SPECIAL CONTENTS

特集 | ビジネスやITの最新動向/技術についてセキュリティ観点からレポート

2015年度における情報漏えい事件ワースト5

この記事をシェア

2015年は、世界でさまざまな組織からの情報漏えいが立て続けに起こった年だった。国内では日本年金機構事件が記憶に新しいが、海外ではどういった事件があったのだろうか。大規模なもの、または、被害が広範に及んだものの中から、5つの事件を振り返ってみる。

この記事は、ESETが運営するマルウェアやセキュリティに関する情報サイト「We Live Security」の記事を基に、日本向けの解説を加えて編集したものです。

2015年度における情報漏えい事件ワースト5

情報漏えいが頻発し日常化している。デジタル・セキュリティ大手のジェムアルト社によれば、2015年上半期だけで888件の情報漏えいが起きており、2億4600万の記録が危険にさらされたと見積もられている。一方、IBM基礎研究所によれば、昨年の情報漏えいには、平均すると、1件当たり380万ドルのコストが掛かっており、2013年比で23%増加しているという。

2015年は、ソーシャル・エンジニアリングが犯行の主戦場となった年である。おそらくソフトウェアの脆弱性が永遠に狙われ続ける宿命にあるとしても、今度は人間こそが簡単に陥れることのできる標的となったのである。このソーシャル・エンジニアリングの世界で国々は盛んに活動しており、組織犯罪集団は金もうけの好機をそこに見いだしている。内側からの脅威がかつてないほど高まっているのだ。

1.米国人事局事件

米国人事局事件

2015年6月、米国人事局(OPM)は、近年まれに見る最高度に進化したサイバー攻撃を受けた、と発表した。当初は、この攻撃によって400万件の記録が流出したという報告だったが、この数字は後になって、FBI長官ジェームズ・コーミー(James Comey)氏により、1800万件に訂正された。現在では合計すると政府機関で働く者2150万人が被害を受けた、と考えられている。

連邦政府職員たちが米国史上最悪の情報漏えいだという、この事件で危険にさらされた情報には、職員の氏名、生年月日、住所、社会保障番号などの、個人の特定を可能にするデータが含まれていた。500万を超える指紋データとセキュリティ・クリアランス帳簿も流出した。

最初に疑われたのは中国だった。もちろん中国は否定しているのだが、この事件ではソーシャル・エンジニアリングが犯行の足掛かりとして用いられたのではないかとささやかれた。攻撃者たちは2014年12月、まず何らかの有効なユーザー認証を手に入れてから、その破壊を目的として連邦人事局のネットワークに侵入した、と考えられたのである。そして人事局は2015年4月になって初めて情報漏えいの事実を知った。

2.アンセム社事件

2015年初頭、米国健康保険会社アンセム(Anthem)は、当時や以前の保険契約から、同社のサービスを利用していた「ブルークロス」(Blue Cross)や「ブルーシールド」(Blue Shield)といった他の保険銘柄に至るまでの一切合切が、高度なサイバー攻撃の犠牲になったと顧客に通知した。

大ざっぱに言って8000万人の顧客と保険会社社員が、この攻撃の影響を受けた。この事件でも攻撃は、事実が露見する何週間も前に始まっていたのである。サイバー犯罪者たちは、まず1つのデータベースに侵入し、管理者のユーザー承認を使って保険会社のサーバーから個人特定が可能な情報(氏名、生年月日、医療ID、社会保障番号、住所、収入といったデータ)を全てダウンロードし、盗み出したのだろう、と考えられている。

由々しきことにアンセム社には顧客データを暗号化する法的義務はなく、この過失に対しては民事裁判で追及されることとなった。この一連の民事訴訟のためアンセム社は、何百万ドルもの費用を支払わなければならないと見積もられている。

本件は、保険関連で史上最悪の情報漏えいであり、2015年は他のサービス(Excellus Blue Cross、 CareFirstPremera Blue Cross)も同時に攻撃され、彼らにとっての厄年だった。

3.アシュレイ・マディソン事件

アシュレイ・マディソン事件

アシュレイ・マディソンに対する攻撃は、一般紙が取り上げるような話題ではなかったとしても、2015年において最も意味深い情報漏えい事件だったと言ってよかろう。とりわけアシュレイ・マディソンが提供するサービスの性質上、その顧客に対するインパクトが前例のないものだったからである。

