| クラウドサービスにおける情報漏えい事例5選!原因と対策まで徹底解説 | |
|---|---|
| 作成日時 24/06/12 (08:19) | View 1216 |
新型コロナ感染症をきっかけにしたテレワークの拡大に伴い、クラウドサービスの利用が加速しています。コストメリットが大きく導入も容易なクラウドサービスは、業務の効率化に大きく貢献している一方、その便利さの裏側には重大なセキュリティリスクが潜んでいるのが現実です。
実際、近年クラウドサービスを狙ったサイバー攻撃が急増。適切な対策が講じられていないと、機密データが簡単に漏えいしてしまう恐れがあります。
本記事では、そうした代表的な事例を取り上げ、クラウドサービスにおける情報漏えいの原因と対策について徹底解説します。自社に潜むリスクを正しく認識し、クラウドサービスを安全に利用していただければ幸いです。
新型コロナ感染症がきっかけで、多くの企業がSaaSを利用するようになりました。株式会社メタップスの「2022年度 SaaS利用実態調査レポート」によれば、全体の53.7%が11個以上のSaaSを利用していると判明しています。
SaaSは、導入が容易でコスト効率も良いため、多くの企業にとって魅力的な選択肢です。しかしその利便性の裏で、SaaSを狙ったサイバー攻撃のリスクも高まっています。クラウドサービスは、データが外部のサーバーに保存され、比較的容易にアクセスできるため、適切なセキュリティ対策が不可欠です。
例えば、従業員のログイン情報が漏えいすると、悪意ある第三者は容易に機密情報にアクセスできますし、アクセス権限の設定ミスによって機密情報が公開されてしまうという事例も実際に発生しています。
このように適切な対策・管理ができていないゆえに、クラウドサービスで情報漏えいが起きている事件が多発しているのです。
ここからは、クラウドサービスで情報漏えいが起きた事例を見ていきましょう。各事例の原因を理解することで、自社が同じ過ちを繰り返すリスクを軽減できます。
エイチームは、Googleドライブのアクセス権限の設定の誤りにより、個人情報を含む機密データが長期間にわたり外部に公開されていました。なんとリンクさえ知っていれば、誰でも94万人以上のデータを閲覧できる状態にあったのです。これは重大な情報セキュリティ上の問題であり、企業の信頼性を著しく損なう事態となりました。
エイチーム社は事態を重く受け止め、再発防止に向けた取り組みを行うことを表明しています。具体的には、セキュリティ監視の強化、ファイル共有設定の見直し、従業員教育の徹底などの対策を講じるなどです。
また、個人用アカウントの業務利用を制限し、企業アカウントの使用を徹底することで、情報の適切な管理を図る方針に転換しています。
2022年10月25日、JTBは観光庁の補助事業の実施において、申請した事業者の1万1483人超の個人情報が漏えいしたことを発表しました。
漏えいの原因は、JTBが利用していたクラウドサービスでのアクセス権限の設定ミスにありました。このクラウドサービスは、各事業者が自身の申請書以外にはアクセスできないよう設計されていましたが、運用担当者の手違いにより、異なる事業者間で相互に申請書が閲覧可能な状態が長期間続いていました。
その結果、他の事業者から1698件の申請書が不適切にダウンロードされ、企業名、氏名、連絡先などの個人情報が漏えいする事態に至ったのです。
調査の結果、18件の申請書が実際に不適切にダウンロードされていたことが判明しました。JTBはアクセス権限の設定を修正し、影響を受けた全ての事業者に対して、不適切にダウンロードしたデータの削除を依頼。2022年10月25日までに、削除が完了したことを確認しています。
このように、本件ではクラウドサービスの運用管理における重大な設定ミスが原因で、多数の個人情報が漏えいする事態となりました。
2022年12月25日、楽天、楽天カード、楽天Edyは、Salesforce社の「Experience Cloud」において不正アクセスが発生し、最大148万6291件の個人情報が流出した可能性があると発表しました。原因は楽天側の設定ミスにあるとされています。
具体的には、Experience Cloudにおけるアクセス権限の設定不備により、非公開とすべきデータがゲストユーザーにも参照可能な状態で公開されていました。このため、不正アクセスによりデータが流出するリスクが生じていたのです。本事件に関して、Salesforce側は「顧客の設定ミス」と位置づけています。
クラウドサービスでは一般に、サービス提供者と利用者で責任が分担される「責任共有モデル」が採用されています。
