リスクマネジメント リスクマネジメント記事一覧へ

[海外動向]

米国で起きているサイバー攻撃が示す深刻度、セキュリティ対策の見直しは不可避

2015年1月28日(水)田口 潤(IT Leaders編集部)

情報セキュリティは、いうまでもなく優先して取り組む必要のあるテーマだ。幸い日本では、深刻なセキュリティ被害や事件はまだ多くない。だが米国では事情が異なる。米国のセキュリティ情報サイトdatabreachtodayが取り上げた2014年のデータ漏洩事件5件を元に、サイバー攻撃が実際、どれほど深刻な状況にあるのかを探ってみたい。

写真:一般教書演説をする米オバマ大統領写真:一般教書演説をする米オバマ大統領

 「我々は、どんな国にも、ハッカーにも、我々のネットワークをシャットダウンできるようにさせてはならない。企業機密を盗むことも、アメリカ人のプライバシー、特に子どもに関わる情報を侵すことができないようにしなければならない」−−。

 2015年1月20日、米国のオバマ大統領は、一般教書演説でサイバーセキュリティについて、こう述べている。それほど、米国におけるサイバー攻撃は、深刻な事態にあるというわけだ。

 事実、1年少し前に起きた小売りチェーンTARGETの事件を皮切りに、2014年には大手ホームセンターチェーンのThe Home DEPOTや、最大手銀行であるJPMorgan Chaseなどで大規模な情報漏洩(搾取)が相次いだ。同年11月にはSony Pictures Entertainmentにおいて、社内サーバーに蓄積されている100TBもの情報が流出する事件が発生している。

 これに対し、日本はまだ、極めて深刻だとは言い難い。例えば、2014年11月にセキュリティベンダーのマカフィーが『2014年のセキュリティ事件に関する意識調査』の結果を公表しているが、1位は同年7月に明らかになったベネッセの顧客情報流出事件である。

 回答者の77.7%が認知していた同事件では、漏洩件数は3504万件(名簿業者3社へ売却された件数)、顧客数は2895万件(ベネッセの公表値)と、膨大な数だった。しかし事件の概要は、派遣されていたシステムエンジニアが社内システムの設定の不備を利用してデータを抜き取ったこと。規模は大きいが、高度かつ回避困難なサイバー犯罪ではない。2位以下も「振り込め詐欺」や「LINEの乗っ取り被害」などである。

 では、米国で発生しているセキュリティ関連事件とは実際にどのようなものなか。米国のセキュリティ情報サイト「databreachtoday」が発表した『Top Data Breaches of 2014』から、2014年のデータ漏洩事件5件の内容を、5位から順に紹介しよう。

5位:CHS(Community Health Systems)

 CHSは米国の29州で合計206の病院を運営する医療チェーン大手である。2014年8月に、中国からと見られるハッカーによって、450万件に及ぶ患者データの漏洩が発覚した。データには氏名や住所、生年月日、電話番号に加え、社会保障番号も含まれていた。

 米国ではクレジットカードの発行やローン申請などで社会保障番号を身分証明として用いるケースがある。そのため社会保障番号の漏洩は、悪用が懸念されている。事件を調査した米Mandiantは「高度に洗練されたマルウェアと技術が使われた」「主に社会保障番号が目的。病院は大量の情報を持つが脆弱だ」と報告している。

4位:The Home DEPOT

 米国、カナダ、中国などに2000以上の店舗を持つ米国最大のホームセンターチェーンがThe Home DEPOTである。2014年4月から9月にかけて、合計5600万件ものデビッドカードやクレジットカードなど、いわゆるペイメントカード情報と、5300万件の電子メールアドレスが漏洩した。

 Targetの事件同様に、外部業者のIDから侵入され、支払いシステムが感染した。データの暗号化やPOS(Point of Sales:販売時点情報管理)のセキュリティ対策は実施済みだったものの、マルウェアが独自にカスタマイズされていたため、発見できなかった。

 メールアドレスが漏洩したことから、同社は顧客に対し、フィッシング詐欺への注意を呼びかけている。事件の対策費は、2014年だけで6200万ドルに達するとされる。事故調査、顧客のクレジットカード監視サービス、コールセンターの増員、法的な費用などが含まれる。

関連記事

米国で起きているサイバー攻撃が示す深刻度、セキュリティ対策の見直しは不可避情報セキュリティは、いうまでもなく優先して取り組む必要のあるテーマだ。幸い日本では、深刻なセキュリティ被害や事件はまだ多くない。だが米国では事情が異なる。米国のセキュリティ情報サイトdatabreachtodayが取り上げた2014年のデータ漏洩事件5件を元に、サイバー攻撃が実際、どれほど深刻な状況にあるのかを探ってみたい。

PAGE TOP