【サイバーインシデント事例】2020年11月1日〜10日
2020.11.12
アスピレイション株式外社セキュリティチームです。
今回は11月1日〜10日頃に世界で発生したセキュリティインシデントについて、主な事例を共有させていただきます。
まず特筆すべきトピックとして、個人情報等のデータ漏えいが事例が非常に増加しています。また、それに関し2018年に大手ホテルチェーン、マリオットインターナショナルが起こした顧客情報の漏洩によるGDPR違反について、その最終的な制裁金の行方が世界的に注目されていましたが、先日英国データ保護監督機関(ICO)により1,840万ポンド(約25億円)を科すことが発表されました。
・英国 ICOがマリオットに2018年のデータ侵害に関し制裁金1,840万ポンドを科す
これは、今年10月に同じくGDPR違反により27億円の制裁金を科された英航空大手ブリティッシュ・エアウェイズと同レベルの巨額の制裁ということになりました。
(参考)
・英航空大手ブリティッシュ・エアウェイズに制裁金約27億円--2018年の顧客情報流出
https://japan.zdnet.com/article/35161117/
また、つい先日にはTwitter社がGDPR違反として初のペナルティを受ける可能性があることも報道されました。
・Twitter、数日以内に初のGDPRペナルティを受ける可能性
https://techcrunch.com/2020/11/10/twitter-could-face-its-first-gdpr-penalty-within-days/
GDPRの違反に関しては、最大で全世界売上の4%以下、もしくは2,000万ユーロ以下のどちらか高い方の制裁金が科される可能性もあり、その損失は企業運営にとって甚大です。
日本企業が制裁を科されたケースはまだありませんが、GDPRは域外適用条項があり、EU圏内の企業でなくとも、EU圏内の消費者の個人情報を取り扱う企業は違反の際の制裁となりうることが言われています。GDPRが定める「個人情報」にはウェブ閲覧の際のIPアドレスやCookieも含まれるため、EU圏へ向けウェブサイトを公開している日本企業も注意する必要があります。
アスピレイションでは、GDPRが定める各種データ取り扱いの体制について、お客様がどこまで対応ができているかの監査、及びGDPR基準のデータ保護体制へ向けたサポートサービスを提供しております。実際にヨーロッパ企業へのサービス提供実績が豊富なスペシャリストが対応させていただきますので、実践的な体制構築が可能となります。
是非一度ご検討ください。お問い合わせはこちらまで。
以下、直近のサイバーインシデント事例をご紹介いたします
■情報漏えい関連事例
・レストラン予約サービスEatigoにデータ侵害、顧客情報がオンラインで販売される
・アリババ傘下Lazada、110万のアカウントがハッキング被害
・スウェーデンの保険最大手、顧客の個人情報がハイテク大手に流出
https://jp.reuters.com/article/dataprotection-folksam-leak-idJPL4N2HP426
・保険代理店ライフィ、病歴情報流出の可能性、システム上の脆弱性見つかる
https://cybersecurity-jp.com/news/44646
・近鉄不動産、誤送信で顧客18名の不動産取引関連情報が流出
https://cybersecurity-jp.com/news/44644
・バージニア州医療システム、サードパーティベンダーのデータ侵害により23,000人に影響
https://www.nbc12.com/2020/11/04/healthcare-system-people-affected-by-data-breach/
・英Flagship Group、サイバー攻撃によるデータ侵害
https://www.bbc.com/news/uk-england-norfolk-54824740
・マリファナ栽培者コミュニティにデータ侵害、数百万の栽培者の情報漏えい
https://www.techradar.com/news/millions-of-marijuana-growers-hit-in-major-data-breach
・印食料品eコマース大手BigBasket、データ侵害の可能性
・ホテル予約プラットフォームPrestige Software、大規模なデータ侵害により数百万の利用者のデータが公開される
https://www.websiteplanet.com/blog/prestige-soft-breach-report/
・傘販売「Tokyo noble* online shopping」へ不正アクセス、1年分の決済情報が流出
https://scan.netsecurity.ne.jp/article/2020/11/09/44791.html
・慶應義塾大学のサーバへ不正アクセス、個人情報漏洩の可能性
https://www.keio.ac.jp/ja/news/2020/11/10/27-76240/
■ランサムウェア攻撃関連事例
・バーモント大学ネットワークにサイバー攻撃、6つの病院に影響
https://apnews.com/article/vermont-burlington-595dceed28947a5c1298ea4080a60f27?&web_view=true
・米玩具メーカーのMattelがランサムウェア攻撃被害
https://www.zdnet.com/article/toy-maker-mattel-discloses-ransomware-attack/
・ランサムウェアハッカーがカプコンの企業ネットワークを攻撃
https://gizmodo.com/ransomware-hackers-just-hit-capcoms-corporate-networks-1845583662
・eコマースプラットフォームX-Cartにランサムウェア攻撃、一部ストアがダウン
https://www.zdnet.com/article/ransomware-hits-e-commerce-platform-x-cart/
・世界第2位のラップトップメーカーでCompal、ランサムウェア攻撃被害
・ランサムウェア攻撃によりブラジル最高裁判所が閉鎖
https://gigazine.net/news/20201109-ransomexx-trojan-linux-brazil-top-court/
・伊飲料メーカーCampari、RagnarLockerランサムウェア攻撃被害
■その他事例
・新鋭株式会社、社員PCが「Emotet」感染、不審メール送信
https://scan.netsecurity.ne.jp/article/2020/11/04/44768.html
・山梨中央銀行コンビニ設置ATMに偽造キャッシュカードで不正アクセス
https://scan.netsecurity.ne.jp/article/2020/11/04/44769.html
・闇サイトで不正操作プログラムを販売 容疑の男を逮捕
https://www.asahi.com/articles/ASNC4663DNC4OIPE00K.html
・印製薬会社Lupin、サイバー攻撃被害を認める
・関西医科大学職員のパソコンが「Emotet」感染、診療系ICTシステムは影響無し
https://scan.netsecurity.ne.jp/article/2020/11/05/44774.html
・英カーディーラーSandicliffeにサイバー攻撃、従業員メールにフィッシング攻撃
・プライバシーコインGRINが51%攻撃の被害
https://www.coindesk.com/privacy-coin-grin-is-victim-of-51-attack
・153のアンドロイドアプリの監視が可能な新マルウェア"Ghimob"が発見される
https://www.zdnet.com/article/new-ghimob-malware-can-spy-on-153-android-mobile-applications/