事故から学ぶ

不正アクセスによる情報流出について  三菱電機株式会社

事故概要

業種 三菱電機株式会社
発生時期 2020/11/16
漏えい人数 8,635
事故概要

三菱電機株式会社は、当社が契約しているクラウドサービスに対し第三者による不正アクセスがあり、国内お取引先の情報の一部が外部に流出したことを確認いたしましたので、現在までの調査結果についてお知らせします。
当社は 11 月 16 日に、クラウドサービスに対する通常とは異なるアクセスを認識し、当該アクセスを遮断するなどの対策を講じました。現在、不正アクセスを受けた情報(ファイル)とその内容、不正アクセスの原因調査を進めています。また、関係機関への報告も順次行っています。
今回の不正アクセスは、1 月と 2 月に公表した不正アクセス事案の手法とは異なる可能性が高いと考えており、すべての情報を調査するまでにはしばらく時間を要する見込みです。
11 月 20 日までの調査では、国内お取引先の金融機関口座(当社の支払先口座)に関する情報(一部に一連の口座情報に含まれる個人事業主等の氏名、所在地等の個人情報)が流出したことを確認しております。
引き続き、詳細調査を速やかに進め、対象となる国内お取引先には個別にご報告申し上げるとともに、調査結果などを追って公表いたします。
情報セキュリティー体制強化に取り組む中、不正アクセスが発生し、対象となる国内お取引先には、多大なるご迷惑とご心配をおかけすることを、深くお詫び申し上げます。
流出が判明した国内お取引先に関する情報と今後の対応について
1.流出が判明した国内お取引先に関する情報
11 月 20 日現在、判明している外部に流出した情報のうち、金融機関口座に関わる内容は次のとおりです。
・国内お取引先の金融機関口座(当社の支払先口座)に関わる情報(8,635 口座)取引先名称、住所、電話番号、代表者名、金融機関名、口座番号、口座名義など
2.原因
情報の流出原因については、不正アクセスの内容を詳細に調査中で、現段階では判明しておりません。判明次第報告いたします。
3.今後の対応について
(1)対象となる国内お取引先には、当社からご連絡申し上げます。
(2)本件に関するお問い合わせ専用窓口を設置いたします。

引用元 三菱電機株式会社

■ 事故原因

事故の原因はチェックリストの下記項目が該当すると推察します。

20-1(第20条)安全管理措置 システム管理(不正アクセス防止)

チェックリストにある要求ルール:

システムに対する脅威や攻撃への防止策と監視体制を構築し、直ちに対抗策を構築していますか?
自社のシステムに対する新たな脅威や攻撃の手口を知り対策を社内共有し、対策行動の適格性と検証をする仕組みはできていますか?
常にOSや、アプリケーションソフトウェアを最新化して安全な状態にしていますか?
メールを介したウイルス感染防止として操作者教育と管理を徹底していますか?
パソコンにウイルス対策ソフトを入れていますか?さらにウイルス定義ファイル(コンピュータウイルスを検出するためのデータベースファイル「パターンファイル」とも呼ばれる)を自動更新するなど、パソコンをウイルスから守るための対策を行っていますか?
ログインIDにメールアドレス以外のIDを用意していますか?
ログイン時に2段階認証、2要素認証が可能な場合は設定していますか?
システム開発のテスト環境でウイルスチェックや不正侵入を防ぐセキュリティが甘くなっていませんか?
委託先にもまったく同じレベルで、個人情報の取扱い規則の周知徹底と監視監督をしていますか?

■ 推奨対策

対策:

このところ不正アクセスによる被害が増加している。不正アクセスによる被害は色々あるが、侵入されてしまったあとでは、漏えいした情報を回収できず漏えい対象者の心理的不安と、のちに何らかの実害が生じることがあり、経過を注意深く見ていく必要がある。

具体例:

不正アクセスによる被害を防止するためには、入り口対策、サーバ内部対策、ファイル等を抜き取れないようにする出口防御対策の3面で行う必要がある。最近の不正アクセスは、ゆっくりと間をあけ、時々アクセスする形を取り、またIPアドレスもいくつも使い分け、一度失敗した手口は同じサイトには使わない、など、手間暇をかけて攻撃をしてくる標的型アクセスが増えてきた。狙いを定め侵入するまで手法を変えてくるため、防ぐのは中々厄介である点に注意がいる。ファイルの抜き取りも小口に分けて時々送信する形をとる。これにより入口、出口ともシステム感知がしにくい状態になる。サーバ内部対策はファイルへのアクセス制限とファイル自体の暗号化をしておくことである。不正アクセスにより犯罪者の手でファイルを暗号化されてしまうことがあるが、自らの手で暗号化しておけば万一抜き取られたときに、犯罪者に読み解かれるリスクは軽減される。

ご入会のお手続きはこちら

会費のお支払い方法は、クレジットカード払いと口座振替の2種類お選びいただけます。 (会費のお支払方法により、入会手続きが異なります。) 詳しくは、「ご入会の流れについて」をご確認ください。