2024年に発生した、主なデータ漏洩事件:

1. KADOKAWAグループ（ニコニコ動画） 6月にランサムウェア攻撃を受け、254,241件の個人情報が流出。Vtuberの個人情報、N高生の情報、ドワンゴ従業員のマイナンバーなどが含まれる。

2. NTT西日本 元派遣社員による不正アクセスで、928万件の顧客情報が約10年にわたり流出。

3. サイゼリヤ ランサムウェア攻撃により6万件以上の個人情報が流出。

4. キッザニア サイバー攻撃により約2.4万件の個人情報が流出。

5. JR東日本（モバイルSuica） 5月10日にサイバー攻撃による障害が発生。

6. 岸和田スポーツ（ECサイト「Kemari87KISHISPO」） 不正アクセスにより13,879名分のクレジットカード情報と38,664名分の顧客情報が流出。

7. 阪神タイガース クラウドサービスの誤設定により8,452件の個人情報が漏洩の可能性。

8. 四国大学 イベント申込フォームの誤設定で89名の個人情報が漏洩。

9. 慶大病院 医師の私物PCが盗難され、患者の個人情報が流出。

10. 近畿大学 フォームの設定ミスにより学生の個人情報が閲覧可能に。

11. 宮崎大学 メールアカウントがスパムの踏み台となり、個人情報流出の可能性。

12. 静岡県 修学旅行中に高校生徒の個人情報を含む資料を紛失。

主だってニュースに出ていたものを集めてみました。 このような流出が世界中で起こっています。海外のSaaSを利用している企業も注意が必要です。 そしてこのような流出はその企業だけの問題ではんく、

• 流出した情報の中に、自社と関係する企業

  • 関連企業、取引先
  • あるいはその企業の従業員

• 流出した情報の中に、自社の従業員んと関係する人

  • 家族
  • 知人・友人

• 流出した情報の中に、自社のオフィスの近くにある企業

  • 近くの建物
  • 隣の部屋、上の階、下の階

だった場合、そこを起点に自分の会社にサイバー攻撃が及ぶこともあります。

今年、「サプライチェーン攻撃」ということで企業面は重視されるようになりましたが、 従業員教育だけでなく、

• 従業員の家族、知人、友人経由、
• また、近隣の建物に入っている企業、大きいビルの場合、上の階、下の階、隣の部屋など も対象に広く周りを考えてみるようにしてください。特に「The Nearest Neighbor Attack」は 非常に簡単なロジックの攻撃ですので注意してください。 Nearest Neighbor Attackについてはこちらに詳細があります。

いつものチェックリストですが、今回は、関連組織、従業員関係者経由の情報漏洩対策という 観点でまとめてみました。

サイバー攻撃対策チェックリスト：関連組織および従業員関係者経由の情報漏洩対策

1. 技術的モニタリングと防御体制

確認内容：

• ダークウェブ上での従業員及び関係者の個人情報監視状況
• ソーシャルメディアでの従業員関連情報の漏洩監視体制
• 従業員の家族や関係者を標的としたフィッシング攻撃の検知システム

チェック項目：

• ダークウェブモニタリングシステムの導入と運用状況
• SNS上の従業員関連投稿の自動検知システムの稼働状況
• 家族・関係者を含めた不正アクセス検知の範囲設定
• 従業員関係者向けフィッシングメール対策の実装状況
• インシデント発生時の自動アラート設定の確認

評価内容： 検知された脅威に対する包括的な評価を実施する必要があります。特に、従業員の家族や知人を経由した情報漏洩の可能性について、SNSやコミュニケーションツールでの情報共有状況を確認し、潜在的なリスクを評価します。また、従業員の関係者に対する標的型攻撃の痕跡がないかを確認し、発見された場合は即座に対応できる体制を整えているかを評価します。

