2024年セキュリティインシデント被害ランキング【最新事例とその対策】
index
2025/1/24
近年のセキュリティインシデントには、ある傾向が指摘できます。特に2024年は、大規模なセキュリティインシデントが多数発生し、サイバーセキュリティの重要性がより高まりました。
この記事では、2024年にどのようなセキュリティインシデント事例があったのか、被害規模をランキングにしてご紹介します。また、セキュリティインシデントを防ぐための対策についても、併せて解説します。
セキュリティインシデントとは?
インシデント(incident)とは、一般的に「事件」「事案」「出来事」などを意味する英語で、事故につながりかねない状態や、大事に至らずに済んだ事象を指します。ビジネスシーンでは、何らかの良くない兆候を感じさせる状況や、企業の信頼を揺るがす重大な問題に発展しそうな事象を「インシデント」と呼びます。
セキュリティインシデントといった場合、情報セキュリティにおいてリスクをもたらす可能性がある事象や事件、事故を指します。サイバー攻撃やマルウェアの感染、不正アクセス、機密情報の漏えい 、システム障害など、セキュリティ上の脅威となる事例を指します。
2024年セキュリティインシデント被害ランキング
2024年はどのようなインシデント事例があったのでしょうか。情報漏えいの被害規模順にランキングして振り返ってみます。
2024年セキュリティインシデント(情報漏えい)ワースト10
| 順位 | 企業 | 情報漏えい件数 | 原因 |
|---|---|---|---|
| 1位 | スーパーマーケットチェーンA社 | 778万4,999件 | ランサムウェア被害 |
| 2位 | 家電メーカーB社 | 231万名分 | 不正アクセス |
| 3位 | 大手住宅メーカーC社 | 82万8,168名分 | サイバー攻撃 |
| 4位 | ヘルスケア企業D社 | 73万5,210名分 | サイバー攻撃 |
| 5位 | 総合人材サービスE社 | 54万9,195名 | システムの不備 |
| 6位 | インターネット企業F社 | 51万9,506件 | 不正アクセス |
| 7位 | 人材サービスG社 | 49万6,119件 | 不正アクセス |
| 8位 | ビジネスSNSサービスH社 | 41万9,746件 | システム設定不備 |
| 9位 | 精密機器メーカーI社 | 40万2,530件 | ランサムウェア被害 |
| 10位 | IT関連企業J社グループ | 25万4,241名分 | ランサムウェア被害 |
1. スーパーマーケットチェーンA社
2024年2月、スーパーマーケットチェーンA社のグループ会社のサーバーに第三者が侵入し、暗号化される等のランサムウェア被害が発生。 外部からの通信の受け口となるVPNを狙って侵入され、一部データが使用不能になった。
なお、被害を受けたサーバーの通信記録を調査した結果、外部への情報流出の痕跡は見当たらず、個人情報の漏えいや不正利用による被害等の被害は確認されていない。
しかし、閲覧された可能性を完全に否定することはできず、その場合は顧客の個人情報で最大778万2,009件、パート・アルバイトなどの従業員応募者の個人情報で最大2,990件、計778万4,999件以上の個人情報が閲覧できる状態にあったという。
2. 家電メーカーB社
2024年4月、家電メーカーB社の情報システムサーバーに外部から不正アクセスのあったことが判明し、個人情報の流出の可能性を完全に否定することができないと判断。関係者に対して、連絡した。
並行して、流出の痕跡がないサーバーにも対象を拡大して調査を継続した結果、 顧客情報約231万名分を保管しているサーバーにアクセスが認められ、閲覧された可能性を否定できないことが判明した。
極めて短い時間・回数のアクセスであったため、個人情報が特定される可能性は極めて低いと考えられたが、対象者に連絡し、問い合わせ窓口を用意して対応した。
3. 大手住宅メーカーC社
