| 個人 2017年1月17日


2017年1月17日

2016年に発生したデータ侵害事件: 情報漏えいの被害が多発した1年を振り返る

By Lookout

blue tone city scape and network connection concept 2016年はデータ侵害史上記憶に残る重要な1年となりました。 Lookoutの個人向け製品において試験的に英語でサービス提供している「セキュリティ侵害レポート」は、セキュリティ侵害を追跡し、ユーザーに通知する機能です。私たちはここで得られたデータの分析をもとに、2016年に発生したデータ侵害について報告したいと思います。 攻撃者がYahooやTwitter、LinkedIn、Tumblr、Myspaceなど大手のサービスを標的とするのはもちろんのことですが、2016年は特に、医療関連や政府機関、そしてPOSに対する攻撃が多く見受けられました。 この1年に発生したデータ侵害の事例を分野別に紹介します。
Yahoo―2016年最大のデータ侵害
2016年は深刻な情報漏えい事件が多数発生した年でしたが、1年でハッキング攻撃による2度目の被害を受けたYahooの事例は規模の点から見ても2016年最大のデータ侵害となりました。2016年9月に、Yahoo! は5億人以上のユーザー情報が盗み出されたことを発表しました。その後、12月に「2013年に10億を超えるアカウントから氏名、メールアドレス、電話番号、生年月日、暗号化・非暗号化されたセキュリティの質問とその答えがサイバー攻撃により流出したことが判明した」と発表しています。これらふたつの攻撃は、それぞれ別の攻撃であるとの見解を示しており、Yahooは2度の大きなハッキング攻撃を受けたことになります。フォレンジック調査の専門家は、このハッキングは国家の支援を受けた攻撃者によるものである痕跡を発見したと述べていますが、関与した国家の名称は非公表となっています。 YahooのCISO (最高情報セキュリティ担当者)Bob Lord 氏が12月14日に発表した声明によると、暗号化されていないパスワードや支払い用のクレジットカード情報、銀行口座情報は攻撃を受けたシステムに保管されていなかったため、今回は漏えいを免れたと述べてます。
その他のインターネット企業またはソーシャルメディアを標的にした大規模な情報漏えい事例
流出件数の多さという点ではソーシャルメディアやインターネット企業がその標的となり、広く知られたテクノロジー企業で大量の情報漏えいが発生しました。こうした企業の多くについて過去に発生した情報漏えい事件が今年になって明らかになり、データ侵害が発見されないまま長期間経過していることが目の当たりとなりました。
  1. LinkedIn 2016年5月
    • LinkedInは2012年にデータ侵害にあったことを発表していましたが、最近になって、当初考えていたよりも大規模な1億6,700万人ものユーザー情報が漏えいしていたことが判明し、ダークウェブで違法に販売されていたことがわかりました。
  2. Tumblr 2016年5月
    • Tumblrは2013年にデータ侵害にあっていたことを発見し、被害アカウントの総数は6,550万件以上に上ることを発表しました。
  3. MySpace 2016年5月
    • MySpaceは、3600万件以上のユーザー情報がハッカーフォーラムに掲載されていることを発見したと報告しました。これらユーザー情報は、2013年6月11日にセキュリティ強化のために行われたWebサイトの改修以前に盗まれたものだと考えられています。
  4. Twitter 2016年6月
    • LeakedSourceによると、Twitterユーザー3,200万人以上のログイン情報が不正アクセスされ、ダークウェブで販売されていたことが判明しました。Twitterは、Twitterのデータベースは侵害されていないと報告しており、LeakedSourceは、マルウェア感染したブラウザから情報漏えいが発生したのではないかと述べています。
  5. Dropbox 2016年8月
    • Dropboxも、LinkedInと同様に2012年にデータ侵害にあったことを発表していましたが、情報漏えいしたアカウントの数が68,680,741件分にものぼるということが最近判明し、全ユーザーに対してパスワードを変更するよう通知を行いました。
合計すると漏えいが発生したアカウント情報はおよそ7億件にもなり、一般市民のデジタルライフは脅かされていると言わざるをえません。
医療関連情報のデータ侵害
2016年の攻撃者の関心は、特に医療機関やヘルスケア産業に向けられていたと思われます。Lookoutが「セキュリティ侵害レポート」を通じて2016年に記録した情報漏えいのうち、約15%が医療機関などに関するものでした。
  1. Blue Shield of California 2016年1月
    • 支払業務を委託している会社のシステムに不正アクセスがあり、個人情報およそ2万1,000人分が盗み出されたと報告しました。
  2. Louisiana Healthcare Connection 2016年2月
    • Medicaid(アメリカの公的医療保険制度)の違法請求によって逮捕者が出た事件から、被保険者およそ13,000人の情報が漏えいした可能性があると発表しました。
  3. 21st Century Oncology 2016年3月
    • 220万人分の個人情報が不正アクセスにより漏えいした可能性があると報告しました。
  4. Massachusetts General Hospital 2016年6月
    • 病院がセキュリティ管理を委託している業者が攻撃を受け、患者4,300人以上のデータが漏えいしました。
  5. Kaiser Permanente 2016年7月
    • 音波検査機器が不正アクセスされ、患者1,100人分の情報が漏えいしました。
  6. Banner Health 2016年8月
    • サイバー攻撃により患者370万人のデータが漏えいしました。攻撃により患者氏名、住所、社会保障番号、および様々な医療情報が盗み出されたと思われます。
  7. Blue Cross and Blue Shield of Kansas (BlueKC) 2016年8月
    • データ侵害により、会員およそ79万人の個人情報の漏えいがあったことを報告しました。
  8. Keck Medical CenterおよびNorris Comprehensive Cancer Center of USC 2016年10月
    • サーバー2台がランサムウェア攻撃を受けましたが、バックアップからデータをリストアするなどして、実際の被害にはつながりませんでした。
 
