実際の事故例
従来のサイバー攻撃は、機密情報を保有する国、官公庁や一部の大企業がターゲットと考えられていました。
しかし、近年のサイバー攻撃の傾向をみると、機密情報の保有の有無にかかわらず標的として狙われるようになってきています。
「機密情報をもっていないから心配いらない」という時代ではなくなってきており、「すべての企業」がサイバー攻撃の標的です。
業種を問わず、個人情報の流出やサイバー事故が発生しています。
いつこうした被害が発生してもおかしくありません。
-
公的機関での事故
-
- 職員の端末がサイバー攻撃を受け、約125万件の年金情報が外部に流出した。いずれも加入者の基礎年金番号と氏名が含まれ、うち約5万2千件は生年月日や住所も流出した。国内の公的機関としては過去最大規模の情報流出であった。機構によると、流出したのは年金記録を管理するため一人一人に割り当てられている基礎年金番号と氏名の計約125万件。このうち約116万7千件に生年月日、約5万2千件には住所と生年月日が含まれていた。
-
-
旅行会社での事故
-
- 大手旅行会社の海外グループ会社3社において、第三者による不正アクセスが確認された。同社は事態を把握し、影響の可能性がある米国内のサーバとネットワークを速やかに遮断した。今回の不正アクセスにより流出した可能性がある情報は、2525件の顧客のローマ字氏名とログインIDとして顧客が登録した2396件のメールアドレスであった。顧客のローマ字氏名とメールアドレスは別々に保管しており、これら2つの情報がひもづいた状態にはなっていなかった。
-
-
ECサイトでの事故
-
- 業界大手会社が運営するヘアアクセサリーのECサイトが第三者による不正アクセスを受け、顧客のクレジットカード情報(4,538件)が流出した可能性が判明した。流出した可能性があるのは、顧客の名義、番号、有効期限、セキュリティコードでこのうち漏えいした可能性がある期間内で決済が成立している注文数は356件であった。同社は調査結果を踏まえて現行システムの破棄、サーバを含めたシステムの移行、社内外におけるセキュリティ対策および監視体制の強化を行い、再発防止を図った。
-
-
大学での事故
-
- ある国立大学医学部附属病院の教員が、同大学情報連携推進本部ITヘルプデスクを装った不審なメールに記載されたURLにアクセスし、本学のメールアドレス及びそのパスワードを入力した事により、これらの情報が不正に第三者に取得されてしまった。その結果、当該メールアカウントに不正アクセスされ、個人情報が含まれる電子メールを閲覧された可能性が高い。閲覧された可能性のある電子メールには333名分の「課題の名称」、「提出した学生氏名」、及び「学籍番号」、並びに課題の編集等ができる2名分の教員の氏名、職員番号が含まれていた事が判明した。
-
-
自動車メーカーでの事故
-
- 大手自動車メーカーは2020年6月9日、サイバー攻撃が原因で社内のネットワークシステムに8日に障害が発生したことを明らかにした。ウイルスが拡散された影響で国内工場では一時、完成車の出荷業務を見合わせたほか、北米では7つの四輪車工場など全拠点で生産を停止した。パソコンでのメールのやり取りは9日時点でも支障が出ていた。同メーカーは2017年にも世界の複数拠点でランサムウエア「WannaCry(ワナクライ)」に感染しており、当時も工場の生産を一時停止させるなどの影響が出た。国内では複数の大手企業もサイバー攻撃を受けており、セキュリティー対策の重要性が増している。
-
-
病院での事故
-
- S大学病院では同院職員が同院医事課事務所内で運用する患者情報入りのUSBメモリを紛失するという事例が発生。同院が明らかにしたところによると、情報の内訳としては患者番号、氏名、年齢、受診診療科、疾患名等が記録されていたとのこと。紛失現場が同院医事課内であることなどから、院外への流出の可能性はないと判断し、被害可能性のある患者や家族に、謝罪を発表している。
