デジタルアーツ、2024年上半期国内セキュリティインシデントのセキュリティレポートを公開

デジタルアーツは26日、2024年上半期の国内セキュリティインシデントを集計したセキュリティレポートの公開を発表した。

それによると、2024年上半期のセキュリティインシデント総数は551件で、「不正アクセス」が157件で最多となり、2023年下半期と比較して「業務外利用・不正持出」が25件とおおよそ1/3に減少した。「業務外利用・不正持出」が減少した要因は2023年下半期に発生した、大手グループ会社の元派遣社員による顧客情報の不正持ち出しに関連するインシデントでの一時的な増加が落ち着いたことによる。

また2023年上半期と比較すると、「マルウェア感染」が46件から76件となり大幅に増加した。

2019年からのセキュリティインシデント総数は、Emotetが猛威を振るった2022上半期を除くと増加傾向にある。また今回の調査でセキュリティインシデント総数が増加した外的な要因の1つに、2024年4月1日から個人情報保護法の施行規則及びガイドラインの改正が考えられる。これにより、漏えい等発生時の報告・通知義務と安全管理措置を講じる義務、保有個人データに関する事項の公表等の対象範囲が拡大し、委託先等の第三者に対する不正アクセス等によって生じた漏えい等も報告の対象となる。

2024年上半期の「不正アクセス」157件のうち52件はWebサイトに起因するものであり、Webサイトが改ざんされたケースやショッピングサイトへの不正アクセスにより顧客情報が流出したことがわかった。

そのほか、SNSアカウント乗っ取りやスパム踏み台、サポート詐欺によるPC遠隔操作の順で続き、特にSNSアカウント乗っ取りは2023年下半期と比較して3倍以上に増加した。SNSアカウント乗っ取りは、企業やファッションブランド、WebメディアやイベントのX（旧Twitter）やInstagramの公式アカウントなどを乗っ取り、外部サイトに誘導するURLが付いた不審なダイレクトメッセージ（DM）の送信や、アカウント運営者の意図しない投稿をするといった事象が確認された。

2024年上半期の「マルウェア感染」76件のうち、ランサムウェア被害によるものが74件と9割以上を占めており、その件数は2023年上半期と比べて倍増した。また、ランサムウェア被害の74件中27件が、多数の組織が印刷業を委託する企業で発生したランサムウェア被害に起因する情報漏えいインシデントで、同社に業務を委託していた多数の組織が情報漏えいの可能性を公表しており、自治体から金融機関まで多岐にわたっていることから、影響が広範囲に及ぶインシデントであることがうかがえる。

さらに、「マルウェア感染」の半数がサプライチェーンに起因するインシデントであり、この印刷業務の委託先企業の事例がその主な要因となっている。

今後もランサムウェアの脅威は続く可能性があり、サプライチェーンの多様化・煩雑化により、委託先や取引先などでのインシデントも考えられる。被害者・加害者の両方にならないために、自組織が実施するセキュリティ対策はもちろん、委託先や取引先やクラウドサービス提供者における情報セキュリティ対策の確認や監査を検討するなど、サプライチェーン全体を視野に入れた対策を行うべきだろうという。

「2024年上半期国内セキュリティインシデント集計」詳細