サイバー攻撃(犯罪)・マルウェアによる被害事例|サイバーセキュリティ.com

サイバー攻撃(犯罪)・マルウェアによる被害事例



サイバー攻撃(サイバー犯罪)とは、主にインターネットを利用して、無差別または標的のコンピュータやネットワークに不正アクセスすることにより侵入し、個人情報などをはじめとしたデータの不正取得や改ざん・破壊を行なうなどの行為のことで、サーバやコンピューターなどのシステムを標的として攻撃することにより、機能させない状態にして妨害する行為のことです。

不正アクセスをする際に、マルウェア(ウイルス・ワーム・トロイの木馬)などに感染させる手口を使うものが多くあり、ターゲットとしては、特定の組織や集団、個人を狙ったものと、不特定多数を無差別に攻撃するものがあります。

最新の漏洩事件はこちらからご確認ください。
個人情報漏洩・被害事例一覧

被害事例:日本年金機構(2015年6月)

日本年金機構の年金情報管理システムサーバが外部の不正アクセスにより情報漏えい。年金加入者の個人情報が約125万件流出しました。

流出した個人情報項目内訳は

  • 基礎年金番号、氏名(流出件数 約3.1万件)
  • 基礎年金番号、氏名、生年月日(流出件数 約116.7万件)
  • 基礎年金番号、氏名、生年月日、住所(流出件数 約5.2万件)

日本年金機構の福岡市内オフィスで職員がメールに添付されているファイルを開封した際にPCがマルウェアに感染。このPCから機構LANに接続され、細分化された複数のフォルダから情報を抜き取られたとされています。

【より詳しい内容はこちらをご覧ください】
日本年金機構情報漏洩事件のすべて<彼らは本当に生まれ変わったのか>

被害事例:アビッド・ライフ・メディア(2015年7月)

アビッド・ライフ・メディアにて不正アクセスにより個人情報が流出。

92f5d4b610fa9c0a291c5c85aabd4324_s同社運営の不倫専用サイトのアシュレイ・マディソンがハッカー集団の「インパクトチーム」からの不正アクセスを受け、会員個人情報が盗取されました。

このハッカー集団はサイトの閉鎖を求め、応じない場合には会員個人情報を公開すると脅迫しています。

また、同社が提供している、会員が自分のプロフィールなどを削除する情報削除オプションに19ドルの手数料が必要となっていますが、情報が削除されていないと指摘されており、それに対し運営会社は削除できていると主張しています。同社はこれまで、情報セキュリティ対策が万全であることを主張してきました。

被害事例:千趣会(2015年9月)

ベルネージュダイレクトが運営する出産内祝いギフトサイトに不正アクセスがあり、
顧客情報が漏えいした可能性があると発表。漏洩規模は13万1,096件と想定されました。

不正アクセスがあったのは、下記4サイト。

  • ベビパラハッピーギフト
  • Pre-moギフト
  • TOMATOMAギフト
  • ベビパラギフト

第三者調査機関のPayment Card Forensicsに調査を依頼し、2015年9月31日までに脆弱性対策を実施したほか、Payment Card Forensicsから情報漏えいの可能性があると指摘を受けてサイトを閉鎖。漏えいの可能性がある顧客にメールで連絡し、関係機関と調整して不正アクセスの事実を公表したとしています。

【より詳しい内容はこちらをご覧ください】
千趣会の子会社から不正アクセス被害!対策を考えよう

被害事例:東京大学(2015年10月)

東京大学が管理する業務用PCがマルウェアに感染し、不正アクセスによって情報の流出被害が確認されたと発表しました。tdai

6月30日に、東京大学の教職員と学生の一部のメールを管理する学内メールサーバの管理画面設定(モード)が変更されていることを発見し、同PCに保存された学内向けに提供するサービスの業務用アカウントが流出。

同PCと同サービスのサーバなどに保存されていた情報が流出した可能性があることが判明したということです。流出した個人情報は3万6,300件に及ぶと報告されています。

被害事例:株式会社サンリオ(2015年4月)

2014年12月から提供する株主向けインターネットサービス「サンリオ株主ポイント倶楽部」から株主の個人情報が漏えいした可能性があると発表しました。

同社ではサービスを停止し、運営委託先のインベスター・ネットワークスが漏えい経路などの調査を進め、漏えいした可能性のある情報は株主番号や氏名、住所、性別、生年月日、メールアドレス、電話番号など。サービス登録者は6,249人。

7日午前に株主から「ポイント倶楽部だけで使うメールアドレスに投資勧誘のメールが届いた」と通報があり発覚しました。

インベスター・ネットワークスは同日夕方に、調査中ながら原因特定に至っていないと発表。外部のセキュリティ専門家の協力も得て原因究明とセキュリティ強化を実施するし、また、警視庁への調査協力の要請や被害届の提出なども検討しているということです。

