Information インフォメーション

法人向けクラウドメールセキュリティ及びサイバーセキュリティサービスを提供する株式会社ソースポッド（本社：東京都新宿区、代表取締役社長：山本剛、以下 ソースポッド）は、OSINTによる国内損害保険会社28社が発行したメールアドレスをIDとしたアカウント情報の漏洩調査を行い、「SP Intelligence Report」として公開致しました。

従来、法人・組織における不正アクセスの防止は、法人・組織内システム、法人・組織が契約している外部サービスを対象として検討することが一般的でした。しかしながら、最近では利用者が法人・組織が発行したメールアドレスでアカウントを登録したEC、SNS、サブスクリプション等の外部サービスにまで不正ログインされ、法人・組織では防止することが困難な状況となり、情報漏えいや金銭トラブル、ブランド棄損等の被害が急増しています。

ソースポッドでは、このような不正アクセスが発生するセキュリティリスクを可視化し、皆様に現状把握と喫緊の対策の必要性を喚起することで情報社会全体の安全性向上を目的として、定期的にOSINTによる法人・組織が管理するアカウント漏洩情報の調査を行い、「SP Intelligence Report」として公開しています。

今回の調査では、日本国内の損害保険業界に属する28の企業が発行した企業ドメインのメールアカウントが、インターネット・ダークウェブの世界でどのくらい公開されているかを年別に集計・分析致しました。

1．対象

国内損害保険会社28社

2．調査方法

OSINT（Open Source INTelligence）データをもとに、以下の通り年別に漏洩件数を集計しました。

①抽出対象
国内の損害保険会社28社が保有するドメインアカウント

②前提条件
・調査アカウント対象は、個人アカウントではなく、組織アカウントとする。
・漏洩チェック範囲は、ダークウェブを含むインターネット上に公開され、不特定多数が確認できるものとする。
・漏洩チェック期間は、2008年7月から2020年12月末までとする。
・漏洩取得内容は、ID(メールアドレス)とパスワードが漏洩している年月と漏洩数のみとする。
※漏洩年月、漏洩数以外の情報は取得できない独自のチェックシステムを利用。
・漏洩を判別する情報は、IDとなるメールアドレスのドメイン名で実施するものとする。
※漏洩アカウントが実際に使われているアカウントとの同一性や存在有無は不明ですが、同時期かつ同場所で漏洩している全く同様のアカウントは重複を排除しています。

3．調査結果

2008年から2020年までの調査対象期間において、累計漏洩件数は8,398件となりました。その中で、2019年度の漏洩流出件数が6,548件と突出し、2020年の841件が続きます。2012年の218件、2013年の298件以来、6、7年ぶりに漏洩流出件数の増加の波が到来していることが読み取れます。

2019年のインターネットセキュリティを巡る状況としては、2018年の年末にダークウェブ上に流出し、2019年の年初のハッカーフォーラムでその存在が知られることとなったCollection#1 による影響が関係しています。総容量87ギガバイト、12,000のファイルから成る7億7300万件のメールアドレス、2,100万件のユニークなパスワード、27億件の有効なメールアドレスとパスワードの組み合わせという膨大な個人情報がインターネットに流出した件は、世界中のITセキュリティ業界を震撼させる大事件となりました。

尚、この傾向は損保業界だけでなく、他業種においても同様の傾向がみられます。

4．考察

2019年において、損害保険各社の管理するメールアカウントの流出は、多数確認されました。損害保険業界での社内機密情報への不正アクセスは、2020年12月時点では1件のみ確認できています。顧客の重要な生体情報を含む個人情報を多数取り扱う保険業界においては、業界内各社のセキュリティ担当部門主導でのVPNや多要素型認証などの不正アクセス予防保全対策によって被害を阻止できているということが伺えます。

その一方で、漏洩した情報を放置していることで、未知の不正アクセス手段による攻撃で被害を受けるリスクが残ることも事実です。情報漏洩を防ぐための意識の向上、予防保全措置の設置と合わせて、それでも流出した場合のフェイルセーフシステムの構築が求められています。具体的には、秘匿情報が悪意を持ったハッカーの手に渡る状態をリアルタイムに察知し、それらが悪用される前に無効化処理を行うことが必要となります。

