2024年11月21日、熊本県暴力追放運動推進センター(以下、暴追センター)で発生した個人情報流出の可能性は、デジタル社会の脆弱性を浮き彫りにする事件となった。約2500人分の相談者の個人情報が危険にさらされたこの事態は、サイバーセキュリティの重要性と、組織の危機管理能力の向上が急務であることを改めて示している。

事件の概要

11月15日、暴追センターの男性職員が業務中にパソコンを操作していたところ、突如として「お使いのコンピューターは無効になっています」という警告画面が表示された。職員は画面に表示された番号に電話をかけ、「マイクロソフトサポートセンター」を名乗る人物の指示に従ってパソコンを操作した結果、遠隔操作に切り替わってしまった3。この出来事は、いわゆる「サポート詐欺」と呼ばれる手口によるものだった。幸い、職員はすぐに異変に気づき、パソコンの電源を切ってインターネット回線を遮断したが、パソコン内に保存されていた約2500人分の相談者の個人情報が流出した可能性は否定できない状況となった。
同公式サイト:https://www.kumamoto-boutsui.com/

サポート詐欺とは

サポート詐欺とは、詐欺師が「正規のサポートサービス」を装い、ユーザーに偽の警告を表示させて不安を煽り、指定された電話番号に連絡させる手口です。電話をかけると、遠隔操作ソフトのインストールを指示され、最終的には金銭や個人情報を不正に奪われることになります。

関連記事
急増中!新型サポート詐欺の脅威とその対策を知ろう!

デジタル社会における課題

この事件は、デジタル社会が抱える複数の課題を浮き彫りにしている。

1. サイバーセキュリティの重要性

組織の規模や性質に関わらず、すべての機関がサイバー攻撃の標的となり得ることを示している。特に、センシティブな情報を扱う組織は、より高度なセキュリティ対策が求められる。

2. 人的要因のリスク

技術的な対策だけでなく、職員のセキュリティ意識向上や教育も重要である。今回の事件では、職員が不審なサイトの指示に従ってしまったことが発端となった。

3. 個人情報保護の難しさ

デジタル化が進む中で、大量の個人情報を安全に管理することの難しさが浮き彫りになった。特に、暴力団関連の相談という機微な情報を扱う組織では、より慎重な対応が求められる。

4. 信頼回復の課題

一度失われた信頼を取り戻すことは容易ではない。特に、暴力団からの被害相談を受ける機関として、相談者の安全を確保し、信頼を維持することは極めて重要である。

今後の展望

この事件を教訓として、以下の点に注力する必要がある。

  1. セキュリティ対策の強化
    技術的対策だけでなく、定期的な職員教育や訓練も重要である。
  2. 情報管理システムの見直し
    重要情報をオフラインで管理するなど、システム全体の見直しが必要だ。
  3. 危機管理体制の構築
    情報流出時の迅速な対応と透明性のある情報公開が求められる。
  4. 法制度の整備
    個人情報保護法の更なる強化や、サイバーセキュリティに関する法整備が必要かもしれない。
  5. 社会全体の意識向上
    サイバーセキュリティは一部の専門家だけの問題ではなく、社会全体で取り組むべき課題である。

まとめ

熊本県暴追センターの情報流出事件は、デジタル社会の影の部分を明らかにした。この事件を単なる一組織の問題として片付けるのではなく、社会全体でサイバーセキュリティの重要性を再認識し、対策を講じていく必要がある。個人情報を預かる組織の責任は重大だ。しかし、利用者側も自身の情報を守るための知識と意識を持つことが求められる。デジタル社会の恩恵を享受しつつ、そのリスクにも適切に対処できる社会を目指すことが、今後の課題となるだろう。

おすすめウェビナーのご紹介!

昨今のサイバー攻撃と言えばランサムウェア攻撃が代表的ですが、ランサムウェアアクターは個人情報や設計情報、営業情報といった秘密情報を窃取し、その情報を公表しないことを条件に身代金を要求します。
情報漏洩を防止するには、まずは外部からのサイバー攻撃を検知し防御することが重要ですが、情報漏洩を引き起こすのは外部の攻撃者だけではありません。
権限を持った組織内のユーザーであれば、サイバー攻撃対策ソリューションがあったとしても、秘密情報に容易にアクセスし漏洩させることができます。

本セミナーの第一部では、EDRとSOCを使った外部からのサイバー攻撃の検知・防御手法につきご説明いたします。
本手法はEDRのログにより内部不正活動を記録し、場合によっては防止することも可能です。そして、これに加えて更なるセキュリティ対策としてご提案するのが、第二部でご紹介するファイル暗号化・IRMソリューションです。
IRMで秘密ファイルを暗号化すれば、権限を持ったユーザーが認証を経たときのみ復号化されますので、万一のファイル漏洩時にも情報自体は公開されません。 

アジェンダ
  1. ご挨拶
  2. アクト 横井より EDR + SOCについて
  3. 株式会社データクレシス 津村様より 暗号化について
  1. 開催形式
    オンライン/録画配信
  2. 登壇者

株式会社データクレシス
マーケティング本部
津村 遼

    株式会社アクト
    サイバーセキュリティサービス事業部
    事業部長 ビジネスプロデューサー
    横井 宏治


      Post Views: 8