アシュレイ・マディソンのWebサイトには「既婚者同士にひそやかな出会いの場をお届けする、世界のリーディングカンパニー」とあり、このうたい文句は、個人情報がオンライン上に流出した後、世界中のトップニュースで流された。アシュレイ・マディソンの会員たちがはなはだ困惑したのは、このサイトをあれほどにも魅力的にしていた「密会」というコンセプトそのものがまさに損なわれたからである。

この攻撃は数年前から始まっていたのだが、それが表沙汰になったのは2015年6月だった。インパクト・チームがアシュレイ・マディソンのサーバーに侵入し、ユーザーデータをオンライン上にアップロードしたのだ。彼らは、このWebサイトを即座に閉鎖しなければ個人を特定できる情報を流出させる、と脅迫した。

2015年8月に、おおよそ60GBに相当するユーザーデータの流出が確認され、犠牲者の数は、3700万人に上ると、現在では考えられている。

報告書作成と保守管理を託された者たちが漏えい後のデータベースを精査した結果、米国軍および政府名でのメールや、サウジアラビア(この国では姦通罪は死刑に値し得る)発の何百ものメールアドレスが発見された。2件の自殺もまた、この流出事件に関連していたと見られる。

こんな事件が起きたにもかかわらず、アシュレイ・マディソンは以前同様にビジネスを続けている。この企業は驚いたことに、攻撃された後も会員数が増加しているとさえ主張しているのだ。

4.ハッキング・チーム事件

アシュレイ・マディソンのときと同じように「ハッキング・チーム」の情報漏えいは途方もない話であり、この攻撃のニュースが6月に明るみに出たときには、多くの専門家たちの興味を引いたものだった。

「ハッキング・チーム」は、政府機関が非合法に使用するハッキングツールを開発しているとして情報セキュリティ産業からずっと批判され続けており、彼らの取引相手の常連の中には中東やアフリカの抑圧的政府も含まれているとされている。

この事件は、100万通を超えるメールの流出を引き起こし、政府の秘密交渉らしきものを露見させる400GBのデータがオンライン上にばらまかれた。論争は今日でも多くの人々を悩ませている。

このケースはまた、スパイウェアに手を染める組織と一緒に仕事をすることがいかに危険かを世に知らしめた。例えば、ブライアン・クレブス(Brian Krebs)氏は2015年5月、 スマートフォンを監視するアプリ「mSpy」が被害に遭った経緯を公表した。一般的に利用されるWeb検索エンジンで検索できないサイト(ダークウェブ)に過去・現在の顧客情報が相次いで投稿されたのを、このセキュリティ専門家が認めたのである。

5.VTech事件

VTech事件

一般の消費者向けの電子機器を製造販売するVTech社は、子供のための教育玩具やテクノロジーを専門とする企業であるが、2015年11月に情報漏えいの攻撃を受け、世界中の子供のアカウント(640万件)と親のアカウント(490万件)を流出させた。

この攻撃を指揮した人物は2015年11月14日、セキュリティを難なくかいくぐり、VTwch社のアプリケーションストア・サイトである「ラーニング・ロッジ」(Learning Lodge)の顧客データベースと、Androidアプリの「キッド・コネクト」(Kid Connect)を提供するサーバーを通して、データにアクセスした。

被害に遭ったデータには、氏名、性別、生年月日といった子供のプロフィル、パスワード、IPアドレス、ダウンロード履歴が含まれていた。後に21歳の英国人男性が、不法侵入・情報詐取の容疑で逮捕された。この情報漏えいは、VTech社の現行体制に大きな衝撃を与えたに違いない。

この事件について、VTech社は、こう話している。「残念ながら私どものデータベースはしかるべきセキュリティ対策で守られてはおりませんでした。この情報漏えいが見つかってすぐ、被害に遭ったサイトの包括的なチェックを行い、将来の攻撃に対抗するのに必要な、徹底した方策を取りました」

この記事をシェア

標的型攻撃のセキュリティ対策に

マルウェア情報局の
最新情報をチェック!