インターネット普及に伴い、多くの企業はクラウド環境でのデータ管理とセキュリティに依存するようになりました。しかし、その利便性と引き換えに、セキュリティ事故のリスクも増加しています。

本記事では、クラウド環境でのセキュリティ事故事例と実際にセキュリティ事故を起こしてしまった場合の対処について紹介します。

クラウドセキュリティ事故とは

クラウドセキュリテイ事故とは、経済産業省 が出している「クラウドセキュリティガイドライン活用ガイドブック」を引用すると下記が挙げられます。

• 物理的な攻撃
  ・ データセンタへの不正な入退館
  ・ 機器への直接的な攻撃
• 操作ミスなどの人的セキュリティ
  ・ 意図しない操作ミス
  ・ 内部関係者による意図的な攻撃
• 電源に関する脅威と脆弱性
  ・ 電源の喪失によるサービス停止

「物理的な攻撃」の場合、サーバーへの不正アクセスや、第三者が直接USBなど外部機器を差し込み、不正行為をするなどが挙げられます。

「操作ミスなどの人的セキュリティ」に関しては、意図しない操作ミスや元々アクセス権限の持っている内部の者による不正行為などが挙げられます。

「電源に関する脅威と脆弱性」については、電源に限らずハードウェア異常全般について考えるといいでしょう。

クラウドサービスを使用する企業は、クラウドセキュリティ事故を十分に警戒し、対策する必要があります。

出典：経済産業省

この図は、クラウド事業者へのインタビューによる事故・障害の実例です。ほとんどが人為的ミス、システム障害ですが、外部からの攻撃が4％を占めているのは無視していい数字ではありません。25件に1件は外部からの攻撃が原因ということがわかります。

クラウドセキュリティ事故事例

クラウドを使用している環境でセキュリティ事故が起きた事例をご紹介します。

• Yahoo! Japanのサーバーに不正アクセス(2013年)
• Uberに不正アクセス、身代金を要求 (2016年)
• Capital OneのAWS環境への不正アクセス (2019年)
• 楽天に海外から不正アクセス(2020年)
• パナソニックの情報漏洩 (2020年)
• JTBのアクセス権限譲渡による情報漏洩 (2022年)

Yahoo! Japanのサーバーに不正アクセス(2013年)

2013年5月17日にYahoo! JAPAN IDを管理しているサーバーに外部からの不正アクセスがあったと発表ありました。

2013年5月16日の21時頃、Yahoo! JAPAN IDを管理しているサーバーに、外部から不正アクセスがされました。2013年4月2日に発生した不正アクセスを受けて監視体制を強化していたため、不正アクセスを検知できたそうです。

Yahoo! Japanによると調査した結果、不正アクセスにより最大2200万件の「ID」のみ抽出されているファイルが作成されていることが判明しました。幸いにも、IDのみ抽出されており、「パスワード」、パスワードを忘れた場合の「秘密の情報」などのデータは含まれていなかったそうです。

Yahoo! Japanは2013年4月に不正アクセスを受け、セキュリティー対策を講じている時に再度攻撃受けたことで、セキュリティ対策のスピードの大事さを痛感させられる事件でした。

出典：yahoo/日経XTECH

Uberに不正アクセス、身代金を要求 (2016年)

2017年11月21日にUberは、ハッカーが5,700万件のドライバーと乗客のアカウントを盗んだこと、そして10万ドルの身代金を支払った後、1年以上にわたってデータ侵害を秘密にしていたことを発表しました。

2016年10月、Uberは外部のハッカーによりデータベースに不正アクセスされ、約5,700万人のユーザーとドライバーの個人情報（名前、電子メール アドレス、携帯電話番号を含む）が流出しました。

ハッカーの2人はUberにデータのコピーを削除するのに約10万ドルを要求しました。Uberは要求を受け入れ、この金銭の移動を「バグの報奨金」の一部として報告しました。しかし、この情報漏洩への対応は、Uberの信頼を損ねる事態となりました。

この攻撃は、Uberの開発者がアクセスキーをGitHubリポジトリに誤って公開していたことが原因で、ハッカーにアクセスキーを使用され、UberのAmazon Web Services（AWS）アカウントにアクセスして個人データを盗まれることになりました。