2024年5月、大手住宅メーカーC社が運営する住宅オーナー向けの会員制サイトでセキュリティ設定の不備があり、サイバー攻撃を受けた。
これによって、顧客情報10万8,331人、漏えいの可能性を否定できない人数は46万4,053人にのぼった。また、従業員等の個人情報の漏えいでは18万3,590人、漏えいの可能性を否定できない人数は7万2,194人、顧客・従業員合わせて合計数は82万8,168名分となった。
4. ヘルスケア企業D社
2024年7月、ヘルスケア企業D社のデータベースの一部にサイバー攻撃があり、保管されていた個人情報に流出の可能性が判明した。海外の業務委託コンサルタントが使用していた個人用ノートパソコンがマルウェアに感染し、悪意のある外部の第三者がデータベースの一部に不正アクセスした。
日本の医療関係者73万3,820人分と、従業員1,390人が不正アクセスの対象となり、二次被害のおそれはなかったが、データベースに対するアカウント管理方法の見直しと継続的な改善を迫られた。
5. 総合人材サービスE社
総合人材サービスE社が運営する転職サービスが、求人広告の販売代理店向けに提供しているシステムの不備により、法人顧客の個人情報が閲覧できる状態になっていたことが判明。対象期間は2018年5月~2024年8月と長く、対象人数は54万9,195名で、代理店の委託先を含む1,164社から閲覧できる状態になっていた。
そのため、システムの改修を行い、システム開発時の仕様検討およびプライバシーへの影響を事前に審査する仕組み(プライバシーレビュープロセス)に取り組み、再発防止を強化した。
6. インターネット企業F社
2023年9月に、インターネット企業F社のサーバーの社内システムへ第三者による不正アクセスが開始された。委託先企業の従業者が所持するPCがマルウェアに感染したことを契機とするもので、パスワードをリセットし、各サーバーに対するアクセスを順次遮断した。
2024年2月時点で確認できた個人データの情報漏えいは、ユーザーのデータ30万2,980件、取引先等に関するデータ8万6,211件、従業者等に関するデータ13万315件で、計51万9,506件に及んだ。
7. 人材サービスG社
2023年7月、人材サービスG社が管理運営する人材プラットフォームの個人情報が漏えいしているとの情報提供が第三者からあり、発覚。加盟企業に付与していた管理画面からデータベースへの不正アクセスにより、個人情報が抜き取られる事態が発生したことが判明した。
発覚後、当該加盟企業のアカウントを停止し、セキュリティ向上のためのアップデートを行い、改善措置を実施した。しかし、2024年5月には49万6,119件の漏えいが発表された。
8. ビジネスSNSサービスH社
2024年4月、ビジネスSNSサービスを運営するH社がシステム設定不備による不具合を公表。2013年10月〜2024年6月の間、アクセス権限を持たない第三者によって閲覧できる状態となっていることが判明した。
漏えいした可能性のある情報は、会社ページ数 2万4,435件、求人募集記事数19万4,733件、ユーザー数20万578名で、計41万9,746件となった。
9. 精密機器メーカーI社
2024年5月、精密機器メーカーI社が外部の悪質なサイバー攻撃を受け、複数のサーバー内のファイルが暗号化されるランサムウェア被害が発生。個人データが漏えい等したおそれが否定できないことが判明した。
原因は、システム管理者のアカウントID及びパスワードを何らかの形で不正に取得し、業務システム内にアクセスしたことにあると考えられる。取引先等の関係者個人データ31万8,151件、顧客等の個人データ7万1,089件、従業員等の個人データ1万3,290件、計40万2,530件が漏えいした可能性がある。
10. IT関連企業J社グループ
2024年6月、IT関連企業J社のグループへサイバー攻撃とランサムウェア攻撃が行われ、一部個人情報が漏えい。ランサムウェア攻撃グループ「BlackSuit(ブラックスーツ)」がリークサイトで窃取した個人情報を公開し、元に戻すことと引き換えに身代金を要求した。漏えいした個人情報は25万4,241人分という。