-
-
テレワークのセキュリティ事故①
-
- ある電機メーカーは、業務に使用していた従業員の個人保有の端末から不正アクセスがあり社内ネットワークに侵入されたと発表した。
その後、フォレンジック調査(サイバー攻撃等の被害を特定するためにデータ解析する調査)やアクセス履歴の分析の結果、サーバには主に法人向け資料が保管されており、そのうち188社に影響があったと発表され、その一部には省庁の情報も含まれていたとのこと。
-
-
テレワークのセキュリティ事故②
-
- 重工メーカーの従業員が在宅勤務時に自宅から社内ネットワークを経由せずに外部ネットワークへ接続しSNSを利用し、第三者から送付されたウイルスを含んだファイルをダウンロードしたことにより当該従業員の社有PCが感染。
日をおいて社内ネットワークに接続したところ、サーバを通じ感染が拡大したことが判明した。
被害範囲には深刻な情報が含まれていなかったが、従業員等の個人情報やサーバ情報等のIT関連情報が流出したと見られている。
-
-
決済サービスの事故
-
- 決済サービスA社は、第三者による不正アクセスが行われ、加盟店など約200万店の営業情報などが流出の可能性と発表した。従業員やパートナー企業に関する情報も約2000万件も流出したと考えられている。
-
-
ゲーム会社の事故
-
- ゲーム会社は、外部からのサイバー攻撃が確認され、社内ネットワーク内に不具合が発生していると公表。その後保有する個人情報や顧客情報が合計約39万件に流出の可能性があると発表した。
社内調査により、第三者からのオーダーメイド型ランサムウェアによる不正アクセス攻撃により、サイバー犯罪集団からデータと引き換えに金銭の要求があったことも発覚している。
-
-
転職サイトの事故
-
- 総合転職情報サイトは、なりすましによる不正ログインが発生し、サービス利用者約21万名分のウェブ履歴書情報が流出した可能性があると明らかにした。不正ログインが確認された期間は、約3週間にも及んだ。同社では、対象ユーザーのパスワードをリセットする措置を講じた。
-
-
ITシステム開発会社の事故
-
- ITシステム開発が提供した販売管理システムの開発は、システム全体納品され検収を完了したが、処理速度が遅いなどの不具合が発覚した。しかし補修が行われなかったとして、依頼会社から請負代金位支払いが拒絶されてしまった。
その後、システムの完成と不具合による解除の可否が争われ裁判に発展しており、システム会社の請求棄却され、前払金約1143万円の返還及び損害賠償金約581万円の支払となった。
-
損害費用例
- 会社のサーバが不正アクセスを受け、サービス利用者の個人情報(氏名、電話番号、クレジットカード番号等)が5万件流出した。
-
費用損害 ワイド ベーシック ブランドイメージ回復のための広告宣伝 1,000万円 お見舞品(金券)の購入 2,500万円
( =被害者1名500円×50,000件)事故原因・被害範囲調査
(フォレンジック調査)500万円 被害サーバの復旧費用※ 200万円 クレジットモニタリングを実施※ 500万円 再発防止費用※ 100万円 合計 4,800万円 (注)※印の費用はワイドプランでのみ補償対象となります。
ご契約の条件によって、一部の費用損害については、お客さまの自己負担が発生する場合があります。 - さらに…
(1)クレジットカードの不正利用の被害にあった方から損害賠償請求をうけた
(2)個人情報を漏えいされた被害者のうち、1万人から集団訴訟をうけた -
賠償損害 請求(1)の損害賠償金 500万円 訴訟(2)の損害賠償金
(1件10,000円)1億円
(10,000円×10,000件)(1)と(2)の争訟費用
(賠償金のおよそ1割)1,000万円 合計 1億1,500万円
賠償損害 + 費用損害 = 1億6,300万円 もの損害に。
(注)ご契約の条件によって、一部の費用損害については、お客さまの自己負担が発生する場合があります。