対応案： 統合的なセキュリティ監視システムを構築し、従業員とその関係者に関連する不審な活動を24時間体制で監視します。特に、ソーシャルエンジニアリング攻撃の検知に重点を置き、従業員の家族や知人を経由した情報漏洩を防止するための多層的な防御策を実装します。また、従業員の個人情報が露出した場合の即時対応プロトコルを確立し、関係者への影響を最小限に抑える体制を整備します。

2. 組織間および関係者との連携体制

確認内容：

• 従業員の家族や関係者向けセキュリティ啓発プログラムの実施状況
• 関係者からの不審な連絡や相談に関する報告体制
• 従業員のプライバシー保護に関する家族向けガイドラインの整備

チェック項目：

• 家族向けセキュリティ報告窓口の設置状況
• 関係者からの不審な接触に関する報告プロセスの確立
• 緊急時の家族・関係者との連絡体制の整備
• 定期的な家族向けセキュリティ情報の配信状況
• 関係者を含めた情報共有プラットフォームの運用確認

評価内容： 従業員の家族や関係者を含めた包括的な情報共有体制の有効性を評価します。特に、家族や知人が受け取った不審なメールや電話について、組織として適切に把握・対応できる体制が整っているかを確認します。また、従業員の関係者が意図せず情報を漏洩してしまうリスクに対する予防措置の効果を評価し、必要に応じて改善策を検討します。

対応案： 従業員の家族や関係者も含めた統合的なセキュリティ意識向上プログラムを実施します。定期的な情報セキュリティセミナーの開催や、家族向けの分かりやすいセキュリティガイドラインの提供を通じて、組織全体のセキュリティレベルを向上させます。また、従業員の関係者が標的となった場合の緊急対応手順を確立し、速やかな対処が可能な体制を整備します。

3. 教育・啓発プログラム

確認内容：

• 家族向けソーシャルメディア利用ガイドラインの周知状況
• 関係者を含めたセキュリティ教育プログラムの実施状況
• 従業員の個人情報取り扱いに関する家族向け注意事項の浸透度

チェック項目：

• 家族向けセキュリティ教育の実施記録の確認
• SNS利用に関する家族向けガイドラインの周知状況
• 関係者向けセキュリティ啓発資料の配布状況
• オンライン学習プラットフォームへの家族のアクセス状況
• セキュリティ意識調査の定期的な実施確認

評価内容： 従業員の家族や関係者に対する教育・啓発活動の効果を総合的に評価します。特に、日常生活におけるセキュリティリスクの認識度や、情報漏洩防止に関する具体的な行動変容について詳細な分析を行います。また、家族や知人を経由した情報漏洩リスクに対する理解度を確認し、必要に応じて追加の教育プログラムを計画します。

対応案： 従業員の家族や関係者に特化したセキュリティ教育プログラムを開発・実施します。具体的には、日常生活での情報セキュリティリスクや、ソーシャルメディアの適切な利用方法について、分かりやすい形で説明する機会を設けます。また、定期的なフォローアップを通じて、教育効果の持続性を確保し、必要に応じてプログラムの内容を更新します。継続的な啓発活動により、組織全体のセキュリティ意識を高め、関係者経由の情報漏洩リスクを最小化します。

4. 近接組織の情報漏洩に起因する自社へのサイバー攻撃対策

4-1. 近接組織の情報漏洩監視体制

確認内容：

• 同一建物内のテナント企業における情報漏洩インシデントの把握状況
• 取引先・関連会社の情報漏洩状況のモニタリング
• 近隣企業のセキュリティインシデント情報の収集体制
• 漏洩情報を利用した攻撃の予兆検知状況

チェック項目：

• 近接組織の情報漏洩に関するニュース・報道の定期的なモニタリング
• ダークウェブでの近接組織関連情報の監視状況
• 近接組織従業員の認証情報流出の有無確認
• 近接組織と共有するシステム・ネットワークの特定
• 近接組織経由の攻撃を想定した侵入検知ルールの設定

評価内容： 近接する組織で発生した情報漏洩が自社にもたらすリスクを包括的に評価します。特に、漏洩した情報が自社システムへの侵入に利用される可能性や、共有インフラを介した攻撃経路について詳細な分析を行います。また、近接組織との相互依存関係を考慮し、二次的な被害の可能性についても評価します。

