トレンドマイクロは10月5日、2016年に国内のECサイトで発生した個人情報漏えい(可能性を含む)事件の分析結果をブログで公表した。事件の多くが外部通報で発覚しており、異変をいち早く検知できることが重要だとしている。
同社が分析したのは、2016年1月〜9月に公表された13の事案で、うち10件は個人情報やクレジットカード情報などの漏えいの可能性があるもの。漏えい規模はのべ15万件になり、1事案あたりでは約3800件(中央値)だった。
被害者への損害賠償額は、1人あたり数千円から数万円になるとし、過去には約5万人の個人情報が流出した事案で5億円以上になったケースもあると指摘する。仮に1人あたりの賠償額を5000円とした場合、1事案あたりでは総額1900万円になると試算した。
公表された事案の約7割で原因が明らかにされていないが、明らかにされた全てのケースでECサイトもしくはシステムの脆弱性が狙われた。発覚した経緯では77%が外部からの連絡によるものだった。
こうしたことから同社では、ECサイトを構成するOSやミドルウェア、アプリケーションなどの脆弱性対策を十分に講じるべきと指摘。脆弱性診断や修正パッチの管理を実施するほか、これらの対応が難しい場合やセキュリティ上の問題点を改修し切れない場合には、脆弱性悪用するサイバー攻撃を防ぐようなソリューションを活用してほしいとしている。
また、異変を検知するポイントとして(1)外部との不正な通信、(2)サーバの異常、(3)不正プログラムの侵入、(4)ファイルの作成や削除、(5)ネットワーク機器やサーバなどのログ――を挙げている。
関連記事
- 企業のセキュリティ事故被害額は年間2.1億円に、1年間で1.6倍増
ビジネスに影響を及ぼす深刻なセキュリティインシデント(事故)を2015年に経験した組織は38.5%に上る。 - ランサムウェア被害者の6割以上が身代金を支払い、1億円以上の損害も
トレンドマイクロの調査によれば、支払った身代金の金額では「300万円以上」の回答が過半数以上いた。 - 標的型メールは8人に1人が開封、「開くな」対策に効果なし
NRIセキュアテクノロジーズは、情報セキュリティ対策サービスを通じて蓄積したデータを基に、最新の動向分析と推奨する対策をまとめた「サイバーセキュリティ傾向分析レポート2016」を発表した。 - 情報漏えいで膨らむ損害、被害企業の平均コストは4億円超
事後対応のためのコストなどを含めた損害額は平均で400万ドル。発覚が遅れるほどコストがかさむ実態も判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.