出典：Uber/The New York Times

Capital OneのAWS環境への不正アクセス (2019年)

Capital Oneは、2019年7月19日に外部の人物からCapital OneのAWS環境へ不正アクセスされたことを発表しました。

犯人はアクセスしたクラウドサービスから、Capital Oneのクレジットカード顧客およびクレジットカード商品を申し込んだ個人に関する個人情報を盗み出し、インターネット上に投稿しました。

Capital Oneは情報漏洩していることを認識し通報。犯人逮捕後にCapital Oneがインシデントを公表しました。

この事件によって漏洩した情報は、一億人超の顧客の個人情報（氏名、住所、電話番号、メールアドレスなど）であり、クラウドセキュリティ事故として最大級の情報漏洩事件として知られています。

出典：Capital One/BBC

楽天に海外から不正アクセス(2020年)

2020年12月25日に楽天が最大148万件の顧客情報が、社外の第三者からアクセスできる状態であったことを発表しました。

2020年11月24日、社外のセキュリティ専門家の指摘により、社外のクラウド型営業管理システムに保管された最大148万件の顧客情報が、社外の第三者からアクセスできる状態であったことが判明しました。

楽天内のセキュリティ専門部署が中心となり、当社および楽天カード、楽天Ｅｄｙにおける対応を開始し、当該システムの設定変更を行いました。

調査を行ったところ、社外の第三者による海外からのアクセスは確認されていますが、システムの変更後第三者からのアクセスは確認されていないと発表されています。

出典：楽天/日経XTECH

パナソニックの情報漏洩 (2021年)

2021年11月26日パナソニック株式会社は、パナソニックのファイルサーバーに不正アクセスが確認されたことを発表しました。

2021年6月~11月にかけて第三者が、当社海外子会社のサーバを経由しパナソニックのファイルサーバーに不正アクセスが確認されました。ファイルサーバーには、同社への採用応募者とインターンシップ参加者の氏名やメールアドレス、電話番号、住所、学歴などの個人情報や、取引先との業務上の連絡先情報が含まれていました。

不正アクセスをされたファイルの外部流出は、調査した結果、確認してないとのことです。パナソニックは、海外拠点からの通信制限などセキュリティ強化を実施し、不正アクセスに用いられたアカウントのパスワードのリセットやファイルサーバ等へのアクセスの監視強化など、さらなる被害を防ぐための緊急措置を講じたと発表されています。

出典：パナソニック/日経XTECH

JTBのアクセス権限譲渡による情報漏洩 (2022年)

JTBは、2022年10月25日官公庁の補助業者として実施している地域振興事業で、補助金交付を申請した事業者など1万人超の個人情報が漏洩したと発表しました。

概要としては、間接補助事業者に対して、情報共有用のクラウドサービスのアクセス権限を制限して渡すところを、クラウドサービス内に格納したデータへの個別アクセス権限を誤って設定したことにより、他事業者の個人情報を含むデータにアクセスできる状態になっていました。

なお、漏洩した情報には、1,698件の申請書や11,483人分の個人情報（組織名、部署名、役職名、氏名、電話番号、メールアドレスなど）が含まれていました。JTBは事業者に削除依頼をし、すべての事業者から削除完了の通知を頂いたと発表しています。

出典：JTB/日経XTECH

クラウド環境でセキュリティ事故が起きてしまったら

クラウドを使用している環境でセキュリティ事故が起きてしまった場合の企業が行うべき対処について解説します。

被害拡大を抑える

まずは、被害拡大を抑えるために行動しましょう。影響を受けたシステムやデータへのアクセスを制限または遮断までしましょう。

具体的には、ネットワークから遮断する、影響を受けたサーバーのシャットダウンなどの処置が含まれます。また、パスワードのリセットを行いましょう。攻撃者がいる場合、再び不正アクセスをされることを防げます。

インシデントの特定

確認できる範囲でインシデントの特定をしましょう。インシデントが特定できれば今後の対策について講じることができます。具体的には、システムやアクセスログを解析しましょう。そうすることで不正アクセスの発生時間、方法、影響範囲を特定できます。