対応案： 近接組織での情報漏洩を早期に検知するモニタリングシステムを構築し、検知された場合の緊急対応プロトコルを確立します。また、近接組織との情報共有体制を強化し、インシデント発生時の迅速な連携を可能にします。特に、共有インフラや相互接続点のセキュリティ強化を優先的に実施し、近接組織経由の攻撃に対する防御力を高めます。

4-2. ネットワーク分離・アクセス制御

確認内容：

• 近接組織とのネットワーク境界の分離状況
• 共有ネットワークインフラの把握と管理
• アクセス制御ポリシーの設定状況
• セグメント間の通信監視体制

チェック項目：

• 近接組織との論理的／物理的なネットワーク分離の確認
• 共有ネットワーク機器のアクセス制御設定の見直し
• VLANやファイアウォールルールの適切性確認
• 不要な相互接続ポイントの特定と遮断
• ネットワークセグメント間の通信ログ監視

評価内容： 近接組織との間のネットワーク分離とアクセス制御の実効性を評価します。特に、共有インフラを介した侵入経路の可能性や、既存のアクセス制御が近接組織からの攻撃に対して十分な防御力を持つかを分析します。また、監視体制の実効性についても評価を行います。

対応案： 近接組織との接点となるネットワーク境界に対して、より厳格なアクセス制御と監視体制を実装します。必要最小限の通信のみを許可する設定を行い、不審な通信パターンを即座に検知・遮断できる体制を整備します。また、共有インフラのセキュリティ設定を定期的に見直し、新たな脆弱性に対して迅速に対応します。

4-3. デュアルホームシステム対策

確認内容：

• 組織内のデュアルホームデバイスの把握状況
• デュアルホーム環境の管理ポリシー
• 無許可デュアルホーム接続の検知体制
• Wi-Fiネットワークの管理状況

チェック項目：

• デュアルホームデバイスの棚卸しと管理台帳の更新
• 許可されていないデュアルホーム接続の検知ルール設定
• Wi-Fiネットワークの認証設定の強化状況
• デュアルホームポリシーの遵守状況の確認
• 不正なネットワーク中継点の検知体制

評価内容： デュアルホームシステムが近接組織からの攻撃経路として悪用される可能性を評価します。特に、正規のデュアルホーム環境が攻撃者に利用される可能性や、無許可のデュアルホーム接続によるリスクについて分析を行います。また、検知・対応体制の実効性についても評価します。

対応案： デュアルホームシステムの厳格な管理体制を確立し、必要最小限の利用に制限します。また、不正なデュアルホーム接続を即座に検知・遮断できる仕組みを実装し、定期的な監査を実施します。Wi-Fiネットワークのセキュリティ設定を強化し、不正な接続試行を防止する対策を講じます。

4-4. インシデント対応体制の整備

確認内容：

• 近接組織の情報漏洩時の対応手順
• 緊急時の連絡体制と情報共有プロトコル
• インシデント対応チームの体制
• 復旧・事業継続計画の整備状況

チェック項目：

• 近接組織の情報漏洩を想定した対応手順の文書化
• 緊急連絡網の最新化と定期的な確認
• インシデント対応演習の実施計画
• 外部セキュリティ専門家との連携体制
• 事業影響分析に基づく優先度設定

評価内容： 近接組織での情報漏洩インシデント発生時の対応体制の実効性を評価します。特に、初動対応の速度、情報収集・分析の精度、対策実施の確実性について詳細な分析を行います。また、関係者間の連携体制や、外部専門家との協力体制についても評価します。

対応案： 近接組織での情報漏洩を想定したインシデント対応計画を策定し、定期的な演習を通じて実効性を高めます。また、セキュリティ専門家との連携を強化し、高度な技術的支援を受けられる体制を整備します。特に、初動対応の迅速化と、的確な影響範囲の特定に重点を置いた体制を構築します。