2021年上半期に企業や公的機関が公表したセキュリティインシデント(情報セキュリティの事故・事件)は357件に上ることが分かった。全国で相次いだ顧客管理システムの設定ミスや、機密情報を勝手に暗号化して金銭を要求する「ランサムウェア」(身代金要求型ウイルス)の新たな手口が広がったことなどが特徴。一部の団体が被害を隠してしまうと、さらなるサイバー犯罪を招く悪循環につながるとの見方もある。
セキュリティソフトを開発する「デジタルアーツ」が対象組織による公開報告書や報道資料をまとめたところ、今年上半期に報告されたセキュリティインシデントのうち紛失・盗難が61件、不正アクセスが107件、誤操作・設定不備が95件、業務外利用・不正持出が16件、メール誤送信が62件、マルウェア感染が16件だった。
昨年上半期のセキュリティインシデントは264件で、不正アクセスと誤操作・設定不備が大きく増えて全体を押し上げる格好となった。
不正アクセスについては今年5月、富士通製の情報共有システムが不正アクセスを受けて総務省、外務省、国土交通省などで大臣や職員のメールアドレスが流出する事件が起きている。
また、誤操作・設定不備については昨年末から今年上旬にかけて、米セールスフォース・ドットコムの顧客管理ツールが適切な設定になっていなかったことにより、複数の大企業や自治体のサービスで重要な情報が外部から見えてしまう事態が報告されていた。
設定不備が不正アクセス被害に発展するケースもあるが、調査したデジタルアーツの広報担当者は「被害者側に多少の過失が考えられるものを『誤操作・設定不備』、被害者側に過失の度合いが少ないものや要因が不明なものを『不正アクセス』に分類している」とし、セールスフォースの件は設定不備のみに数えていると説明した。
マルウェア感染は昨年同時期の11件から微増にとどまったが内実は変化しており、感染したパソコンを遠隔操作してサイバー犯罪に加担させる「Emotet」(エモテット)の被害が国際的な対策で収まった一方、ランサムウェアが増加した。
ランサムウェアの手口はさらに悪質になり、従来は侵入したパソコンやサーバーのデータを暗号化で使えない状態にして「もとに戻したければ金を払え」と仮想通貨を要求するだけだったが、近年では暗号化する前にデータを盗んでおいて「身代金を支払わなければデータを公開する」と二重に脅迫するという。
防ぐのが難しいランサムウェアが広がる中で、あらためて重要になるのが透明性だ。
日本オリンピック委員会は昨年4月にサイバー攻撃を受け、事務局のパソコンやサーバーがランサムウェアに感染して一時的に業務ができなくなったが、発生から1年以上たった今年6月にようやく被害を公表。情報流出と身代金要求はなかったとしたが、対応の遅さに批判が集中した。
サイバー攻撃の被害を公表しないことについて、デジタルアーツの担当者は「同様のインシデントが発生しないよう、何に気をつけて、何を改善しないといけないのかを他組織が検討する機会がなくなる。社会全体が醸成せず攻撃に弱い状態のままとなってしまう」と指摘。評判の悪化や責任問題を恐れて被害を公表しないでいると「社会の教訓にならない」と注意を促している。