2024年セキュリティインシデントの傾向
ランキングでもご紹介したように、2024年に起こったセキュリティインシデントにはある傾向が見受けられます。どのような特徴があったのか、見ていきましょう。
サイバー攻撃によるセキュリティインシデント
2024年は、サイバー攻撃による被害が多発しました。クラウド環境への侵害事例が過去に比べて多く、クラウドサービスの停止や情報漏えい、データの削除、スパムメールの踏み台、Webの改ざんなどの被害が発生しました。
特にランサムウェアによる被害や不正アクセスなど、オンラインサービスが被害を受けるケースが目立ってきています。大手コーヒーチェンや家電メーカーなどでは、運営するオンラインストア(通信販売サイト)が不正にアクセスされ、個人情報が漏えいしました。
また、ターゲット企業を直接攻撃するのではなく、関連企業や取引先などのサプライチェーンの弱点を悪用して不正に侵入し、被害が連鎖するケースも増えています。
人的ミスによるセキュリティインシデント
意外に多いのが、人的なミスによるセキュリティインシデントです。サーバーなど自社システムの設定不備や、クラウドサービスの誤設定など、コンピューターやインターネットの専門的な設定の間違いでインシデントが発生します。
有名な大手アパレル小売りのグローバル企業で、委託先事業者が業務の範囲を超えて個人情報の閲覧が可能となっていたことが判明しました。本来保存されるべきでない個人情報が保存される設定になっていたため発生した事例です。
また、パソコンの単純な操作ミスがインシデントに発展するケースもあります。大手オフィス家具メーカーでは、個人情報が記載されている添付ファイルをメールで誤送信した事例など、単純な不注意が世間を騒がせました。
さらに、ケアレスミスがセキュリティインシデントとなる場合もあります。高速道路管理運営会社や地方自治体では、個人情報の入ったUSBメモリを紛失した事例も起こりました。
いずれも2024年に発生した事例ですが、人的なセキュリティインシデントは担当者が責任を問われるだけでなく、管理体制の不備も批判されます。未然の防止対策も決しておろそかにすべきではありません。
内部不正によるセキュリティインシデント
内部不正による情報漏えいも、注意しなければならないセキュリティインシデントです。内部不正は、従業員や委託業務員などが不正に内部情報を持ち出し、第三者に個人情報を販売したりするなどして悪用するインシデントです。
2024年は、生命保険会社の元社員が退職時に顧客情報を持ち出し、転職先企業の営業活動に一部使用していたことが判明しました。個人情報の持出しが無いことを誓約書に署名していたにもかかわらず、起こった事件でした。
【傾向別】セキュリティインシデントの対策
セキュリティインシデントが発生した場合、直ちに情報セキュリティの担当部署に連絡し、適切な対処が必要です。対処が遅れると被害はより拡大し、原因の究明に多大な時間とコストがかかります。
そのような事態に陥らないように、事前にセキュリティインシデント対策を講じておくことが重要です。以下では、傾向別にセキュリティインシデントの対策をご紹介します。
サイバー攻撃対策
- 社内ルールやポリシーを作成し、社員に遵守するよう教育する
- 業務フローに沿ってマニュアル化し、システム設定のミスがないか日頃からチェックする
- 社員が行う業務やPC端末の状態を可視化して、ミスやインシデントを少なくする
- 社外に持ち出せる機器と持ち出せない機器を分けて管理する
- セキュリティソフトの導入を支援する
- ハードディスクやストレージに保存しているデータの暗号化を行う
サイバー攻撃によるセキュリティインシデントの対策には、次のようなものがあります。
ウイルスやランサムウェアに感染した場合は、まず感染したパソコンやサーバーの利用を停止し、ネットワークから切り離すことが重要です。特にランサムウェア攻撃に備える対応においては、日頃から適切な方法でデータのバックアップを行っておくことが被害を最小限に抑えるポイントになります。
