こんにちは、穂苅智哉と申します。
近年、サイバー攻撃による情報漏洩事件が後を絶ちません。特に、大企業が標的となり、顧客や従業員の個人情報が流出するケースが増えています。こうした事件は、企業の信頼を大きく損ない、経済的損失も甚大です。本稿では、リクルートが受けたサイバー攻撃による従業員の氏名情報漏洩を振り返り、どのようにしてこのような被害を防ぐことができるのかについて考察します。
リクルートが受けたサイバー攻撃と被害
2024年7月、リクルートホールディングスがサイバー攻撃を受けました。リクルートの主要サービスの1つである『SUUMO』が一部エリアで実施している実証実験中の不動産会社向けサービスのサーバーに対して第三者による不正アクセスがあることを検知し、調査をしたところ情報漏洩が見られました。
漏洩した情報については、リクルート社員や業務委託先の従事者などのローマ字氏名であるということです。被害規模としては、1,313件でした。
住所や電話番号などの連絡先、パスワード、その他機密情報ではなくローマ字での氏名が流出してしまったということで、現状は二次被害等は報告されていないようですがリクルートのような大企業が被害を受けると、たとえ実証実験中のサービスの情報であっても1,000以上の情報になってくるため被害としては重く受け止めなければなりません。
情報漏洩が発覚した後、リクルートは迅速に対応を進め、被害拡大を防ぐための措置を講じましたが、ある程度の企業の信用失墜は避けられず、今後の影響が懸念されます。
リクルートのような大企業がこのような被害を受ける背景には、標的型攻撃の高度化や巧妙化があります。特に、ランサムウェア攻撃では、企業のシステムに侵入し、データを暗号化して金銭を要求する手口が多く見られます。こうした攻撃に対しては、従来のセキュリティ対策だけでは不十分な場合が多く、より高度なセキュリティ対策が求められます。
被害を防ぐためにはどうしたらよいのか
サイバー攻撃から企業を守るためには、包括的なセキュリティ対策が不可欠です。以下に、被害を防ぐための具体的な対策を紹介します。
1.多層的なセキュリティ対策の導入
サイバー攻撃は多様化しており、一つの対策では防ぎきれない場合が多いです。そのため、複数のセキュリティ層を組み合わせる「多層防御」の導入が重要です。ファイアウォールやアンチウイルスソフト、侵入検知システム(IDS)、データ暗号化など、さまざまな防御手段を組み合わせて、システム全体を強化することが求められます。
2.従業員へのセキュリティ教育
サイバー攻撃の多くは、人為的なミスやフィッシングメールを通じて行われます。そのため、従業員に対する定期的なセキュリティ教育を実施し、攻撃手口やリスクについての意識を高めることが重要です。特に、フィッシング対策として、疑わしいメールやリンクを開かないように徹底させることが必要です。
3.脆弱性の早期発見と対応
システムやソフトウェアの脆弱性を放置すると、攻撃者に悪用されるリスクが高まります。定期的なシステム監査やソフトウェアのアップデートを行い、脆弱性を早期に発見・修正することで、攻撃のリスクを最小限に抑えることができます。また、脆弱性スキャンツールを使用して、システム全体を定期的にチェックすることも有効です。
被害を出さない、最小限にするための対策の1つがDr. Web
リクルートが受けたサイバー攻撃による情報漏洩事件は、企業がサイバーセキュリティに対して十分な対策を講じることの重要性を改めて浮き彫りにしました。サイバー攻撃は高度化しており、従来の対策だけでは防ぎきれないリスクが存在します。多層的なセキュリティ対策や従業員教育、脆弱性管理、そしてインシデント対応計画を整備することが、企業をサイバー攻撃から守るために不可欠です。
しかし、現状多くの企業では、セキュリティ対策と言ってもいったい何をどうしたら良いのか困ってしまっている印象です。その場合は、Dr. Webのセキュリティソリューションを利用するのが対策の1つになります。
Dr. Webでは、サイバーセキュリティに関するソリューション、サービスをお客様のコンピュータ資産を守るということを優先して提供しています。
ランサムウェアやエンドポイントセキュリティの対策、また、アンチウイルスソフトでの対策を考えている企業、団体の皆様で、まずはお話を聞いてみたい、詳しく知りたい、という場合は、以下を御覧ください。
テレワーク向けクラウド型アンチウイルスサービスを無償提供もしています。
