サイバーリスクとは?

実際の事故例

IT環境の整った現在、サイバー攻撃は業種を問わず発生しています。
サイバー攻撃の形態も様々で、年々多様化・巧妙化が進んでいます。

<公的機関>不正アクセスによる個人情報の漏えい
A機構は、標的型メール攻撃による不正アクセスを受け、基礎年金番号や氏名など年金に関する個人情報計125万件が外部に流出したと発表した。同機構によると、職員がウイルスに感染した添付ファイルを開封したことで、不正アクセスが発生し、端末が異常な通信を始めたという。その後、セキュリティ専門会社に解析を依頼したが、同様のメールはその後も大量に同機構に送られてきた。メールの内容はそれぞれ異なり、最初に開封した職員とは別の複数の職員が開封していたという。
<製造業>不正アクセスによるHPの改ざん
製造会社Bは、同社のホームページが不正アクセスを受け、ホームページ中のプログラムが改ざんされていたことを発表した。同社のサイトにアクセスすると、改ざんされたプログラムにより悪意のある第三者のサイトにリダイレクトされ、意図しないファイルをダウンロードさせられたおそれがあるという。セキュリティ専門会社が原因を調査するため、同社は該当のサイトを停止し、合わせて同じサーバーを使用する他のサイトのサービスも停止した。
<サービス業>DoS攻撃によってサービスの提供が不能に
大量のデータを送りつけてウェブサイトをダウンさせるDoS攻撃で、オンラインゲーム運営会社Cの業務が妨害された。DoS攻撃を代行する海外の有料サイトから、同社のサーバーに30回以上にわたって大量のデータが送りつけられ、同社が運営するオンラインゲームが使用不能になった。同社のサーバーには、最大で通常の約20倍の負荷がかかり、半日にわたってサービスが提供不能となった。
<教育機関>米国へのサイバー攻撃の中継地点として利用された
D大学は、同大学のサーバーが海外から不正アクセスを受け、米国へのサイバー攻撃の中継地点(踏み台)として利用されたと発表した。不正アクセスによる情報流出は確認されていない。何者かが同大学のサーバーに不正アクセスしてウイルス感染させ、米国企業のサーバーに大量のデータを送りつけてダウンさせるDoS攻撃をしていたという。学内のコンピューターがインターネットに接続できなくなり、同大学へのサイバー攻撃が明らかになった。
<教育機関>USBメモリ持ち出しによる個人情報の紛失
E大学は、同大学職員が大学規則に定める所定の手続きを踏まずに職員・学生の個人データをコピーしたUSBメモリを学外へ持ち出し、紛失していたことを発表した。同大学職員は、自宅での資料作成のためデータをコピーしたUSBメモリを持ち帰り紛失した。同大学では、個人情報の学外持ち出しを原則禁止としており、やむを得ず持ち出す場合は事前届け出・暗号化処置による管理徹底を行っていたが、今回はいずれも実施されていなかったという。

もしこれらのサイバー攻撃による事故が起こったら・・・初動対応・事故対応に多額のコストが発生します。

初動対応例と被害額

不正アクセスの発見

情報通信事業者であるA社の業務用パソコン数台が不正なプログラム(マルウェア)に感染していることが判明した。感染したパソコンからは、同社の顧客情報が漏えいしている可能性がある。A社は、自社のホームページ上で、情報漏えいのおそれがあることについて外部に公表した。同時にA社は、その原因や影響等について調査を実施するために、専門業者へ相談を開始した。

●支出
被害状況の把握
100万円
原因調査・証拠保全の実施
700万円
合計:800万円

事故対応例と被害額

個人情報の漏えいが判明

調査の結果、約10万人分の個人情報が外部に漏えいしていることが判明した。企業イメージ損失の拡大を防止するために、外部機関に緊急対応のコンサルティングを依頼し、被害者へのお詫び状の送付等の対応を行ったが、情報が漏えいした一部の顧客から、プライバシーの侵害を理由に損害賠償請求を提起された。

●支出
謝罪、会見等の
実施コンサルティング

200万円
見舞金支払い (1名500円)
5,000万円
罪広告費用
500万円
損害賠償金
7億5,000万円
争訟費用
3,500万円
合計:8億4,200万円

サイバーリスク保険/個人情報漏えい保険に関する資料請求・お見積り、お問い合わせはこちらから

PAGE TOP