企業をサイバーセキュリティのリスクから守る『OODAセキュリティ』 » 業種別サイバーセキュリティの被害事例とリスク対策の方法 » 情報・通信サービス

情報・通信サービス

ここでは情報・通信サービス業で発生したサイバー攻撃についてリサーチ。代表的な被害事例をピックアップし、発生した原因やセキュリティ上の問題点について解説します。

情報・通信サービス業における
サイバーセキュリティの被害事例

サイト売買の会員情報が外部から閲覧可能に

2017年10月30日、GMOインターネットは同社が提供するサイト売買サービス「サイトM&A」で顧客情報が流出したことを明らかにしました。流出した情報は登録会員の情報1万4612件で、氏名やユーザー名、法人名、住所、電話番号などです。外部から顧客情報が閲覧できると指摘があり発覚。調査の結果、システムの脆弱性を悪用した外部からの不正アクセスによる可能性が高いと判断されました。

考えられる問題・原因

GMOインターネットはサービスをいったん閉鎖し、第三者のセキュリティ専門機関によるチェックを受け、対策した上で再開しました。原因はWebアプリケーションファイアウオールなどのセキュリティが甘かったことが考えられます。自社が情報通信サービスを行っていても第三者による脆弱性チェックの重要性がわかる事例です。

参照元:日経XTECH公式サイト(https://xtech.nikkei.com/it/atcl/news/17/103002551/

ヤフーが不正アクセスで大量のID情報流出

2013年5月17日、Yahoo!JAPANは最大2200万件のID情報が流出した可能性があることを発表しました。4月2日に発生した不正アクセスを受け、監視体制を強化したところ不審なログインを検知し判明したものです。社内で調査をした結果、140万件について不可逆暗号化されたパスワード、とそれを忘れた場合の再設定に必要な情報の一部が流出した可能性が高いことがわかりました。

考えられる問題・原因

ヤフーの事例では4月に攻撃を受け、対策が十分でない段階で2度目の攻撃を受けてしまう結果となりました。認証システムに問題があることが考えられますが、こうした会員サービスにおいてはパスワードの使い回しなどにより不正ログインのリスクが高まるため、会員に対してもID/パスワード管理をについて注意喚起が必要です。

参照元:Yahoo!JAPAN 公式HP(https://about.yahoo.co.jp/hr/linotice/20161221.html

ドコモがリスト攻撃による不正購入の被害

2018年8月14日、ドコモは外部からの不正なログインにより取得したdアカウントを使い、ドコモオンラインショップで商品が購入されていること確認し報告しました。悪意のある第三者に「iPhone X」を不正購入される被害を受け件数は約1,000件。不正ログインはリスト攻撃によるもので、2段階認証で防止できるとしています。

考えられる問題・原因

ドコモが原因としているリスト攻撃とは他サイトなどで不正に入手した情報を転用しログインを行うもの。ID・パスワードでログインしただけで一部端末を購入できたため、被害が発生したと考えることができます。利用者側のパスワードの使い回しに加え、運営側のドコモが2段階認証を徹底していなかったという問題点があります。

【専門家監修】
脆弱性のあるWebサイトによる
サイバーセキュリティのリスクと対策

サイバーセキュリティの
リスクを減らすためにできる対策

ID・パスワード認証システム強化

情報・通信サービス業界は会員や利用者が存在し、ID・パスワードによるアクセスによりサービスを受けるケースが多くあります。認証システムに脆弱性があると悪用されて、不正アクセスや情報漏洩につながる可能性が高いと言えます。認証システムも常に高度化していますので2段階認証や最新の認証方式の積極導入が必要です。

脆弱性診断(セキュリティ診断)とは?
目的や必要性について詳しく見る

一般へのセキュリティリスクの啓蒙

サービス提供側がどれほどセキュリティレベルを上げても、利用者側のサイバー攻撃のリスクに対する意識が低いと、パスワードの使いまわしや推測されやすいパスワード設定を行い被害を受けるリスクが高くなります。運営側として一般ユーザーに対するID・パスワード管理に関する注意喚起や情報提供を行うことも重要になります。

IoT・5G時代を意識した対策強化

技術革新の激しい情報・通信サービス業界では、すでにIoT・5G時代に向けた新しい技術導入やサービス提供に取り組んでいます。変化がある場所には新たなセキュリティリスクが生まれ、攻撃者のターゲットになりやすいです。時代の最先端を行く情報・通信サービスでは、それを意識したセキュリティ対策強化が求められます。

参照元:総務省「5G時代に高まるサイバーセキュリティのリスク」(https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r02/html/nd134200.html

業界によってサイバーセキュリティのリスクは異なります。情報・通信サービス業はセキュリティ技術や情報に詳しいだけに第三者視点に欠けることも。基本を忘れず客観的なチェックと対応でセキュリティ対策のOODAループを回していくことが重要です。

取材協力
株式会社アルファネット
多種多様な企業の状況に合わせ
セキュリティ対策を根本から支える

当ページの監修協力であるホワイトハッカーが所属する株式会社アルファネット。事務機器用品を中心とするカタログ通販サービス「たのめーる」が有名な大塚商会のグループ企業です。

大塚商会はコンピュータ・ネットワーク関連のシステムインテグレーション事業や、コンピュータ機器の保守、アウトソーシングのサービスも中核にしており、その中でアルファネットはサイバーセキュリティ対策の専門グループ企業として活躍しています。

巨大なデータベース・ネットワークを日々守り続けているのは、ホワイトハッカーの主導による正確な診断と、ツールによる包括的な診断によるもの。大塚商会のグループ企業や顧客を中心に、そのサービスを提供してきました。
またメール訓練など、社員育成の提供にも力を入れています。

提供するサイバー
セキュリティサービス

ペネトレーションテスト(Webアプリケーション侵入試験)/標的型メール訓練サービス/情報セキュリティ教育/CSIRT構築/クラウド型WAFサービス/セキュリティ診断サービス/ランサムウェア対策調査サービス

アルファネットの公式HPから
サイバーセキュリティリスクの対策について相談する

電話で問い合わせる