 中小企業 京都薬品ヘルスケア
ベネッセ・コーポレーション
2014年6月、ベネッセホールディングスの子会社ベネッセ・コーポレーションに会員から「覚えのない企業からダイレクトメールが届くようになった」との問い合わせが届いたところから事件は発覚します。約2,895万件もの個人情報が名簿会社に売却されていたのです。
しかし、情報セキュリティ対策をしっかり行っていたベネッセでなぜそのような事件が発生してしまったのでしょう?ベネッセの顧客情報管理は、システム開発・運用を行うグループ会社である株式会社シンフォームに委託されていました。
しかし、実はシステム保守の部分に関しては別業者に再委託されており、今回はその再委託先の元派遣社員が情報を流出させたのです。元派遣社員は、個人のスマートフォンを充電しようと会社の貸与PCへ接続したところ、データの移行が可能であることを発見、その後入手した個人情報を名簿会社に売却してしまいました。
事件の結果、ベネッセホールディングスの役員二人が辞任し、翌年には「プロ経営者」と呼ばれた原田泳幸会長兼社長も「経営を立て直せなかった」と涙ながらに語り退任。会員への補償のためにかかった損害は260億円、さらに1年間で94万人の会員が流出し、2016年3月期連結決算の最終損益は82億円の赤字となりました。
日本年金機構
昨年5月、日本年金機構は不正アクセスによって約125万件の年金情報が流出したと発表しました。「標的型攻撃メール」と呼ばれる、メールに添付されたファイルを開くことでウイルスに感染させるという手口が使われました。しかし今回は添付ファイルではなくURLへのリンクが使われ、日本年金機構の職員に対して送られた「『厚生年金基金制度の見直しについて(試案)』に関する意見」というタイトルのメールに記載されていたオンラインストレージのURLを職員が開けたことでウイルス感染を許してしまいました。
この事件で明らかになった、日本年金機構の情報セキュリティ体制。原因となったメールはYahoo!の無料メールアドレスだったため、そこでまず怪しい、と気がつけたはずです。また、公的な文書をオンラインストレージ経由で送ることも、疑うポイントとなります。
ヒューマンエラーによって起こってしまった今回の事件。この事件を逆手に取った詐欺事件も発生しており、年金機構の信頼は失墜してしまいました。日頃から情報セキュリティへの意識を組織内で高めることの重要性がご理解いただけると思います。
JTB
今年2016年6月、JTBのオンラインサービスから793万件の個人情報が流出したおそれがあるとして、高橋社長ら取締役が謝罪会見を開きました。流出したおそれがあるのは氏名・生年月日・メールアドレス・住所・電話番号などに加えて、4300件のパスポート番号を含んだ個人情報。今回の原因も日本年金機構と同じメールの添付ファイルを使った外部からの標的型攻撃だったのですが、今回はさらに巧妙な手口が使われていました。
原因となったメールは取引先の航空会社系列企業をなりすましたメールで、タイトルは『航空券控え 添付のご連絡』と書かれていたそうです。本文には『お世話になっております』などの通常の挨拶文のあとに、『eチケットを送付しますのでご確認下さい』という趣旨の文章があり、実在する取引先の会社名・部署と担当者名の署名も含まれていました。問題の添付ファイルは『E-TKT控え』となっており、受け取った社員が航空券の確認だと思って開封したところ、ウイルスに感染してしまいました。
JTBはこの情報流出についてまだ「可能性」にとどまっているとして、「補償は個別対応」すると発表しています。しかし、流出したパスポートの再発行の費用をJTBが持つとしても約7000万円かかり、被害者からの訴訟も含めて最低でも40億円の補償がのしかかるとの見方もあります。
このような巧妙な手口を使った標的型攻撃は見破るのが難しいかもしれませんが、開封しても感染を最小限にする手立てや、感染を早く気付くしくみを作り、顧客情報を守りきる必要があります。
医療保険会社Anthem