被害事例:ワコール(2014年3月)

大手下着メーカーのワコールのサーバが不正アクセスを受け、一部サイトが改ざんされたことがわかりました。

同社の発表によると、一部検索サイトが同社サイトを「コンピュータに損害を与える可能性がある」と判定。これを受け調査した結果、改ざんが判明しました。同社は同日17時30分に関連サイトをすべて閉鎖し、詳細な調査を開始しました。

改ざんされた状態サイトを閲覧した場合、不正なプログラムが実行され、意図しない第三者のサイトに誘導されたり、誘導先のサイトでウイルスに感染させられたり、不正プログラムがダウンロードされる恐れがあったということです。

被害事例:はとバス(2014年2月)

「はとバスホームページ」の一部が第三者による不正アクセスで改ざんされ、閲覧者がウイルスに感染した恐れがあると発表した。同サイトは一時的に閉鎖しました。

閲覧すると不正なプログラムが実行され、ウイルスに感染する恐れがあったということです。ウイルスの挙動などは「調査中」。期間中にサイトを閲覧したユーザーに対しては、ウイルスチェックを行うよう呼びかけました。

被害事例:角川文庫(2014年1月)

出版大手角川のサイトに不正プログラム「Infostealer.Torpplar」が書き込まれたことにより、fac2eedb20be826c9c172424a5f47652_s

システム的な脆弱性を有しているユーザーが同サイトを閲覧した際に
プログラムが自動的に実効される被害にあいました。本件に伴うユーザーの個人情報漏えいの事実は確認されなかったということです。