しかし、インシデントの特定には、ログ解析の知見と特定のセキュリティツールの利用が必要になります。自社で特定が難しい場合には専門業者へ相談するのがおすすめです。

調査専門業者に関する詳しい説明は以下のページで紹介しています。

ファスト・フォレンジックとは？活用事例やメリット、おすすめ調査業者まで徹底解説

2024.3.11

近年、テレワーク推進も伴い、様々な業種・業態で業務がデジタル化され、利便性の向上と効率化に役立てられています。しかしその一方で、サイバー犯罪や情報漏洩の危険性が高まっているのも事実です。 マルウェアの感染や情報漏洩といった有事の際、こ

通知と報告

セキュリティ事故が起きた場合、社内への通知・報告を行いましょう。また、情報漏洩が確認できた場合は行政機関など報告義務が発生する場合があります。

内部通知：経営陣や関係部門に対してインシデントの発生と対応状況を迅速に報告します。
外部通知：法律や規制に基づき、関係当局や影響を受けた顧客、パートナーに対してインシデントを通知します。

個人情報保護法に基づく報告義務【個人情報保護委員会】

フォレンジック調査

個人情報保護法では、個人情報の漏えいが発生した場合には、速やかに個人情報保護委員会等に報告することが義務付けられています。また、被害を受けたユーザー本人に対しても、注意喚起の通知を行うことが推奨されています。

これらの対応を迅速かつ適切に行うためにも、ハッキング・不正アクセス被害が発生したときは、フォレンジック調査専門業者への相談が有効です。

具体的には、フォレンジック調査専門業者は、以下の調査を行うことができます。

• 不正アクセスの痕跡の調査
• ハッキングされた経緯の分析
• 情報漏えいした情報の特定
• 被害の深刻度の把握
• 再発防止のための対策の提案

これらの調査結果を踏まえて、個人情報取扱事業者は適切な対応を検討することができます。このとき有効なのがフォレンジックという手法です。

フォレンジックは、元々は犯罪捜査における鑑識や科学捜査を意味する言葉です。サイバーセキュリティの分野で使われる「フォレンジック」とは、ハッキングや不正アクセスをはじめとするサイバーインシデントが起きた際に、端末やネットワーク内の情報を収集し、被害状況の解明や犯罪捜査に必要な法的証拠を明らかにする取り組みを指します。

おすすめのフォレンジック調査業者

フォレンジック調査はまだまだ一般的に馴染みが薄く、どのような判断基準で依頼先を選定すればよいか分からない方も多いと思います。少しでもマルウェア感染、情報漏えいの疑いがある場合は、専門業者への相談が有効です。

ただし、専門業者に依頼すると決めても、数ある業者の中から何を基準に選べばいいのか分からない方も多いでしょう。そこで、30社以上の会社から以下のポイントで厳選した編集部おすすめの調査会社を紹介します。

信頼できるフォレンジック調査会社を選ぶポイント

• 官公庁・捜査機関・大手法人の依頼実績がある
• 緊急時のスピード対応が可能
• セキュリティ体制が整っている
• 法的証拠となる調査報告書を発行できる
• データ復旧作業に対応している
• 費用形態が明確である

上記のポイントから厳選したおすすめのフォレンジック調査会社は、デジタルデータフォレンジックです。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

まとめ

インターネットの普及により、多くの企業はクラウド環境でのデータ管理とセキュリティに依存していますが、その利便性と引き換えにセキュリティ事故のリスクが増加しています。

本記事では、クラウド環境での具体的なセキュリティ事故事例として、Yahoo! Japan、Uber、Capital One、楽天、パナソニック、JTB、KADOKAWAのケースを紹介しました。

また、セキュリティ事故が発生した場合の対応策として、被害拡大を抑えるための対処についても解説しました。迅速かつ適切な対応が、被害を最小限に抑え、企業の信頼を護ることになります。

万が一の際は慌てずにフォレンジック調査業者に相談することをお勧めします。

フォレンジック調査とは？費用や期間などからおすすめ会社の選び方を徹底解説

2024.3.5

※この記事は2024年8月に更新されています。 不正アクセスや情報漏えいなど、セキュリティ・インシデントの原因究明を行える「デジタルフォレンジック」。日本ではまだまだ聞き慣れない用語ですが、近年デジタ