提供者側は機能の提供と基本的なセキュリティを担保しますが、利用者側でそれらの機能を適切に設定し、運用する責任を負います。そのため、設定ミスによる情報漏えいが発生した場合、主な責任はユーザー側にあるとされることが多いのが実情です。
Salesforce社は、このような設定ミスを未然に防ぐため、設定の確認をすることを推奨しています。
富士通クラウドテクノロジーズが運営するクラウドサービス「FJcloud-V」と「ニフクラ」が、不正アクセス被害を受けました。
ロードバランサーという機器に脆弱性(セキュリティ上の穴)があり、攻撃者がその穴を狙って不正アクセスを行った可能性が高いと考えられています。ロードバランサーはインターネットとクラウドサービスの間に置かれ、アクセスを制御する役割を果たす重要な装置です。
この脆弱性は2022年5月4日に公表されていましたが、富士通クラウドテクノロジーズでは対策が遅れてしまい、5月7日から9日にかけて実際に不正アクセスを受けてしまいました。さらに、複数の防御策を重ねる「多層防御」の設定にも一部不備があったことが原因になったと指摘されています。
この不正アクセスにより、クラウドサービスを利用する顧客のアクセス情報や通信内容、認証に使う証明書データなどが盗まれた可能性があります。
三菱電機では、従業員のアカウント情報が不正に入手され、クラウドサービス上の企業機密データが大量に流出する事態が発生しました。
攻撃者は三菱電機の中国子会社に不正アクセスし、従業員のアカウント情報を窃取。この情報を使って、グループ全体で利用しているMicrosoftのクラウドサービス「Office 365」に不正ログインを行い、保存された取引先の機密情報や個人情報を入手したものと見られています。
三菱電機グループではOffice 365をグループウェアとして広く活用していたため、一度不正ログインが成功すれば、各社が保存していた機密データにアクセス可能な状態にありました。クラウドサービスのセキュリティ管理が不十分であったことが、この重大な事故につながりました。
事故後、同社ではアカウント情報の変更やアクセス制限の強化など一時的な対策を講じましたが、抜本的な再発防止策が課題となっています。ゼロトラストの考え方に基づくセキュリティ対策の導入と、クラウド環境の包括的な監視体制の構築が求められます。
事例を見ていく中で、クラウドサービスで情報漏えいが起こる主な原因は以下の通りだと分かります。
● アクセス権限の設定ミス
● 脆弱性対策の遅れ
● セキュリティ管理の不備
● 従業員アカウントの不正取得
ここからは、各原因の詳細を見ていきましょう。
クラウド環境におけるアクセス権限の設定は、情報セキュリティの根幹をなします。適切なアクセス権限の設定は、機密データを保護し、不正アクセスを防ぐために不可欠です。一方で、設定ミスは誤って情報が外部に漏れる原因となり、重大なセキュリティインシデントにつながるリスクがあります。
実際に株式会社アシュアードによれば、クラウド利用のリスク事例トップ1位がアクセス権限の設定ミスとのこと。本記事でご紹介した事例の多くも、アクセス権限の設定ミスが原因で情報漏えいが発生していました。
設定ミスは多くの場合、システムの設定変更時や新システムの導入時に発生しやすいです。特に、複雑なシステムや多数のユーザーを管理する環境では、一つ一つの設定が正確に適用されているかを確認することが困難です。また、設定作業の手順が煩雑であったり、適切なチェック体制が整っていなかったりすることも、ミスを招く要因となります。
クラウドサービスの利用においては、システムの脆弱性に対して迅速に対策を講じることが重要です。脆弱性は外部の攻撃者に悪用される主要な入り口となるため、発見後は速やかに対策を実施しなければ、サイバー攻撃のリスクが高まります。
ソフトウェアの脆弱性が判明すると、開発元からパッチが提供されます。しかし、そのパッチを適用する作業が遅れがちなのが実情です。例えば、Windowsの重大な脆弱性に対するパッチがリリースされた後も、数週間から数カ月経ってようやく適用される事例が少なくありません。
このようなパッチ適用の遅れは、攻撃者から見れば格好のターゲットとなります。そのため、脆弱性が発見された際は、速やかにパッチを適用する体制を整備することが不可欠です。迅速な対策を怠れば、サイバー攻撃に晒されるリスクが高まります。脆弱性対策の遅れを防ぐことが、クラウドサービスを安全に利用する上で重要な要素となります。
サイバー攻撃者が従業員のアカウント情報を不正に入手すると、そのアカウントを経由してシステムやデータへの不正アクセスが行われる危険があります。特に、従業員がパスワードの使い回しをしている場合は、他のシステムにも容易に侵入されてしまう可能性が高く、甚大な被害につながるリスクがあります。
