2022年を騒がせたセキュリティ事件トップ10は? Trellixが調査を発表
Trellixは「2022年の10大セキュリティ事件」を発表した。国内のビジネスパーソンを対象に2021年12月〜2022年11月に報道された事件の認知度を調査した。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Trellixは2022年12月14日、「2022年の10大セキュリティ事件」を発表した。同調査は、国内の経営層や情報システム部門などのビジネスパーソンを対象にした「2022年の情報セキュリティ事件に関する意識調査」の結果を基にしており、2021年12月から2022年11月に報道された事件が調査対象になっている。
2022年を騒がせたセキュリティ事件トップ10を紹介
調査結果を基にランク付けした2022年の10大セキュリティ事件は以下の通りだ。
| 順位 | セキュリティ事件(時期) | 認知度(%) |
|---|---|---|
| 1 | 大手外食チェーンの元役員が競合企業に転職する際に営業秘密を持ち出し、その後も商品原価や仕入れ値など不正に取得したデータを社内で共有した(9月) | 48.8 |
| 2 | 大手自動車メーカーの主要仕入れ先である部品メーカーがサイバー攻撃を受け、自動車メーカーが国内全14工場、28ラインを停止することになった(2月) | 41.0 |
| 3 | ロシアのウクライナへの軍事侵攻が開始。サイバー攻撃をはじめとした、かつてない規模の「ハイブリッド戦争」の様相を呈する(2月) | 37.5 |
| 4 | 電子決済サービスのキャンペーンに参加したユーザー情報(国内ユーザー約5万件、海外ユーザー約13万件)のカード情報がインターネット上で閲覧できる状態になった(2021年12月) | 36.9 |
| 5 | 関西地方の自治体の業務再々委託先の社員が無断で持ち出したUSBメモリを紛失し、全市民約46万人の個人情報が流出危機に(6月) | 35.6 |
| 6 | 大手自動車メーカーグループの海外自動車部品メーカーがランサムウェアのサイバー攻撃に。発注書やメール、図面など、15万7000件以上、1.4TBのデータを公開される恐れがあった(3月) | 34.7 |
| 7 | 関西地方の医療機関が外部からの不正アクセスを受け、ランサムウェア被害。電子カルテシステムに障害が発生し、通常診療が不能に(10月) | 26.2 |
| 8 | 関東地方の自治体の職員が知人の依頼で、住民基本台帳ネットワークシステムにある個人情報を漏えいした(11月) | 23.4 |
| 9 | 親ロシア派のハッカー集団「Killnet」が4省庁23サイトにサイバー攻撃。電子サイト「e-Gov」など計4省庁23サイトと、地方税の手続きサイト「eLTAX」が一時閲覧できなくなった(9月) | 23.3 |
| 10 | 総合旅行会社がマルウェア「Emotet」の感染を確認、同社関係者および顧客に向けて、なりすましメールが送信されている疑いがあると発表した(3月) | 22.9 |
ランキングを受けたTrellixの見解は
Trellixはランキング結果について「2021年度の回答と比較すると、各インシデントの認知度は全体的に高く、セキュリティに対する社会的な関心の高さがうかがえる結果となった」と総評した。
第1位の「内部不正による営業秘密の持ち出し」は、認知度では第2位に7.8ポイント差をつけた。企業トップが競合企業に転職する際に営業秘密を持ち出し、商品原価や仕入れ値など不正に取得したデータを社内で共有した容疑で逮捕され、その後不正競争防止法違反罪で起訴されたことは大きなインパクトを残した。
Trellixは「人材の流動化が進む中、情報漏えいをどのように防ぐかという情報管理体制の議論が高まっている。その際には、退職者から『持ち出されるリスク』だけでなく、転職者から『持ち込まれるリスク』を適切に捉える必要がある。最も基本的な対策である秘密情報へのアクセス制限やモニタリング、コンプライアンスなどの研修の実施といった地道で着実な対策が求められる」とコメントした。
また、サイバー攻撃関連の事件としては、国内でも大規模なランサムウェア被害が複数確認され、第2位、第6位、第7位にランクインした。第10位にはEmotetによる被害がランクインしている。国内での大手自動車メーカーのサプライチェーンや医療機関など重要セクターに対するランサムウェア攻撃は、脅威を身近なものとして認識するきっかけとなった。Trellixはこの結果について「サイバー攻撃は他人ごとではないと認識し、自社だけでなく包括的な対策検討の必要があらゆる企業にとって急務となっている」とコメントしている。
Trellixの櫻井秀光氏(セールスエンジニアリング本部 シニアディレクター)は「2022年はロシアのウクライナ侵攻によって、サイバー攻撃が全世界の人々に現実的な脅威として認識された。国内でもサイバー攻撃によって身近な生活に影響が生じ、これまで以上に脅威に感じた方も大勢いたと思われる。また、社内からのデータ持ち出しという人為的な被害が多く発生したことも2022年の特徴だ。この結果を受け、企業や団体はサイバー攻撃に対して改めて基本に立ち返ることが重要だ」と語る。
櫻井氏はこれに向けて、多層防御やサイバー攻撃を迅速に検知・対応する仕組みの実装を推奨する。「攻撃者の特徴の把握と、攻撃発生前のプロアクティブな対策を実現可能にする『体制』づくりと『耐性』の強化が必要だ」(同氏)
関連記事
ビジネスサービスをターゲットにするランサムウェアが増加 複数企業を一気に攻撃か Trellixが警鐘
Trellixによると、2022年第1四半期はサイバー攻撃にとって“進化”の時期だった。1回の攻撃で複数企業を狙うランサムウェア攻撃が増加した他、ロシア・ウクライナ戦争の影響でロシアのサイバー犯罪も“進化”していることが分かったという。
最新のマルウェアに備えよ あなたは50:30:20の法則を知っているか?
複雑化、高度化したサイバー脅威に対抗するためには、セキュリティ製品を導入するだけでは不十分だ。レオンテクノロジーの守井氏が提唱する50:30:20の法則で企業のセキュリティ環境を強化しよう。
不正のトライアングルに対処せよ 身内の"情報持ち出し"を疑わない仕組みづくりのポイントは
テレワークシフトが進む一方で、元従業員による情報の持ち出しといった内部不正が深刻な問題になっている。ラックの飯田浩司氏が、内部不正が発生するメカニズムと身内を疑わずに済む仕組みづくりのポイントを語った。
FortiOSにCVSS v3スコア9.3の脆弱性 既に悪用を確認済みのため急ぎ対処を
FortinetはFortiOSのSSL-VPN機能にヒープベースのバッファオーバーフローの脆弱性が存在すると伝えた。該当製品を使用している場合、直ちにアップデートを適用してほしい。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- Javaは他のプログラミング言語と比較してどのくらい危険なのか? Datadog調査
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- Microsoft、脆弱性の開示に向けて業界標準の体系を採用 大改革がもたらすメリット
- NVDは多くの課題を抱えて機能不全に陥っている 問題点を整理しよう
- 投資家たちがセキュリティ人材を“喉から手が出るほどほしい”ワケ
- 生成AIは検索エンジンではない 当たり前のようで、意識すると変わること
- ドローンいらず? 飛行動画作成できる「Google Earth Studio」登場
ITmediaはアイティメディア株式会社の登録商標です。