海外の事例もご紹介します。アメリカで第2位の医療保険会社Anthemは昨年2月、サーバーにハッカーが侵入し、8000万人分の個人情報が流出していたことを発表しました。8000万件の情報流出は、海外でも最大級の被害規模とのことです。氏名、生年月日、加入者ID、社会保障番号、住所、電話番号、電子メールアドレス、勤務先情報といった個人情報が流出し、被害総額は100億円以上とも言われています。
AnthemのCEOであるJoseph Swedish氏は「極めて洗練された外部からのサイバー攻撃」の標的となったと語っており、ハッカーはパスワードを盗んでサーバーに侵入したとのことです。サイバー捜査専門家らはこの攻撃について中国のハッカーによる犯行と疑っており、企業のデータ保護強化を訴えています。
京都薬品ヘルスケア(中小企業)
被害は大企業だけではありません。最近では、従業員10人以下の小さな企業もサイバーテロの標的にされています。
産経ニュースによると、今年1月、ショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している健康食品販売会社「京都薬品ヘルスケア」が、自社サイトへの不正アクセスで、顧客情報が外部に流出した可能性を公表しました。
流出した疑いがあるのはサイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報など1955名分の個人情報。調査によると、外部サーバーに何らかの方法で不正アクセスプログラムが仕掛けられたとみられています。この事件により、京都薬品ヘルスケアはサイトを長期間閉鎖することを余儀なくされました。
大企業に比べてセキュリティ対策が甘い中小企業は、サイバー攻撃の標的にされやすいと言われています。実際、IPAがまとめた「2015年度 中小企業における情報セキュリティ対策に関する実態調査」によると、「組織的に情報セキュリティ対策担当者がいる」と回答した中小企業は19.6%にとどまり、大企業も入れた全体平均(44.6%)の半数にも達しません。また、中小企業の過半数(50.3%)が社員の私物のスマートフォンやタブレット端末の業務利用を認めています。
情報漏えいの脅威が増す中、多くの中小企業は情報セキュリティ担当者が不在で社内外の相談窓口もありません。社員のスマートフォンやタブレット端末利用を認めている一方で端末にパスワードの設定がなされていないなど、情報セキュリティ対策が不十分な中小企業が多い現状。中小企業でも、しっかりと情報セキュリティ対策を行う必要があります。
まとめ
以上、情報流出により損害を出してしまった5つの企業をご紹介しました。サイバーテロの件数は毎年増加し、手口も巧妙さを増しています。経済損失もブランドイメージの低下も招いてしまう情報流出は、被害にあってからではもう手遅れ。あなたの会社でも情報セキュリティ教育などの防止策を徹底し、大切な情報を守りきりましょう。
弊社が開発・提供する、「ALL-IN」は中小企業に特化した”トータル業務マネジメントシステム”です。「ALL-IN」には、ERPシステム、SFA(営業支援)システム、CRM(顧客管理)システム、BIツール、タスク管理機能など、中小企業の経営に必要な業務システムが全て一つに詰まっております。中小企業に特化し無駄な機能を排除し、クラウドシステムを採用しているためコストはとても低くなっております。
「ALL-IN」を導入することで、その他の業務システムを検討する手間もコストも必要無くなります。また、これまでバラバラなシステムを使っていたことによる、入力の2度手間などの非効率な業務フローが、「ALL-IN」ではスッキリと効率化されます。
セキュリティも万全な中小・ベンチャー企業向けクラウドERP「ALL-IN」はこちら
「ALL-IN」概要資料
生産性をあげる極意 無料小冊子プレゼント!
目次
- ALL-IN開発コンセプト
- ALL-INの機能紹介
- 料金比較
- 導入ポイント
Facebookページにぜひ「いいね」をお願いします!
「いいね!」を押すと「経営をアップグレードしよう!」の最新コンテンツが受け取れます
