デジタルトランスフォーメーション(DX)や働き方改革など、ITを活用してビジネスの在り方を変革する取り組みが官民一体となって推進されている現在、ほとんどの企業がインターネット上のサービスを業務に活用するようになった。それにともない、企業を狙ったサイバー攻撃も増加の一途をたどっており、毎日のように情報漏えい事件が報じられている。

ほとんどの企業で「アカウント情報の漏えい」が発生している

近年、国内外の有名企業のウェブサービスやECサイトなどから、大規模な情報漏えいが多数発生しているのはご存じだろうか。

サイバー空間上の情報漏えいの調査を行っているサイバーリサーチによると、日本企業の多くが利用している「co.jp」ドメインだけで、約8,300万件ものメールアドレスやパスワードの漏えいが確認されている。さらに「JP」ドメインでの漏えいは約1億6,600万件、その他ドメインを含めた漏えいアカウント総数は約200億件にまで膨らむという。サイバーリサーチの藤田有悟氏は「その数は日々増加し続けています」と警鐘を鳴らす。

  • 日本企業が一般的に利用している「co.jp」ドメインに絞っても、約8,300万件の情報漏えいが確認されている

    日本企業が一般的に利用している「co.jp」ドメインに絞っても、約8,300万件の情報漏えいが確認されている

セキュリティ対策だけでなく情報漏えいの「状況把握」が重要

こうした状況のなか、多くの企業は情報セキュリティ体制の変更を余儀なくされている。従来のオフィスやデータセンターなど企業内部の情報を守る対策に加え、クラウドサービスやウェブサイト、SNSなど、企業外部で扱われるアカウント情報に対するセキュリティも考慮する必要があるためだ。

たとえば、企業がクラウドサービスを業務利用する場合、ログイン時に会社のメールアドレスとパスワードを組み合わせて認証するのが一般的といえる。社員のこうしたアカウント情報が漏えいすると、不正ユーザーのなりすましログインにより、第三者に企業の機密情報へのアクセスを許してしまうことになる。

漏えいしたアカウント情報は「ダークウェブ」と呼ばれるインターネットの闇サイトで売買され、ハッカーのパスワードリスト攻撃として使われるケースが多い。さらに、異なるクラウドサービスで同じパスワードを使い回していた場合、別のサービスでもなりすましログインが成立する可能性も出てくる。とはいえ、100以上のシステムやクラウドサービスを活用している企業も珍しくない状況では、社員が利用するサービスすべてのパスワードを把握・管理することはほぼ不可能だろう。

  • 漏えいしたアカウント情報はインターネット上に保存されており、サイバー攻撃に悪用される危険性が高い

    漏えいしたアカウント情報はインターネット上に保存されており、サイバー攻撃に悪用される危険性が高い

藤田氏は、このようなアカウント情報の漏えいによるなりすましログインがほかのサイバー攻撃と大きく異なる特徴として、正しいログイン情報であれば、正規ユーザーだけでなく不正ユーザーでもシステムへアクセスできてしまうという点を指摘する。

「これまでクロスサイトスクリプティングやSQLインジェクションなど、アプリケーションの攻撃による情報漏えいはありましたが、これらはシステムの強化で対策可能でした。しかし、社員の正確なアカウント情報を攻撃者が把握している場合、ログイン手順は“正規”なものと変わりません。このため、アクセスしたユーザーが正規ユーザーなのか不正ユーザーなのかを見分ける手段がシステムにはないのです」

不正ユーザーによるなりすましログイン事故が発生した場合、個人情報や企業情報の漏えい、不正な商品購入、ポイントの不正利用といった直接的被害だけでなく、事故後の対応として、事故の経緯や詳細情報の開示、損害賠償や事故後のセキュリティ強化対応にまで及ぶのが一般的だ。さらに情報漏えい事故は、企業のブランド価値や信用にも大きな影響を与え、過去の例には株価の下落や上場申請の取り消しに至ったケースもある。自社だけでなく、取引先のシステムに不正アクセスされる可能性もあり、企業にとっては極めて深刻なリスクとなる。

このため、情報漏えいを防ぐためのセキュリティ対策をクラウドなどの“企業外部”にまで拡大させようと取り組みを始める企業も増えてきているが、問題は「すでに漏えいした情報がインターネット上に置かれ、不特定多数の攻撃者が悪用できる状態になっている」ことだ。これではコストをかけてセキュリティを強化してもリスク軽減にはつながらない。まずは情報漏えいの現状を把握するところから始める必要がある。とはいえ、情報漏えいの現状を調査する手段を持っている企業はほとんどないのが現状。そこで注目されているのが、サイバーリサーチが提供する漏えいアカウント情報の調査サービス「PassLeak」だ。

「現在、金融、メーカー、EC企業など自社のブランドや信用を重視する国内大手企業を中心に調査依頼を受けています。詳細をお伝えすることはできませんが、少ない場合でも5%程度のアカウント情報の漏えいが確認されています。また、メールアドレスと併せ、平文のパスワードや秘密の質問の答えが漏えいしているケースもあり、調査結果を確認した企業は一様にとても驚かれます」(藤田氏)

情報漏えいの現状を可視化することでセキュリティ意識を変革

このように、ほとんどの企業でアカウント情報の漏えいが発生している状況だが、インターネット(クラウド)の業務利用はもはや不可欠のもので、リスクがあるからといって止めるわけにはいかない。セキュリティを担保しながらクラウドを活用するには、しっかりと現状を把握し、「情報漏えいは起こるもの」という事実に基づいて対策を講じることが重要となる。特に下記のいずれかに該当する場合、PassLeakサービスの調査は非常に効果的といえる。

  • 業務上、個人情報の取り扱いが多い
  • ECサイトやカスタマーポータルサイトを運営している
  • 株価や自社のブランドへのリスクを軽減したい
  • セキュリティ、コンプライアンス上の課題を把握したい

PassLeakサービスの調査では、企業が許可していないクラウドサービス、いわゆる「シャドーIT」の可視化も行えると藤田氏は語る。

「過去の調査では、ある企業ドメインのメールアドレスが、許可していないクラウドサービスに多数登録されていたというケースもあります。そのようなクラウドサービスからアカウント情報が漏えいし、結果として自社のセキュリティリスクを増大させてしまうということは回避すべきだと考えます」

企業のセキュリティ対策が後手に回る要因のひとつは、サイバー攻撃者の本気を甘く捉えているところにある。その意味でも、情報漏えいの現状を確認してセキュリティの意識を変革する必要がある。

PassLeakサービスでは、企業ドメインのメールアドレスを含むアカウント情報に関する漏えいの有無と、漏えいが確認された場合の漏えい件数を調べる「一次調査」を無料で利用できる。自社のドメインを連絡するだけで漏えいの有無が数日で連絡され、漏えいが確認されない場合は費用は発生しない。漏えいが確認されたあとの詳細調査レポートに対して費用が発生する仕組みとなっており、手軽に依頼することが可能だ。

  • PassLeakサービスの一次調査は無料で利用可能。本調査では詳細なレポートが得られ、調査後の対策についての相談にも対応する

    PassLeakサービスの一次調査は無料で利用可能。本調査では詳細なレポートが得られ、調査後の対策についての相談にも対応する

一次調査の申し込みはサイバーリサーチのホームページから簡単に行える。自社の情報漏えいの現状を可視化し、セキュリティ意識の改革と適切な対策を講じたい企業は、ぜひアクセスしてみてはいかがだろうか。

PassLeakサービスの詳細をチェック!

>> 一次調査のお申し込みはこちら

[PR]提供: サイバーリサーチ