サイト不正アクセス、特に「改ざん」に着目して、この約10年を主な記事で振り返る。
2009年 JR東日本、JR西日本、サイト改ざん
・JR西、サイト改ざん被害 「フィッシングサイト」に誘導 特急スケジュール公開停止 (2019/09/04)
https://www.nikkei.com/article/DGXMZO49386740U9A900C1000000/
『IDをだまし取る偽サイト「フィッシングサイト」に誘導され、アンケートの回答やクレジットカード情報の入力を求められる ..
現在は公開を停止。被害の報告は受けていない .. 』
・JR東日本のサイトが2週間改ざん、ページ内検索でウイルス感染も (2009/12/24)
https://internet.watch.impress.co.jp/docs/news/339343.html
『閲覧者のPCがウイルスに感染した恐れ ..
該当ページに約5万件のアクセス ..
改ざんされたページは、いずれも「Gumblar」ウイルスの亜種に感染する不正なページへリダイレクトするスクリプトが埋め込まれていた。
ウイルス感染の有無を確認したり、駆除を行う方法として、トレンドマイクロのオンラインスキャンツールをサイト上で紹介 .. 』
2012年 最高裁のサイト改ざん、ハクティビスト「アノニマス」
・最高裁のサイト改ざん 尖閣?画像に中国国旗 (2012/09/15)
https://www.nikkei.com/article/DGXNASDG1404Y_U2A910C1EA2000/
『いつどのように改ざんされたかは不明 ..
日本の政策に反対するハッカー集団などが中央省庁のサイトを攻撃する例が相次いでいる。
最高裁や財務省などのHPが不正侵入され、情報が改ざん .. 』
2013年 トヨタニュースコンテンツ改ざん事件
・トヨタのWebサイトが改ざん、不正プログラムを自動実行する状態に (2013/06/19)
https://xtech.nikkei.com/it/article/NEWS/20130619/486291/
・弊社ホームページの改ざんに関する調査結果のご報告(続報)(2013/07/02)
http://www.toyota.co.jp/announcement/130702.pdf
『ニュースコンテンツを閲覧した場合 .. 不正なプログラムが自動的にインストール、実行される ..
パソコンの利用を継続した場合、パソコン内部に保管されている情報や ウェブサイト利用時に入力する ID・パスワードが抜き取られる可能性 ..
お客様情報の流出は、現在のところ確認されておりません。』
2014年 KADOKAWAホームページ改ざん事件
・KADOKAWAのWebサイト改ざんが判明、閲覧者はデータを詐取される可能性 (2014/01/17)
https://xtech.nikkei.com/it/article/NEWS/20140117/530515/
『マルウエアはパソコンでのオンラインバンキングやクレジットカード企業サイトの利用状況を常時監視して、情報を詐取 ..
一部の地方銀行などで対策がなされておらず、不正送金などに結びつくリスクがある。
シマンテックはWebサイト運営者に対して、サーバー関連ソフトウエアや侵入検知システム(IPS)などを最新の状態に保ち、改ざんを防ぐよう呼びかけている。』
・KADOKAWAのサイト改ざん報道に感じた違和感は何なんでしょうか (2014/01/17)
https://news.yahoo.co.jp/byline/yamamotoichiro/20140117-00031714/
『(シマンテック社の発表を)一般ユーザーが見て何が起きるかを理解することはかなりむつかしい ..
最終的にエンドユーザーに対してどう接するか ..
知っていたのにそれを知らせずにいたシマンテックの企業姿勢も問われるべき ..』
2017年 日本郵政、不正アクセス
・日本郵便へ不正アクセス、国際郵便マイページ登録者情報2万9千件流出 (2017/03/15)
https://cybersecurity-jp.com/news/15140
『「国際郵便マイページサービス」サイトにおいて発生した不正アクセスにより、登録していた顧客情報(メールアドレス)29,116件と、サイト上で作成した送り状1,104件が流出 ..
Apache Struts2の脆弱性が原因
』
2017年 WordPress利用サイト連続改ざん事件
・WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 (2017/02/09)
https://www.itmedia.co.jp/news/articles/1702/09/news064.html
『WordPressは1月26日に公開した更新版の4.7.2で複数の脆弱性を修正した。
(旧版の脆弱性は)認証を受けないユーザーがWordPressサイトのコンテンツやページを改ざんできてしまう .. 』
・都税支払いサイト受託運営のGMO-PG、不正アクセスに関する詳細を報告 (2017/03/14)
https://cybersecurity-jp.com/news/15105
『都税納付サイト被害状況
1.クレジットカード情報流出の可能性:676,290件
2.カード番号・カード有効期限の流出:61,661件
3.2に加えメールアドレス:614,629件
住宅金融支援機構被害状況
1.クレジットカード情報流出の可能性:43,540件
2.カード番号、有効期限、セキュリティコード、その他個人情報:622件
3.2に加えメールアドレス、加入月:27,661件
4.2に加えメールアドレス:5,569件
5.2に加え加入月:9,688件
(Apache Struts2の脆弱性が原因)』
2020年 JR東日本、不正アクセス事件
・先週のサイバー事件簿 - JR東日本「えきねっと」で不正アクセス被害 (2020/03/09)
https://news.mynavi.jp/article/20200309-security/
『スマートフォンアプリ「えきねっと」において、パスワードリスト攻撃による不正アクセスがあった ..
個人情報が流出した ..
3,729件が不正ログイン被害に遭った。
流出情報の詳細は、氏名、住所、電話番号、クレジットカードの下4桁など。』
2020年 ゆうちょ銀行mijica、不正ログイン・不正利用
・先週のサイバー事件簿 - ゆうちょ銀行のmijica、不正ログインと不正利用が深刻化 (2020/10/13)
https://news.mynavi.jp/article/20201013-security/
『mijica専用Webサイトへの不正なアクセス ..
不正ログイン人数は1,422人。画面遷移が異常に早く機械的操作による可能性が高い ..
不正取得の可能性がある情報は、mijica会員情報の氏名(漢字・カナ)と生年月日、およびカード情報のカード番号下4桁と有効期限。
不正ログイン被害に遭った人には、損害を全額補償 ..』
その他、参考にしたところ
・ホームページの改ざんについて中身から対応までを紹介 (02/07)
https://www.shadan-kun.com/blog/measure/5371/
◆サイバーセキュリティ経営ガイドライン Ver 2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf
経営者が認識すべき3原則
- 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要(成長のためのセキュリティ投資)
- 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
- 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
監査の実施や対策状況の把握を含むサイバーセキュリティ対策の PDCA について、系列企業、サプライチェーンのビジネスパートナーやシステム管理の運用委託先等を含めた運用をさせる。
システム管理等の委託について、自組織で対応する部分と外部に委託する部分で適切な切り分けをさせる。
対策例
- 系列企業やサプライチェーンのビジネスパートナーやシステム管理の委託先等のサイバーセキュリティ対策の内容を明確にした上で契約を交わす。
- 系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先等のサイバーセキュリティ対策状況(監査を含む)の報告を受け、把握する。
- 個人情報や技術情報等の重要な情報を委託先に預ける場合は、委託先の経営状況等も踏まえて、情報の安全性の確保が可能であるかどうかを定期的に確認する。
- 系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先等がSECURITY ACTION9を実施していることを確認する。なお、ISMS 等のセキュリティマネジメント認証を取得していることがより望ましい。
- 緊急時に備え、委託先に起因する被害に対するリスクマネーの確保として、委託先がサイバー保険に加入していることが望ましい。