2017年の被害事例内容

日付 法人・団体名 件数・人数 漏洩原因 漏洩内容・詳細・二次被害(悪用)など
2017/12/13 大阪大学 6万9,549名 サイバー攻撃 約8万人の情報が登録されていたデータベースへ1ヶ月半のサイバー攻撃が発生。その後海外のIPを経由し不正アクセス。6万9,549名分の情報がダウンロードされている事を確認。
2017/10/30 GMOインターネット株式会社 1万4,612件 不正アクセス 同社が手掛けるサイト売買仲介サービス「サイトM&A」にて、個人情報合計1万4,612件が流出。原因は外部からのサイバー攻撃による可能性が高いとのこと。流出情報には「氏名、住所、生年月日、電話番号、メールアドレス」が含まれていた。
2017/10/11 株式会社アドウィック 約60万件 不正アクセス 同社の管理サーバが不正を受け、サービス利用者の個人情報「氏名や電話番号、メールアドレス・医療機関の予約時間等」の約60万件という大規模流出。
2017/10/4 TOKYO MX 約37万件 不正アクセス 流出した個人情報はサービスの利用等に使われた氏名やニックネーム、メールアドレスなど。クレジットカード情報などの漏洩は確認されていない。
2017/8/29 ジェネシス・イーシー株式会社 最大9,458件 不正アクセス 漏洩したカード情報は最大で9,458件。漏洩したカード情報の内訳には、「クレジットカード番号、有効期限、セキュリティコード」といったセンシティブ情報が含まれており、既に一部のカードで不正被害が確認されている。
2017/8/22 株式会社エイチ・アイ・エス 最大1万1,975件 不正アクセス 首都圏発の国内バスツアーにサイトから予約を行い参加した顧客情報が流出。サイトリニューアル時のデータ移行作業において、誤って個人情報を含むデータが残ってしまい、今回の不正アクセスでダウンロードが行われてしまったことが原因。
2017/7/25 株式会社ゴゴジャン 9,822件 不正アクセス 自社が運営する投資関連サイト「fx-on」にて情報流出。カード決済システムに不審なソフトウェアが潜入しており、このソフトウェアが原因で情報流出が行われた可能性が高いとされている。
2017/7/17 マネースクウェア・ジャパン株式会社 約11万件 不正アクセス マネースクウェア・ジャパン株式会社が運営する外国為替証拠金取引サイト「M2JFX」において、不正アクセスによる情報漏洩が起きたことが判明。また、今回の不正アクセス以外に「2016年7月から11月にかけて攻撃を受け続けていた」という衝撃的な事実が判明。2016年中に合計11万2,364件の個人情報が流出した可能性があるとのこと。
2017/7/12 常磐興産株式会社 最大6,860件 不正アクセス 福島県のレジャー観光施設「スパリゾートハワイアンズ」を運営する、常磐興産株式会社は、ショッピングサイト「ハワイアンズモール」が不正アクセスを受け、一部のクレジットカード情報が最大で6,860件流出したと発表。このうち、約700万円の不正な買い物が確認されているという。
2017/7/10 日産化学工業 約4,500件 不正アクセス 日産化学工業株式会社が運営するウェブサイトの一部が、第三者による不正アクセスを受け、同サイトの問い合わせフォームに入力された個人情報、約4,500件が外部へ流出した可能性があることがわかった。
2017/5/23 InterFM897 2,728名分 不正アクセス WEBサーバへの不正アクセスにより、リスナー2,728人分の個人情報が流出。プレゼント応募者データの個人情報がTwitter上に投稿されていたことで判明。
2017/4/25 ぴあ株式会社 約15万件(内クレジットカード情報約3万2,000件) 不正アクセス 運営を受託しているバスケットボール「Bリーグ」のチケットサイトに不正アクセスがあり、個人情報約15万件(内クレジットカード情報約3万2,000件)が流出。
クレジットカードの不正利用は379件、約880万円の被害が判明。(2017年5月8日時点)
2017/4/13 総務省 2万3,000件 不正アクセス 政府統計システムの一種である「地図による小地域分析(jSTAT MAP)」において不正アクセスが発生し、これまでに公表された統計情報及びサイト登録者約2.3万人分の個人情報が流出
2017/4/11 東洋商事株式会社 4万9,468件 不正アクセス 業務用食品のネットスーパー「東商マート」が不正アクセスを受け、クレジットカード情報含む顧客情報が一部流出。
2017/3/24 株式会社ジェイアイエヌ 118万8,355件 不正アクセス 眼鏡ブランド「JINS(ジンズ)」のオンラインストアにおいてApache Struts2の脆弱性を悪用した不正アクセスが発生し、保有していた顧客情報118万8,355件が流出。
2017/3/15 沖縄電力 6,400件 不正アクセス サイト上で提供している「停電情報公開サービス」へ不正アクセスがあり、一部コンテンツの改ざん及び顧客情報の流出があったと発表。
2017/3/14 ヤマサちくわ 9,426件 SQLインジェクション オンラインショッピングサイトに不正アクセス(SQLインジェクション攻撃)が発生し、クレジットカード情報を含む顧客情報9,426件が流出。
2017/3/14 日本郵便 2万9,116件 不正アクセス 「国際郵便マイページサービス」サイトにおいて発生した不正アクセスにより、登録していた顧客情報(メールアドレス)29,116件と、サイト上で作成した送り状1,104件が流出した可能性があると発表。
2017/3/10 法政大学 4万3,103件 不正アクセス 学内ネットワークが外部からの不正アクセスを受け、保持していたアカウント情報4万3,103件が流出した可能性があると発表。
2017/3/10 東京都 67万6,290件 不正アクセス 東京都が管理するインターネット経由で都税納付を行える「東京都税クレジットカードお支払サイト」において不正アクセスが発生し、利用者のクレジットカード情報67万6,290件が外部へ流出。
2017/3/8 日本貿易振興機構(JETRO) 2万6,708件 不正アクセス 外部からの攻撃を受け、一部情報が消去される事件が発生。消去された情報の中には、過去に同サイトへ登録した利用者のメールアドレス2万6,708件が含まれており、これらが窃取された可能性がある。
2017/2/22 Flavor 1万7,085件 不正アクセス 同社が運営する家具・インテリア通販サイト「Re:CENO公式オンラインショップ」において発生した不正アクセスにより、顧客情報1万7,085件が流出。
2017/1/27 ロングランプランニング 2万2,276件 不正アクセス データベースへの不正アクセスが発生し、舞台関連のチケット申し込みフォーム等を利用した顧客の情報が流出。
2017/1/13 クラウドゲームス 14万408件 不正アクセス WEBサーバに対し不正アクセスが行われ、過去に同社サービスを利用した顧客情報の一部が流出
2017/1/6 ネルケプランニング 最大5万件 不正アクセス 運営する公式HPにおいて不正アクセスが発生し、会員向けサービスに登録された個人情報が流出した可能性があることが分かった。
2017/1/6 太陽日酸 1万1,105件 サイバー攻撃 過去にサイバー攻撃を受け、従業員(退職者含む)の個人情報1万1,105件が流出した可能性のあることを公表。

2017年に報道されたものを挙げるだけでもこれだけの量のサイバー犯罪があります。

この他に、ここには出てきていない中小企業や個人への攻撃を含めますと数えきれないほどのサイバー犯罪が発生しているという事は容易に想像できますし、被害者が気づかないうちに既に攻撃されている事も考えられます。

サイバー攻撃は既にもう他人事ではない時代となっています。

さらに個人情報漏洩事件を下記のページに年代別に整理しています。
そこには不正アクセスだけでなく、従業員の不注意(メール誤送信など)による情報漏洩事件もあります。

参考個人情報漏洩事件・被害事例一覧

Sophos資料ダウンロードはこちらから


SNSでもご購読できます。