5．推奨する対策

2019年と2020年の突出した情報漏洩件数より、多要素認証を含めた従来のITセキュリティ施策で採用されてきた情報漏洩防止手段だけでは、年々進化する攻撃に対応することは非常に難しいことがわかります。漏洩防止体制と合わせて、情報が漏洩したケースを想定し、フォローアップ体制の準備が非常に重要です。情報漏洩を早期に発見する仕組みと、漏洩情報の無効化によって、過失をリカバリーできる仕組み、すなわちフェイルセーフシステムを構築することを推奨します。

ソースポッドのSPC Leak Detectionは、契約アカウントの情報漏洩を監視するシステムとして、大きな役割を果たします。SPC Leak Detectionは以下のステップでITセキュリティのフェイルセーフの仕組みを提供します。

①アカウント漏洩状況を把握する。
漏洩状況を把握するために最低限必要なことがアカウント漏洩対象者の把握です。漏洩者が判明すれば、パスワードを変更し、漏洩情報を無効化することが可能です。ただし、パスワード変更する際に漏洩しているパスワードを設定しないよう、漏洩しているID（メールアドレス）、パスワードを利用者自身が把握することが求められます。この点は、ソースポッドの提供するSPC Leak Detectionで対応することが可能です。
※SPC Leak Detectionでは、教育機関向けに機能が限定された無償のAcademic Edition、その他法人向けには評価版をご用意しています。

②漏洩したアカウントのパスワードを早急に変更する。
アカウントの漏洩を検知したら、不正利用される前にパスワードを変更し、漏洩情報を無効化する必要があります。そのためには、漏洩したことを検知した時点で本人が認識するための仕組みが必要です。この点は、ソースポッドの提供するSPC Leak Detectionで対応することが可能です。
※SPC Leak Detectionでは、教育機関向けに機能が限定された無償のAcademic Edition、その他法人向けには評価版をご用意しています。

③多要素認証の仕組みを導入する。
法人・組織内システム、法人・組織が契約している外部サービスでは、多要素認証を導入することでアカウント漏洩時も不正ログインを防ぐことが可能です。ただし、最近では二要素認証を突破する手口がいくつも出てきていますので、多要素認証導入後もアカウント漏洩状況の把握は継続的に実施することを推奨します。

④利用者のアカウント管理に関するリテラシー・教育を行う。
アカウント管理の重要性、アカウントが漏洩するとどのような被害を受ける可能性があるのか、不正アクセスの仕組み、対策、管理方法等を利用者自身が認識しておかないといけない世の中になってきていますので、アカウント管理の教育が必要になります。

⑤アカウントが漏洩した際、不正アクセスを検知された際のポリシー、体制を構築する。
アカウント漏洩や不正アクセスを検知した際の対応ポリシーや手順を予め準備し、運用することのできる体制構築が必要となります。

■株式会社ソースポッドについて
ソースポッドは2006年の創業以来、一貫して法人向けメールシステムに特化した事業を展開し、クラウドによるメール無害化対策「SPC Mailホールド」やメール誤送信対策「SPC Mailエスティー」等のメールセキュリティサービスの提供・運用・管理に10年以上携わってまいりました。今では中央官庁や地方自治体、大手金融機関をはじめとする企業、大学などの教育機関といった多くのお客様にサービスをご提供しております。また、サイバーセキュリティサービスとして、OSINTによる漏洩情報検知サービス「SPC Leak Detection」と、【本当に効果のある】標的型メール訓練サービス「SPC 標的型メール訓練」をご提供しております。
https://www.source-pod.co.jp/

■「SP Intelligence Report」について
OSINTによる漏洩情報に関する調査レポート「SP Intelligence Report」の詳細については、下記を参照ください。
https://www.source-pod.co.jp/lp5/20210203.html

■「SPC Leak Detection」について
OSINTによる漏洩情報検知サービス「SPC Leak Detection」の詳細については、下記を参照ください。
https://lp.source-pod.co.jp/spcleakd

■本リリースに関するお問い合わせ先
株式会社ソースポッド
営業部 サービス営業チーム
下記フォームよりお問い合わせください。
https://lp.source-pod.co.jp/spcleakd
https://www.source-pod.co.jp/consulting/contact/