政府機関が標的に
官公庁は非常に機密度の高いデータを保有し、その中には社会保障番号や運転免許証番号、生年月日、住所、氏名といった個人を特定できる情報が含まれていることも少なくありません。ここからは官公庁を標的にした情報漏えいを見ていきたいと思います。
  1. アイオワ州 2016年2月
    • 適切な管理が行われていなかった投票者データベースに保管されていた、共和党員の個人情報200万人分以上が漏えいしました。
  2. IRS 2016年2月
    • 2015年5月に発生したデータ侵害の被害規模が想定以上だったことが判明しました。最近の調査では、46万4,000件の社会保障番号が不正使用され、その4分の1はPIN設定の不正な電子申請が可能な状態でした。他にも納税者情報約39万人分が漏えいしており、以前報じられているIRS謄本申請システムへの不正アクセス最新の報告を基に合計すると漏えいによる被害件数はおよそ79万人となります。
  3. L2 Political 2016年6月
    • アメリカの選挙関連における統計調査会社。データベースの設定ミスが狙われ、アメリカ市民1億5,400万人の氏名や住所のほか、年齢、電話番号、収入、民族、性別、所属政党、投票回数といった情報が漏えいしました。
  4. ルイジアナ州 2016年9月
    • データベースの設定ミスにより、バトンルージュ市ではおよそ300万人分の投票者情報と5万件の警察記録が、また、ルイジアナ州陸運局が保管する情報25万件がインターネット上で閲覧できる状態になっていました。
  5. メキシコ政府 2016年4月
    • データベースの設定ミスにより、投票者情報のデータベース全体である9,340万人の個人情報がインターネット上で閲覧できる状態になっていました。
  6. フィリピン選挙員会 2016年4月
    • フィリピン選挙委員会のデータベース全体が不正アクセスされ、5,500万人の誇示情報がインターネット上で公開されました。
  7. トルコ政府 2016年4月
    • データベースが不正アクセスされ、4,300万人分以上の個人情報がインターネット上で公開されました。
 
POSシステム攻撃
2016年はPOSシステムを悪用してクレジットカード情報を搾取する攻撃も多く発生しました。マルウェアをこうしたPOS端末へインストールすることで攻撃が可能となります。2014年の小売店Targetでの情報漏えいは記憶に新しい事例ですが、2016年にはこの形態の攻撃が頻発しました。
  1. The Hard Rock Hotel & Casino 2016年6月
    • POSシステムがマルウェア感染していたことを発見し、不正にクレジットカードを利用される被害が発生していることを発表しました。
  2. Wendy’s 2016年7月
    • 店舗1,025か所以上でクレジットカードの不正読み取りが発生したことを発表しました。2015年秋ごろにサイバー攻撃にあったことが原因だと説明しています。
  3. CiCi’s Pizza 2016年7月
    • 店舗138か所でPOSシステムが不正アクセスされていたことを認めました。
  4. Omni Hotels 2016年7月
    • POSシステムが侵害され、宿泊者の氏名およびクレジットカード情報が盗まれました。
  5. HEI Hotels 2016年8月
    • スターウッド、マリオット、ハイアット、インターコンチネンタルを始めとする20か所の宿泊施設におけるPOSシステムがマルウェア感染を発見し、宿泊者のクレジットカード情報が盗まれた可能性があると発表しました。
  6. Eddie Bauer 2016年8月
    • 北米のアウトレットショップ350店舗以上でPOSシステムのマルウェア感染が発生していたことを発表し、顧客のクレジットカード情報が盗まれた可能性があると発表しました。
 
攻撃を受けた企業の対応と今後の見通し
攻撃の発生時に企業が取る対応として対象ユーザーへの通知は十分に行われているとは言えません。LookoutのID盗難調査では、データ侵害が発生した場合、被害者の65%が1ヶ月以内に警告を受けていますが、残りの35%には早期の警告がなされず、ユーザーが十分な予防策を講じられないでいることが判明しています。また、情報漏えいの被害に遭った場合に取るべき対応策をきちんと知っていると答えたのは、残念ながら全回答者の25%に過ぎませんでした。 このような情報漏えい対策として、モバイル端末のセキュリティ対策を強化することが必要です。個人ユーザはLookout、また、企業ユーザーはLookout Mobile Endpoint Securityを利用することで、iOS 版およびAndroidの両方に対するセキュリティ対策を行うことが可能です。

投稿者

Lookout

コメントする

送信


0 コメント