攻撃者が従業員アカウントを入手する主な手口には、以下の3つがあります。
● フィッシング攻撃:偽のウェブサイトやメールを使って個人情報を詐取する手口
● ソーシャルエンジニアリング:人間の心理的な弱さに付け込んで情報を引き出す手法
● 弱いパスワードの使用:推測しやすいパスワードを使っている場合に、総当り攻撃で解読される
このように従業員アカウントの不正取得は、様々な手口で行われるため、フィッシング対策、セキュリティ教育の徹底、強固なパスワードポリシーの運用など、従業員アカウントを適切に管理し、安全に利用するための総合的な対策が不可欠となります。
ここからは、先に挙げた事例を参考にして、クラウドサービスにおける効果的な情報漏えい対策をいくつかご紹介します。
クラウドサービスにおける情報漏えいを防止するには、徹底的なアクセス管理が不可欠です。具体的には、「最小権限の原則の徹底」と「定期的なアクセス権の見直し」を組み合わせた対策が有効です。
最小権限の原則とは、各ユーザーに対して業務遂行に必要な最小限のアクセス権限のみを付与することを指します。この原則を徹底することで、ユーザーのアクセス範囲が必要最小限に制限され、情報漏えいのリスクを大幅に低減できます。
例えば、ファイルやフォルダーの公開設定を適切に管理し、機密情報への不要なアクセスを回避することが重要です。
一方で、アクセス権の見直しも定期的に実施する必要があります。プロジェクト完了時や人事異動時など、ユーザーの権限変更が必要となるタイミングで、関連するアクセス権を確実に更新しなければなりません。
万が一、不要なアクセス権が残されていると、それが攻撃者に悪用される恐れがあるためです。このように、最小権限の徹底と定期的な権限見直しを組み合わせた包括的なアクセス管理を実施することが重要です。
これにより、クラウドサービスの利用において情報漏えいのリスクを最小限に抑えることができます。
クラウドサービスのセキュリティを確保するためには、セキュリティ監視体制を構築することが重要です。中核となるのは、リアルタイムでの監視と自動化された警告システムです。
リアルタイムの監視と警告システムにより、不審なアクセスや異常なデータ移動を即座に検知し、迅速な対応が可能になります。
例えば、設定ミスによるデータ漏えいが発生した際、効果的な監視システムがあれば、異常発生時に直ちに警告が通知されるため、被害を最小限に食い止めることができます。
リアルタイム監視、自動警告、継続的な改善により、セキュリティ監視体制を整備することが、クラウドサービスの安全性確保で重要な役割を果たします。
適切なセキュリティ対策を講じるだけでなく、従業員一人ひとりのセキュリティ意識を高めることが、情報漏えいを防ぐ上で極めて重要です。多くの情報漏えい事故が、従業員の誤操作や不注意から発生していることを考えると、従業員に対する継続的な教育は不可欠でしょう。
従業員教育では、フィッシングメール対策や安全なパスワード設定方法など、セキュリティ対策の基本を習得させることが重要になります。
従業員一人ひとりに継続的な教育を行うことで、セキュリティ意識を持った人的資産を育成し、情報漏えいリスクを大幅に低減することが可能になるのです。
ソフトウェアの脆弱性が判明した際には、開発元からパッチがリリースされますが、このパッチを速やかに適用しなければ、その間にシステムが攻撃を受けるリスクが高まります。そのため、定期的にシステムの脆弱性を確認し、新しいパッチがリリースされている場合には迅速に適用する体制を整備する必要があります。
クラウドサービス提供者から公開される脆弱性情報や新規パッチ情報を常に確認し、脆弱性を迅速に解消するようにしましょう。
本記事でご紹介した事例からも分かるように、クラウドサービスにおける情報漏えいの主な原因は以下の4点にあります。
● アクセス権限の設定ミス
● 脆弱性対策の遅れ
● セキュリティ管理の不備
● 従業員アカウントの不正取得
特に、アクセス権限の設定ミスが原因の情報漏えいは非常に多いです。各従業員には最低限のアクセス権限を付与し、定期的に設定を見直すようにしましょう。
しかし、高度化するサイバー攻撃の前では、完璧なセキュリティ対策はありません。そのため、サイバー攻撃の被害を受ける前提で、被害を最小化する対策も必要です。サイバー犯罪者は、機密情報をダークウェブで売買します。
つまり、定期的にダークウェブを監視することで、自社の流出状況を確認し、迅速な対応を講じられるようになるのです。すでに御社の情報が流出している可能性は十分にあります。まずは、以下リンクよりダークウェブ監視ツールの無料トライアルを利用して現状を把握することをおすすめします。