セキュリティインシデント対策では、予防するだけでなく、発生したときの被害を最小限に抑えることが欠かせません。そのために、セキュリティ担当の人材はもちろん、情報システムやネットワークの調査・分析・復旧に携われる事が可能な対応チームを準備し、指揮・連絡系統も明確にしておくことも重要です。
その一方で、委託業務なども含むすべての社員に情報セキュリティに関する知識を身につけさせておくことも大切です。「不審なメールが届いても添付されたURLやファイルは決して開かない」といったセキュリティ教育を周知徹底させ、日常業務でのルールの確認や研修を実施しておくとよいでしょう。
人的ミス対策
- セキュリティポリシーを定め、セキュリティソフトを適切に導入する
- 重要な情報へのアクセスは二段階認証にする
- 社用端末やUSBメモリの持ち出し、個人端末の持ち込みを制限する
- 退職者のアクセス権限は速やかに削除する
- 職位や業務内容に合わせて、正しいアクセス権限を付与する
- OSや各種ソフトウェアは、常に最新の状態に保っておく
- セキュリティツールを導入し、こまめに更新を行う
- システムやネットワークの復旧などを想定し、担当者を常日頃から準備しておく
- 迅速に対応できるよう指揮・連絡系統を明確にしておく
- セキュリティ専門知識のある専門業者や人材の確保も考えておく
人的ミスによるセキュリティインシデントの対策には、次のようなものがあります。
セキュリティインシデントを防ぐためには、まず情報資産をしっかりと把握しておくことが重要です。サーバーにあるデータファイルやパソコン、USBメモリだけでなく、紙の資料も含むあらゆるデータや機密情報にどのようなものあり、どこにあるかを洗い出し、管理・把握できるようにしておきましょう。
情報資産が分散していれば、それだけ管理も複雑になります。適切に管理されていない情報資産が残っている場合、可能な限り排除しておきましょう。
内部不正対策
内部不正によるセキュリティインシデントの対策には、次のようなものがあります。
- 内部不正を監視できるツールを活用する
- 不正行為が発生した場合にはただちに追跡できる仕組みを構築する
- 重要な情報は、秘密であることを明記したうえでルールを周知徹底する
- 定期的に機密情報の取扱い手順などを含めた社内教育を実施する
- 従業員が入社・退社する際は秘密保持契約書を締結する
- 労働環境の改善や公正な人事評価などを行い、従業員が不満を持たないようにする
内部不正によるセキュリティインシデントが発生した場合には、迅速に対応する必要があります。インシデント発生による被害とその影響範囲を最小限に抑え、速やかに事業継続できるようにします。
内部不正によるセキュリティインシデントは、他のインシデントに比べると企業のコンプライアンスが問われます。消費者や顧客からの信頼回復がより難しくなり、企業イメージが悪化するおそれがあります。そうならないように日頃から社員教育を徹底し、顧客情報の持出しなどを防ぐ安全管理の強化が求められます。
セキュリティインシデント対策には
IIJでは、攻撃者からの狙われやすさを定期的に調査するサイバー攻撃のリスクを軽減するセキュリティリスク可視化サービス「IIJ Safous(セーファス)Security Assessment」を提供しています。
攻撃者は攻撃可能な「弱点」を探しています。特に取引先や業務委託先、自社の海外拠点など、サプライチェーンの中全体を偵察しで最も攻撃しやすい場所を探し出して、攻撃を仕掛けてきます。
IIJ Safous Security Assessmentは、お申込みいただいたドメインに対し、脆弱性や潜在的な脅威サイバー攻撃を受ける可能性を、10項目の評価カテゴリでスコアリングを行い可視化して表示。セキュリティエンジニアが診断結果を分析し、最短3日でレポートを提出します。
セキュリティが手薄な取引先や海外拠点、攻撃者から狙われやすいサプライチェーンなどのセキュリティ対策の現状を確認し、インシデントの兆候を迅速に把握できます。
サービスについてより詳しくは、下記からご参照ください。
