事故から学ぶ

大阪万博協会に不正アクセス、フィッシングメール6万件超送信

事故概要

業種 日本国際博覧会協会
発生時期 2020/10/7-2020/10/8
漏えい人数 63000
事故概要

2025年の「大阪・関西万博」を運営する2025年日本国際博覧会協会はこのほど、10月7日~8日にかけて外部から不正アクセスを受け、同協会のメールアカウントのうち1つから約6万3000件のフィッシングメールが国外のメールアドレスに送信されたと発表し、謝罪した。
対象のメールアカウントは、問題が発覚してすぐにパスワードを変更し、フィッシングメールの送信は止まったという。
問題のアカウントの受信トレイにアクセスされた痕跡はなく、情報漏えいなどの二次被害も確認していないが、不正アクセスの経緯などは、外部の情報セキュリティ専門機関に調査してもらっている。

引用元 万博協会

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

フィッシングメールとは?英語の「釣る」からイメージされた不正手段で、メールをきっかけに読み手をだましウィルス感染させて金銭などを巻き上げることが目的のメールである。オンラインバンキングを乗っ取ることを狙い、銀行になりすまして送られてくるメールなどは、お金という獲物を獲得することを狙っているので、フィッシングメールの代表格と言える。被害額もうなぎ登りで多くの企業や個人が被害にあっている。何らかの方法で実在するメールアドレスを狙って送ってくるのが特徴でもある。

具体例:

まさかウチが狙われたりするわけがない。と思ってしまいがちだが、名前の通った組織は必ず狙われると考えてよい。サーバーを乗っ取り踏み台にしてくる攻撃者は、利用できる相手は、誰であろうと利用してくる。
ウチなんて狙われたりするわけがない。などと、決してタカをくくらないことである。
見ず知らずの相手からのメール受信は、まず怪しいと考えて不用意な開封や添付ファイルのダウンロードと開封をしない教育の徹底が必要である。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。