他人事ではない!ウイルス感染&情報流出のよくあるケース

security1558

たくさんのものがインターネットとつながっている今、企業は常にサイバー攻撃や情報流出のリスクにさらされています。

たった1人の不注意によって、大きな損害賠償や倒産につながる事故が起きています。

あなたにも起きるかもしれない、セキュリティ事故の事例を紹介します。

うっかりミスで・・・ウイルスに感染した例

ケース1:私物のUSBが原因で・・・

新入社員であるS田さんの会社では、毎年スタッフ全員に年賀状を送るのが恒例です。そのため新入社員のS田さんへ、社内メールで社員の住所リストが送られてきました。S田さんは休日に家で年賀状を作るため、自宅のパソコンでいつも使っているUSBメモリに住所リストをコピーしようと思い、会社のパソコンにUSBをさしました。

しかしコピーが完了して数時間後、パソコンが勝手に再起動をくり返しはじめます。おかしいな?と思っていたところ…システム担当者が「社内の複数台のパソコンでウイルス感染が起きた」と慌ててやってきました。

原因は、S田さんのUSBがウイルス感染しており、それを会社のパソコンにさしたため、ネットワークを介してウイルス感染してしまったことでした。

このケースの問題点

  • 私物のUSBなど、外部メモリの会社での使用を禁止していなかった点
  • すべてのパソコンのセキュリティソフトを最新状態にしていなかった点

ケース2:忙しくて、メールをしっかり確認せず・・・

K村さんの会社では、セキュリティについてはしっかりした対策をしており、社員にも徹底するよう通知していました。K村さんは社外とメールのやりとりをたくさんする業務の担当で、その日も何十通ものメールにいそがしく返信していました。

そんな中、ある出版社から取材申込のメールが届きます。しかし忙しくて余裕がなく、メールをよく確認せずに、本文にあったURLをクリックしてしまいました。すると、ウイルスに感染してしまったのです。

ですが感染したことを悟られないようにするウイルスだったため、感染に気づけず、何日も過ぎてしまいました。感染に気づいたのは、顧客から「情報が漏れているのではないか」と問い合わせがあったためです。

調査すると、K村さんのパソコンから感染したウイルスがサーバーへ侵入し、たくさんの顧客情報が流出していることがわかりました。

このケースの問題点

  • あやしいメールかどうかチェックせずに、URLを開いてしまった点

ケース3:セキュリティ対策に穴があり・・・

ゲームサイトの管理運営をしているF社では、もちろん自社サイトのセキュリティ対策はそれなりにおこなっていました。しかし最後に対策やチェックをしたのはかなり前のことだったのです。

そんな中、ゲームのユーザーへ渡すためのウェブマネーが、数十万円分盗まれてしまいました。原因は、SQLインジェクションによるサイバー攻撃でした。

セキュリティ会社に調査してもらうと、サイトに攻撃されるスキマのあることがわかりました。

このケースの問題点

  • セキュリティ対策に抜け穴がないか?定期的にチェックしていなかった点

ケース4:気のゆるみで、取引が白紙に・・・

メーカーで営業マンとしてはたらくA山さんは、その日は大事なプレゼンと商談があり、会社のノートパソコンを持ってお客様先へ向かいました。商談は、無事成功。

時間も遅くお客様先が遠方だったため、帰社はせずにそのまま上司と打ち上げで飲みに行きました。数日前からはりつめていた緊張もやわらぎ、電車に乗ると眠ってしまいました。

目が覚めると、そこは終点駅。そして…持っていたはずのカバンがなくなっていました。何者かに盗まれてしまったのです。カバンには、重要な情報がたくさん入ったパソコンと、お客様の情報や取引の契約書が入っていました。

取引情報をすべて紛失してしまったA山さんは、翌日謝罪をしに行きましたが…やってしまったミスは大きく、成立した取引は取り消しにされてしまいました。

このケースの問題点

  • 商談後に帰社せず、PCや資料を持ったまま出歩いた点

ケース5:SNSへの何気ない投稿で、個人情報漏えい

公務員としてはたらくA川さんは、昼休みにデスクで食べた手作り弁当を写メに撮り、ツイッターにアップしました。しかし、翌日職場へ苦情の電話が。その内容は「ツイッターにアップされた写真の中に、住民の個人情報が写り込んでいる」というものでした。

原因はお弁当の後ろにあるパソコンの画面がついたままで写真が撮影されており、そこへ業務で使った個人情報が映しだされたままだったのです。

このツイッターのアカウントはA川さんのものと判明し、投稿は削除。写ってしまった被害者の方へはおわびをし、A川さんは個人情報を流出させたとして謹慎処分になりました。

セキュリティ診断で、防げる事故もある

セキュリティ対策やスタッフへの通知をじゅうぶんおこなっても、人為的ミスによる事故を防ぐことは難しいです。「自分は大丈夫、関係ない」「今いそがしいから後で」と、パソコンやセキュリティソフトの更新を後まわしにしたり、軽はずみな行動をしたりしまうケースがあります。しかしセキュリティ対策をもっと厳しくしておけば、防げた例もあります。

  • 法人向けのウイルス対策ソフトを入れる
  • セキュリティ診断を定期的に受ける

企業では、このような対策が必要です。若い人は小さい頃からまわりにインターネットがあり、ネットへ何かを投稿することに抵抗のない方が多いです。「SNSの投稿は全世界への情報発信である」ことを、常に意識する必要もあります。

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

今、注意すべき攻撃手口はこれ!【2016年最新セキュリティ脅威レポート】 特別プレゼント

・「セキュリティ診断」で何がわかるの?
どんな危険が見つかっているの?
どんな被害が発生しているの?

もし、あした「情報漏えい事故」であなたの会社がニュースになったら?
攻撃者は、自動攻撃ツールを使って24時間365日、攻撃できるスキマを狙っています。
セキュリティ事故は、いつ起きてもおかしくありません。

【2016年最新セキュリティ脅威レポート】では、弊社が実際に疑似攻撃(ペネトレーションテスト)をおこない、検証した結果から、2016年注意すべき脆弱性・実際に多かった不備などをお伝えします。

「今、どんな被害が起きているのか?」
最新のセキュリティ脅威を知って、事故を未然に防ぎませんか?
ぜひダウンロードして、今後のセキュリティ対策にお役立てください。


【2016年最新セキュリティ脅威レポート】目次
1. おもなWebアプリケーション診断項目
2. ペネトレーションテスト内容とは?
-2015年度ペネトレーションテスト初回診断時総合評価の結果一覧
-脅威レベル深刻度別・脆弱性の該当比率一覧
3. 2015年度に多く検出された脆弱性とは?
4. ペネトレーションテストで発見した、新らなる脅威とは?
-最近また増えた、ウイルス感染配布サイト
-パケット改ざんプログラムによる被害

セキュリティレポートをダウンロードする >